tuningmaster Geschrieben 6. Juni 2008 Geschrieben 6. Juni 2008 ich hab nen anliegen zu nem radius- server...!! ich hab unser netzwerk abgesichert mit ner portbasierten netzzugangssteuerung nach IEEE 802.1x. hab als authentifizierungsmethode eap-tls ausgewählt. jeder client braucht ein x.509 zertifikat um sich gegenüber dem radius-server zu authentifizieren. dazu muss ja demnach eine PKI aufgebaut werden. was ich noch nicht verstehe. . . wie läuft das mit dem schlüsselaustausch??? wer bekommt bzw. besitzt nen öffentlichen und wer den privaten schlüssel bei der ganzen sache????? bitte helft mir !!!! brauche dringend rat. :confused:
Crash2001 Geschrieben 6. Juni 2008 Geschrieben 6. Juni 2008 Der öffentliche Schlüssel liegt auf dem Server und mit dem privaten Schlüssel identifiziert sich der User an dem Server. Den öffentlichen Schlüssel darf jeder haben und kann auf diversen Servern o.ä. hinterlegt werden (wie dies z.B. by PGP auch gemacht wird). Den privaten Schlüssel darf nur die Person haben, die sich damit identifiziert (also möglichst auf USB-Stick oder so, damit er nicht auf einem Rechner liegt, zu dem auch andere Zugriff haben). Siehe auch hier.
Guest Geschrieben 7. Juni 2008 Geschrieben 7. Juni 2008 Die Clients deiner Domäne können sich bei der PKI nen Zertifikat abholen, das funktioniert relativ automatisch. Beachte jedoch, dass die PKI des Win2k3 Standard Servers keine Maschinenzertifikate für Clients ausgeben kann, dafür brauchst den Enterprise Server. Alternativ bietet sich auch an Protected-EAP zu verwenden, anstatt EAP-TLS. Damit entfällt die aufwendige Verteilung von Zerts und das Sicherheitsniveau ist trotzdem beachtlich. Zu PEAP kannst mal googeln oder englischsprachiges Wiki befragen
tuningmaster Geschrieben 7. Juni 2008 Autor Geschrieben 7. Juni 2008 das heißt also der radius server besitzt nen öffentl. schlüssel und der user, der das x.509 zertifikat vorher abgeholt hat identifiziert sich mit seinem privaten schlüssel am radius server ?! hat die PKI auch nen zusammenhang beim eap-tls handshake mit dem premaster-secret??? weil nachdem die authentifizierungsmethode eap-tls von beiden parteien ausgewählt wurde erfolgt ja der tls-handshake und nen premaster secret wird erstellt.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden