Sil3ntWarri0r
28.11.07, 07:54
Hi,
würde gerne mit WPA und Radius (Gentoo Server) mein WLAN verschlüsseln, habe nun soweit auch ein HowTo umgesetzt und es funktioniert auch soweit mit den Zertifikaten.
Hierzu habe ich bei CAcert.org ein Serverzertifikat generiert und ebenfalls Client-Zertifikat erstellt. (server.xxxxxx.de und wlan@server.xxxxxx.de)
Des weiteren habe ich noch ein weiteres Zertifikat mit einer anderen Domain (zertifikat@yyyyyy.de), welches ebenfalls über CAcert.org erstellt wurde.
Jetzt habe ich einmal das WLAN-Client-Zertifikat verwendet um meinen Client zu zertifizieren und einmal das andere Zertifikat und siehe da der Server hat beides mal die Verbindung akzeptiert, weil beide auf dem selben ROOT Zertifikat basieren. Also kann wohl jeder, der bei CAcert.org ein Clientzertifikat hat sich bei mir am Radius/WLAN anmelden...
Ziel ist es aber, dass man sich nur mit den Zertifikaten authentifizieren können soll, die zum Server passen, also *@server.xxxxxx.de. Da ich für jeden Client ein eigenes Zertifikat anlegen möchte, so dass bei Verlust ein einzelnes Zertifikat dieses revoked werden kann.
Wie kann ich nun den Radius dazu bewegen, dass er nur die gewünschten Zertifikate akzeptiert. Verwende am Radius Server nur EAP-TLS.
Des weiteren habe ich versucht die CRL einzubinden, also Servercert, Clientcert und CRL in ein Verzeichnis kopiert, c_rehash aufgerufen, der dann die passenden Links erstellt hat. In der Datei eap.conf habe ich CA_file durch CA_path = ersetzt, wenn ich nun aber den Radius starte und es kommt ein Request bekomme ich immer die Fehlermeldung Nummer 3: unable to get certificate CRL. Was mache ich hieran falsch ?
Danke für eure Hilfe
würde gerne mit WPA und Radius (Gentoo Server) mein WLAN verschlüsseln, habe nun soweit auch ein HowTo umgesetzt und es funktioniert auch soweit mit den Zertifikaten.
Hierzu habe ich bei CAcert.org ein Serverzertifikat generiert und ebenfalls Client-Zertifikat erstellt. (server.xxxxxx.de und wlan@server.xxxxxx.de)
Des weiteren habe ich noch ein weiteres Zertifikat mit einer anderen Domain (zertifikat@yyyyyy.de), welches ebenfalls über CAcert.org erstellt wurde.
Jetzt habe ich einmal das WLAN-Client-Zertifikat verwendet um meinen Client zu zertifizieren und einmal das andere Zertifikat und siehe da der Server hat beides mal die Verbindung akzeptiert, weil beide auf dem selben ROOT Zertifikat basieren. Also kann wohl jeder, der bei CAcert.org ein Clientzertifikat hat sich bei mir am Radius/WLAN anmelden...
Ziel ist es aber, dass man sich nur mit den Zertifikaten authentifizieren können soll, die zum Server passen, also *@server.xxxxxx.de. Da ich für jeden Client ein eigenes Zertifikat anlegen möchte, so dass bei Verlust ein einzelnes Zertifikat dieses revoked werden kann.
Wie kann ich nun den Radius dazu bewegen, dass er nur die gewünschten Zertifikate akzeptiert. Verwende am Radius Server nur EAP-TLS.
Des weiteren habe ich versucht die CRL einzubinden, also Servercert, Clientcert und CRL in ein Verzeichnis kopiert, c_rehash aufgerufen, der dann die passenden Links erstellt hat. In der Datei eap.conf habe ich CA_file durch CA_path = ersetzt, wenn ich nun aber den Radius starte und es kommt ein Request bekomme ich immer die Fehlermeldung Nummer 3: unable to get certificate CRL. Was mache ich hieran falsch ?
Danke für eure Hilfe