Beschreibung:

In diesem Artikel wird beschrieben, wie Sie eine zertifikatsbasierte WLAN-Verbindung mit 802.1x Authentifizierung in einem LANCOM WLC-Szenario konfigurieren.


Voraussetzungen:


Szenario:

1. Eine Firma verwaltet die WLAN-Infrastruktutur mit einem LANCOM WLAN-Controller.

    • Der WLAN-Controller ist bereits in das lokale Netzwerk integriert und verfügt über ein funktionsfähiges WLAN-Netzwerk mit Authentifizierung per Preshared-Key.
    • Die LANCOM Access Points sind ebenfalls mit dem WLAN-Controller verbunden und werden von diesem verwaltet.

2. Das bestehende Szenario soll dahingehend erweitert werden, dass ein weiteres WLAN-Netzwerk konfiguriert wird, an welchem sich die Clients per 802.1x authentifizieren müssen.

3. In diesem Konfigurationsbeispiel wird der interne RADIUS-Server des WLAN-Controllers als Authentifizierungsserver verwendet. Das bedeutet, dass der WLAN-Controller zugleich Authenticator und Authentifizierungsserver ist.

Szenario-Grafik für eine zertifikatsbasierte RADIUS-Authentifizierung mit einem WLAN-Controller


Vorgehensweise:

1.  Erstellen der Zertifikate für die 802.1x-Authentifizierung:

1.1 Gehen Sie zur Erstellung der Zertifikate vor, wie in dem folgenden Knowledge Base Artikel beschrieben:

LANCOM Smart Certificate: Erstellen von Zertifikaten für eine 802.1x Authentifizierung

1.2 Zum Ende dieses Konfigurationsschrittes erhalten Sie zwei Zertifikatsdateien im *.p12-Dateiformat - eine für den WLAN-Controller (TLS Server) und eine für den WLAN-Client (TLS Client).



2. Zertifikats-Datei in den LANCOM WLAN-Controller laden:

2.1 Markieren Sie den WLAN-Controller in LANconfig, führen einen Rechtsklick aus und wählen im Kontextmenü die Option Konfigurations-Verwaltung → Zertifikat oder Datei hochladen aus.

Das Zertifikat kann alternativ auch per WEBconfig über das Menü Extras → Dateimanagement → Zertifikat oder Datei hochladen in den WLAN-Controller hochgeladen werden.

Zertifikat oder Datei per LANconfig in den WLAN-Controller hochladen

2.2 Wählen Sie die Zertifikats-Datei für den WLAN-Controller aus (in diesem Beispiel LANCOM_Router.p12) und wählen als Zertifikatstyp die Option EAP/TLS - Container als PKCS#12-Datei aus. Geben Sie anschließend bei Zert.-Passwort das bei der Zertifikats-Erstellung angegebene Passwort ein.

Klicken Sie abschließend auf Öffnen, um das Zertifikat hochzuladen.

Auswahl-Dialog für das Zertifikat



3. Manuelle Konfigurationsschritte auf dem WLAN-Controller: 

3.1 Erstellen des 802.1x-WLAN-Netzwerkes auf dem WLAN-Controller:

3.1.1 Öffnen Sie die Konfiguration des WLAN-Controllers in LANconfig und wechseln in das Menü WLAN-Controller → Profile → Logische WLAN-Netzwerke (SSIDs).

Menü Logische WLAN-Netzwerke (SSIDs) öffnen

3.1.2 Klicken Sie auf Hinzufügen, um ein neues logisches Netzwerk zu erstellen.

Weiteres logisches WLAN-Netzwerk erstellen

3.1.3 Passen Sie die folgenden Parameter an:

  • Name: Geben Sie einen aussagekräftigen Profil-Namen ein (in diesem Beispiel EAP-TLS).
  • Netzwerk-Name (SSID): Geben Sie einen Namen für die SSID ein (in diesem Beispiel WLAN_802.1X).
  • Verschlüsselung: Wählen Sie im Dropdown-Menü die Option 802.11i (WPA)-802.1x aus.

Bei Bedarf können Sie auch ein VLAN für dieses Profil angeben, damit für dieses Profil ein separates Netzwerk verwendet wird. 

Parameter für logisches WLAN-Netzwerk angeben

3.1.4 Wechseln Sie in das Menü WLAN-Controller → Profile → WLAN-Profile.

Menü WLAN-Profile öffnen

3.1.5 Wählen Sie das vorhandene WLAN-Profil aus und klicken auf Bearbeiten.

Vorhandenes WLAN-Profil bearbeiten

3.1.6 Klicken Sie bei Log. WLAN-Netzwerk-Liste auf Wählen.

Auswahl-Menü für logische WLAN-Netzwerk-Liste aufrufen

3.1.7 Wählen Sie das in Schritt 3.1.3 erstellte logische WLAN-Profil aus.

Neu erstelltes logisches WLAN-Profil auswählen


3.2 Konfiguration des RADIUS-Servers auf dem WLAN-Controller:

3.2.1 Wechseln Sie in das Menü RADIUS → Server und setzen den Haken bei RADIUS-Authentisierung aktiv.

RADIUS-Server aktivieren

3.2.2 Wechseln Sie in das Menü RADIUS → Server → RADIUS-Dienste-Ports.

Menü RADIUS-Dienste-Ports aufrufen

3.2.3 Stellen Sie sicher, dass als Authentifizierungs-Port der Port 1812 hinterlegt ist.

Kontrolle auf korrekten Authentifizierungs-Port

3.2.4 Wechseln Sie in das Menü RADIUS → Server → EAP.

Menü EAP im RADIUS-Server aufrufen

3.2.5 Wählen Sie bei Default-Methode im Dropdown-Menü die Option TLS aus.

Default-Methode für die EAP-Authentifizierung auswählen

3.2.6 Die manuellen Konfigurationsschritte auf dem WLAN-Controller sind damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.



4. Konfigurationsschritte auf einem WLAN-Client mit Windows 10 / Windows 11:

4.1 Import des Zertifikates in Windows:

4.1.1 Führen Sie einen Doppelklick auf das Client-Zertifikat durch. Wählen Sie im Zertifikatimport-Assistenten den Speicherort aus und klicken auf Weiter.

Speicherort für das Zertifikat auswählen

4.1.2 Übernehmen Sie den eingestellten Pfad zur Client-Zertifikatsdatei und klicken auf Weiter.

Datei-Pfad zum Zertifikat übernehmen

4.1.3 Geben Sie das Kennwort ein, welches Sie in Schritt 1. bei der Erstellung der Zertifikate angegeben haben. Klicken Sie anschließend auf Weiter.

Kennwort für das Zertifikat angeben

4.1.4 Belassen Sie die Einstellung bei Zertifikatspeicher automatisch auswählen und klicken auf Weiter.

Zertifikatsspeicher automatisch auswählen belassen

4.1.5 Klicken Sie auf Fertig stellen, um den Zertifikats-Import abzuschließen.

Bestätigen Sie eine etwaige Sicherheitswarnung mit Ja.

Zertifikats-Import abschließen

4.1.6 Der erfolgreiche Zertifikats-Import wird durch die folgende Meldung signalisiert. Klicken Sie auf OK, um das Fenster zu schließen.

Meldung zum erfolgreichen Zertifikats-Import


4.2 Konfiguration des WLAN-Netzwerks im Windows-Client:

4.2.1 Navigieren Sie in das Menü Systemsteuerung → Netzwerk und Internet → Netzwerk- und Freigabecenter und klicken auf Neue Verbindung oder neues Netzwerk einrichten.

Neues Netzwerk über das Windows Netzwerk- und Freigabe-Center erstellen

4.2.2 Wählen Sie die Option Manuell mit einem Drahtlosnetzwerk verbinden aus und klicken auf Weiter.

Neues WLAN-Netzwerk erstellen

4.2.3 Passen Sie die folgenden Parameter an und klicken auf Weiter:

  • Netzwerkname: Tragen Sie den SSID-Namen ein, den Sie in Schritt 3.1.3 im WLAN-Controller vergeben haben (in diesem Beispiel WLAN_802.1X).
  • Sicherheitstyp: Wählen Sie im Dropdownmenü die Option WPA2-Enterprise aus.

WLAN-Name und Verschlüsselung für das WLAN-Netzwerk angeben

4.2.4 Klicken Sie auf Verbindungseinstellungen ändern, um in die erweiterten Einstellungen zu gelangen.

Erweiterte Einstellungen für das WLAN-Netzwerk aufrufen

4.2.5 Wechseln Sie in den Reiter Sicherheit und passen die folgenden Parameter an:

  • Sicherheitstyp: Wählen Sie im Dropdownmenü die Option WPA2-Enterprise aus.
  • Verschlüsselungstyp: Wählen Sie im Dropdownmenü die Option AES aus.

Verschlüsselungs-Parameter für das WLAN-Netzwerk anpassen

4.2.6 Wählen Sie im Dropdownmenü bei Wählen Sie eine Methode... die Option Microsoft: Smartcard oder anderes Zertifikat aus. Klicken Sie anschließend auf Einstellungen.

Authentifizierung per Zertifikat aktivieren und weitere Einstellungen aufrufen

4.2.7 Wählen Sie die Stammzertifizierungsstelle des in Schritt 1. erstellten Client-Zertifikates aus (in diesem Beispiel LANCOM CA). Klicken Sie anschließend auf OK.

Stamm-Zertifikat des importierten Zertifikats auswählen

4.2.8 Klicken Sie auf OK, um die Einstellungen zu übernehmen.

Einstellungen übernehmen

4.2.9 Klicken abschließend auf Schließen. Die Konfigurationsschritte sind damit abgeschlossen.

Setup-Assistent abschließen

Bei dem Herstellen der WLAN-Verbindung muss im Windows-Client noch das korrekte Zertifikat für die Authentifizierung ausgewählt werden.

Bei Verbindung mit dem WLAN Zertifikat auswählen

 
 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH