Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3826 connectés 

  FORUM HardWare.fr
  Windows & Software

  Réseaux Wi-Fi + Radius EAP-TLS (utilisation de certificats)

 
 


Dernière réponse
Sujet : Réseaux Wi-Fi + Radius EAP-TLS (utilisation de certificats)
xmulder

BMenez a écrit :

J'ai eu utilisé (authentification par certificat)...


 
tu as créé comment les certificats?
le CA.all fourni par freeradius plante lors de la creation du certificat pour le serveur:
 

$ cd freeradius-snapshot-20050426/scripts
$ ./CA.all
 
<snip>
 
 openssl ca -policy policy_anything -out newcert.pem -passin pass:whatever -key whatever -extensions xpserver_ext -extfile xpextensions -infiles newreq.pem
Using configuration from /usr/lib/ssl/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number:
            a5:76:0f:ec:5c:51:24:fc
        Validity
            Not Before: Apr 26 11:36:49 2005 GMT
            Not After : Apr 26 11:36:49 2006 GMT
        Subject:
            countryName               = FI
            stateOrProvinceName       = Finland
            organizationName          = Internet Widgits Pty Ltd
            organizationalUnitName    = VHO
            commonName                = seb
            emailAddress              = ***
        X509v3 extensions:
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
Certificate is to be certified until Apr 26 11:36:49 2006 GMT (365 days)
Sign the certificate? [y/n]:y
failed to update database
TXT_DB error number 2
+ openssl pkcs12 -export -in newcert.pem -inkey newreq.pem -out cert-srv.p12 -clcerts -passin pass:whatever -passout pass:whatever
No certificate matches private key
+ openssl pkcs12 -in cert-srv.p12 -out cert-srv.pem -passin pass:whatever -passout pass:whatever
24474:error:0D07207B:asn1 encoding routines:ASN1_get_object:header too long:asn1_lib.c:140:
+ openssl x509 -inform PEM -outform DER -in cert-srv.pem -out cert-srv.der
unable to load certificate
24475:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:637:Expecting: TRUSTED CERTIFICATE
+ echo -e '\n\t\t##################\n'
 
                ##################
 
 

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
xmulder

BMenez a écrit :

J'ai eu utilisé (authentification par certificat)...


 
tu as créé comment les certificats?
le CA.all fourni par freeradius plante lors de la creation du certificat pour le serveur:
 

$ cd freeradius-snapshot-20050426/scripts
$ ./CA.all
 
<snip>
 
 openssl ca -policy policy_anything -out newcert.pem -passin pass:whatever -key whatever -extensions xpserver_ext -extfile xpextensions -infiles newreq.pem
Using configuration from /usr/lib/ssl/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number:
            a5:76:0f:ec:5c:51:24:fc
        Validity
            Not Before: Apr 26 11:36:49 2005 GMT
            Not After : Apr 26 11:36:49 2006 GMT
        Subject:
            countryName               = FI
            stateOrProvinceName       = Finland
            organizationName          = Internet Widgits Pty Ltd
            organizationalUnitName    = VHO
            commonName                = seb
            emailAddress              = ***
        X509v3 extensions:
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
Certificate is to be certified until Apr 26 11:36:49 2006 GMT (365 days)
Sign the certificate? [y/n]:y
failed to update database
TXT_DB error number 2
+ openssl pkcs12 -export -in newcert.pem -inkey newreq.pem -out cert-srv.p12 -clcerts -passin pass:whatever -passout pass:whatever
No certificate matches private key
+ openssl pkcs12 -in cert-srv.p12 -out cert-srv.pem -passin pass:whatever -passout pass:whatever
24474:error:0D07207B:asn1 encoding routines:ASN1_get_object:header too long:asn1_lib.c:140:
+ openssl x509 -inform PEM -outform DER -in cert-srv.pem -out cert-srv.der
unable to load certificate
24475:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:637:Expecting: TRUSTED CERTIFICATE
+ echo -e '\n\t\t##################\n'
 
                ##################
 
 
Jef34 J'ajoute des infos sur la mise en place des services Windows 2003
 
http://www.microsoft.com/library/t [...] ad_ltr.gif  
 
Création d'une Autorité de certificat racine d'entreprise dans les petites et moyennes entreprises
 
Wireless LANs - A Windows Server 2003 Certificate Services Solution: Build Guide
Jef34

elan a écrit :

est ce que les comptes utilisateurs dans active directory sont suffisant pour faire du PEAP?


 
compte user + certificat + IAS
Jef34 Après un départ trop long. Je me repenche sur le sujet.
J'ai changé d'entreprise ce qui fait qu'il y a eu pas mal de boulversement.
 
Je me repenche sur la question.
L'archi est différente maintenant, mais semblable.
 
Il y a un routeur 3com et un serveur ISA 2000/2004 qui forme la DMZ.
 
C'est le serveur ISA qui gérera les réseaux DMZ, Interne et Wireless. Pour ce faire il a 3 cartes réseaux.
 
La CA est dans le réseau interne et le serveur IAS le sera lui aussi.
 
Il me faut juste remonter le serveur IAS et c'est repartie.
elan up
elan est ce que les comptes utilisateurs dans active directory sont suffisant pour faire du PEAP?
elan bonjour  
je refais un petit point sur ce topic très interessant  
là j'ai mis au point un serveur Radius IAS de microsoft.  
j'ai mon access Point qui est opérationnel.  
mon soucis c'est de mettre en place radius pour qu'il prned en charge l'authentification.  
 
en fait ce n'est pas très clair pour moi. je ne sais pas s'il faut mettre une nouvelle autorité de certification.
 
mon réseau pour le moment est structuré de la manière suivante.  
Sereveur W2000 sur lequel IAS a été configuré  
UN AP qui configuré en client RADIUS  
des portables en WiFi.  
 
tout ça est mis dans un VLAN à part.  
 
je que je ne sais pas mnt c'est comment activer Radius?  
comment ça marche les Certificats?  
voilà j'espère avoir une réponse  
merci
Tiramissu75

Jef34 a écrit :

Ca y est, l'autorité est en ligne, le serveur Radius aussi.
 
J'ai deux clients qui ont obtenu leur certificat et sont connectés.
 
Je lance le chrono à 11h.


Je me permets de donner mon avis...
IAS (le serveur Radius) n'intervient que dans la mise en place de l'authentification et l'envoi de certains paramètres. Si aucun Timeout n'est paramètré je pense as que la déconnexion vienne de IAS.
 
Je penserai plus aux APs et/ou au serveur de certificat(tout particulièrement à la CAPolicy).
Comment est installé ta CA ? CA d'entreprise je suppose...mais encore?
As tu une hiérarchie ?
type de certificats ? (tu t'appuie sur un template de quel type?)
 
 :hello:  
elan up jef ou es tu donc??
elan up!
elan oui je suis d'accord avec toi mais ce que je veux savoir c'est comment créer ces certificats?  
j'ai un RADIUS RSA 10.0.5 server.
je ne vois pas comment créer les certificats si tu as une idée?  
sinon je suis à la recherche d'un serveur RADIUS opensource est ce que t'as déjà essayé de faire ça  
si oui les conclusions?  
je te remercie
Jef34 En fait, j'ai du mal à comprendre ce que tu voulais, mais si c'est de savoir si le fait de passer en EAP Radius va rendre impossible l'autentification actuelle des users des UAP, ben en effet ce sera le cas.
 
Tant que tes users n'auront pas de certificat et ton radius ne sera pas en place, il ne faut pas modifier la config de tes EAP.
elan y up!
elan salut jef
alors là je me remets à sécurisé mon architecture existante.
j'ai un peu de temps avant que les cisco2100 et com 8250 arrivent.
mon réseua existant a été mis en place en 2002 je n'étais pas encore à l'entrise... :pt1cable:  
il est composé de plusieurs AP4131 et AP4121 de Symbol.  
je veux savoir si l'EAP radius peut être mis en place "dans le manager ily a effectivement EAP, et aussi Kerberos et..qui sont désactivés" alors ne sachant pas par où commencer  
la config que j'ose pas modifier "risque d'interruption de service" est la suivante:
 
EAP/RADIUS            : disabled     "elle passera bientôt à enabled"
Quiet Period          : 60
Tx Period             : 30
Re-authetification    : Enabled  
Re-authent Control    : RADIUS  
Re-auth Period        : 3600
Re-auth Max           : 2
 
Supplicant Timeout    : 30
Server Timeout        : 30
Max req Retries       : 2
 
IAS Name/IP Address   : ***
 
Backup IAS Name/IP    : ***
IAS Password          : ***
IAS Port Number       : ????
 
 
je sais que toi tu as un 3com officeConnct et donc j'ai donné touts la conf pour te permettre de voir s'ils existent des similitudes.
Voilà. je crois que je vais mettre l'adresse ip de mon serveur RADIUS le BackUp je m'en fous pour l'instant. ce qui m'intrigue c'est de savoir ce que je vais faire comme manip du serveur RADIUS.  
 
si tuu peux m'éclairer toi qui as déjà fait ça?
je te remercie  
com office connect
Jef34 Je vais le faire, c'est prévu, on a déjà deux routeurs qui construisent une DMZ dans laquelle se trouve notre passerelle SMTP et serveurs Web publiques et DNS publiques.
 
Maintenant, cet interruption de session est à régler, je vais refaire un test.
2h30 ca va, mais peu mieux faire.
 
Avant c'était 30min max
elan

Jef34 a écrit :

Fin de session à 13h35


 
des nouvelles? pas de problèmes? sinon est ce que tu isoles ton réseau en DMZ? ou pas la peine à ton avis

Jef34 Fin de session à 13h35
Jef34 Ca y est, l'autorité est en ligne, le serveur Radius aussi.
 
J'ai deux clients qui ont obtenu leur certificat et sont connectés.
 
Je lance le chrono à 11h.

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)