ComputerBase Menü
Aktuelles

802.1X EAP-TLS Verwendung des privaten Client Schlüssels?

S

sysadm

Newbie
Registriert
Mai 2024
Beiträge
2
Hallo zusammen,

ich bin derzeit dabei RADIUS 802.1X zu implementieren. Als Authentifizierungsmethode soll hier der sicherste Standard EAP-TLS zum Einsatz kommen. Ich habe nun für Windows-Client als auch für den RADIUS-Server ein dementsprechendes Zertifikat ausgestellt. Auf dem Server habe ich Zertifikate & privater Schlüssel installiert. Auf dem Client nur das Zertifikat ohne privaten Schlüssel. Jetzt habe ich das Ganze mal getestet und festgestellt, dass die Authentifizierung fehlschlägt. Ich habe nun also den privaten Schlüssel zusätzlich auf dem Client installiert und siehe da, es funktionierte.

Warum genau braucht der Client den privaten Schlüssel für eine erfolgreiche Authentifizierung und an welchem Punkt kommt dieser zum Einsatz?

Der Client authentifiziert sich soweit ich weiß, indem er sein Zertifikat an den Server schickt. Dieser prüft ob das Zertifikat vertraulich ist, indem er in seinem Zertifikatspeicher nach einem passenden Root-Zertifikat sucht. Gleicher Prozess für die Server-Authentifizierung.

Ich hoffe mir kann hier jemand weiterhelfen.

Grüße

Dankeschön
 
Nach Datum sortieren Nach Stimmen sortieren
@sysadm
So funktionieren Zertifikate nunmal.

Hab mal in meinen Notizen gegraben, so funktioniert es grob:
  1. Der Client sendet seine Authentifizierungsanfrage an den RADIUS-Server.
  2. Der RADIUS-Server fordert eine Authentifizierungsmethode an
  3. Der Client präsentiert sein Zertifikat, das den öffentlichen Schlüssel und die zugehörigen Zertifikatsdetails enthält.
  4. Der RADIUS-Server überprüft das Zertifikat des Clients, indem er den öffentlichen Schlüssel verwendet, der im Zertifikat enthalten ist.
  5. Nach erfolgreicher Überprüfung des Zertifikats fordert der RADIUS-Server den Client auf, eine Authentifizierung durchzuführen, bei der der Client seinen privaten Schlüssel verwendet, um eine digitale Signatur zu erstellen oder verschlüsselte Daten zu entschlüsseln, um seine Identität zu bestätigen
 
  • Gefällt mir
Reaktionen: GTrash81
Positive Stimme 0 Negative Stimme
Der private Schlüssel gehört auf/zum Inhaber, und NUR dort hin.
Also der private Schlüssel des Servers auf den Server und der private Schlüssel des Clients auf den Client.
 
Positive Stimme 0 Negative Stimme
0x8100 schrieb:
https://security.stackexchange.com/a/266202 auf keinen fall gehört das server-zertifikat und dessen private key auf die clients.
Zum Vergrößern anklicken....

Das kam vielleicht etwas falsch rüber. Ich habe natürlich nicht das Server Zertifikat und den dazugehörigen privaten Schlüssel auf dem Client installiert, sondern den privaten Schlüssel des Clients. Server-Cert und Key bleiben immer auf dem Server.
 
Positive Stimme 0 Negative Stimme
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz