Beschreibung:Dieses Dokument beschreibt die Vorgehensweise zur Einrichtung einer zertifikatsbasierten WLAN-Verbindung (802.1x), bei welcher die Authentifizierung zwischen WLAN-Client und LANCOM Access Point über das
Extensible
Authentication
Protocol (
EAP) und dem Authentifizierungsverfahren
Transport
Layer
Security (
TLS) durchgeführt wird. TLS ist ein gängiges (und seit Windows XP unterstütztes) Verfahren, bei dem Server und Client Zertifikate austauschen.
Bei der EAP-basierten Authentifizierung muss immer ein
RADIUS-Server verwendet werden, welcher als Authentifizierungs-Server fungiert. Da alle
LANCOM Access Points und
WLAN-Router über einen
integrierten RADIUS-Server verfügen, wird ihn diesem Dokument der RADIUS-Server des LANCOM Access Points als Authentifizierungs-Server verwendet, das heisst, der Access Point ist sowohl Authenticator als auch Authentifizierungs-Server.
WPA/802.1x wird häufig auch als
WPA-Enterprise bezeichnet.
Voraussetzungen:- aktuelle LCOS-Firmware (download)
- aktuelle LANtools (download)
- gültige X.509 Zertifikate
- Ab der LCOS Version 9.10 können Zertifikate auch direkt auf einem LANCOM Router erstellt werden.
Eine Anleitung finden Sie in folgendem Knowledgebase-Dokument .
Szenario:Beispiel-Zertifikate:In diesem Konfigurations-Beispiel wird jeweils ein eigenes x509-Zertifikat für das RADIUS-Modul des Access Point
(
LANCOM_Router.p12) und ein eigenes x509-Zertifikat für den WLAN-Client (
LANCOM_Client.p12) verwendet.
Beide Zertifikate besitzen eine
Gültigkeit von 10 Jahren.
Das in den
Beispiel-Zertifikaten verwendete
Passwort lautet
lancom.
LANCOM_Router.p12 LANCOM_Client.p12 Konfigurationsschritte auf dem LANCOM Access Point:1. Öffnen Sie die Konfiguration des LANCOM Access Point in
LANconfig und wechseln Sie in das Menü
Konfiguration -> Wireless LAN -> Physikalische WLAN-Einstellungen.
2.
Aktivieren Sie das
WLAN-Interface in der Registerkarte
Betrieb.
Info:Alle weiteren Einstellungen für das physikalische WLAN-Interface belassen wir in diesem
Beispiel bei den
Standardeinstellungen. Sie können diese aber Ihren Anforderungen entsprechend verändern.
3. Klicken Sie auf
OK um die Einstellungen zu übernehmen.
4. Wechseln Sie in das Menü
Konfiguration -> Wireless LAN -> Logische WLAN-Einstellungen -> WLAN-Netzwerk 1.
5. Aktivieren Sie das
logische WLAN-Netzwerk 1 und vergeben Sie im Feld
Netzwerk-Name (SSID) einen eindeutigen Namen für das Wireless Netzwerk. In diesem Beispiel wird der Name
eap-test verwendet.
6. Klicken Sie auf
OK um die Einstellungen zu übernehmen.
7. Wechseln Sie in das Menü
Konfiguration -> Wireless LAN -> 802.11i/WEP -> WPA- /Einzel-WEP-Einstellungen...8. Öffnen Sie in der Liste den Eintrag für das
Wireless Netzwerk 1.
9. Stellen Sie im Feld
Methode/Schlüs.-1-Typ den Wert
802.11i(WPA)-802.1x ein.
10. Das Feld
Schlüssel 1/Passphrase darf
keinen Eintrag enthalten.
11. Klicken Sie auf
OK um die Einstellungen zu übernehmen.
12. Wechseln Sie in das Menü
Konfiguration -> Wireless LAN -> 802.1x -> RADIUS-Server...13. Klicken Sie auf die Schaltfläche
Default-Server.
14. Geben Sie im folgenden Dialog als
Server IP-Adresse die interne Hostadresse des LANCOM Access Point, der als RADIUS-Server fungiert, ein (
127.0.0.1). Im Feld
Server-Port muss der Authentifizierungs-Port des internen RADIUS-Servers eingetragen werden (
1.812).
15. Klicken Sie auf
OK um die Einstellungen zu übernehmen.
16. Wechseln Sie in das Menü
Konfiguration -> RADIUS-Server.17. Tragen Sie den Wert für den
Authentifizierungs-Port des internen RADIUS-Servers ein (
1.812).
18. Wechseln Sie auf die Registerkarte
EAP.
19. Stellen Sie im Auswahlfeld
Default-Methode den Wert
TLS ein.
20. Klicken Sie auf
OK um die Einstellungen zu übernehmen und in den LANCOM Access Point zurück zu schreiben.
21. Führen Sie in
LANconfig einen rechten Mausklick auf dem LANCOM Access Point aus und wählen Sie die Option
Konfigurations-Verwaltung -> Zertifikat als Datei hochladen...22. Wählen Sie im folgenden Dialog die Zertifikats-Datei für den LANCOM Access Point aus. In diesem Beispiel wird die Datei
LANCOM_Router.p12 verwendet.
23. Wählen Sie im Auswahlfeld
Zertifikattyp die Einstellung
EAP/TLS - Container als PKCS#12-Datei aus.
24. Geben Sie im Feld
Passwort das
Passwort des Zertifikates ein. In diesem Beispiel lautet das Passwort
lancom.
25. Klicken Sie auf
Öffnen um das Zertifikat in den LANCOM Access Point zu laden.
26. Die Konfigurationsschritte auf dem LANCOM Access Point sind damit abgeschlossen.
Info:Sie können sich das Zertifikat, welches Sie in den LANCOM Access Point geladen haben, ansehen, indem Sie eine
Telnet- oder SSH-Sitzung auf dem LANCOM Access Point starten und an der Eingabeaufforderung den Befehl
show eap eingeben.
Konfigurationsschritte auf dem WLAN-Client:Importieren des Client-Zertifikates in Windows:1. Führen Sie einen doppelten Mausklick auf der Client-Zertifikatsdatei aus. In unserem Beispiel wird die Datei
LANCOM_Client.p12 verwendet.
2. Klicken Sie auf
Weiter.
3. Übernehmen Sie den eingestellten Pfad zur Client-Zertifikatsdatei und klicken Sie auf
Weiter.
4. Geben Sie das
Kennwort ein, mit welchem der private Schlüssel des Zertifikates geschützt ist. Bei unserem
Beispiel-Zertifikat lautet das Kennwort
lancom.
5. Belassen Sie die Einstellung bei
Zertifikatspeicher automatisch auswählen und klicken Sie auf
Weiter.
6. Klicken Sie auf
Fertig stellen um den Zertifikats-Import abzuschließen.
7. Bestätigen Sie die folgende Sicherheitswarnung mit
Ja.
8. Der erfolgreiche Zertifikats-Import wird mit einer Meldung angezeigt.
Einrichten der WLAN-Verbindung in Windows 7 und Windows 8:1. Öffnen Sie den
Verwaltungsdialog für Drahtlosnetzwerke und klicken Sie auf
Hinzufügen.
2. Wählen Sie im nächsten Fenster die Option
Ein Netzwerkprofil manuell erstellen.
3. Im Feld
Netzwerkname müssen Sie den Namen
eap-test eingeben. Die Werte für
Sicherheitstyp und
Verschlüsselungstyp müssen auf
WPA2-Enterprise und
AES eingestellt werden. Klicken Sie dann auf
Weiter.
4. Im nächsten Fenster müssen Sie auf
Verbindungseinstellungen ändern klicken.
5. Wechseln Sie im Eigenschaften-Dialog auf die Registerkarte
Sicherheit.
6. Wählen Sie als Methode für die Netzwerkauthentifizierung
Microsoft: Smartcard- oder anderes Zertifikat aus.
7. Klicken Sie anschließend auf die Schaltfläche
Eigenschaften.
8. Aktivieren Sie die Option
Serverzertifikat überprüfen und wählen Sie als
vertrauenswürdige Stammzertifizierungsstelle CA-LANCOM aus.
9. Klicken Sie auf
OK um die Einstellungen zu übernehmen. Mit einem weiteren Klick auf
OK im
Eigenschaften-Fenster wird die Einrichtung der WLAN-Verbindung zum Netzwerk
eap-test abgeschlossen. Die Konfigurationsschritte sind damit abgeschlossen.