Radius : Export de certificat utilisateur

[coolhead]

Bonjour,

Je bien suivi cet article Sécuriser un réseau Wi-Fi avec Windows 2003 Server et je rencontre un problème.

J'ai des élèves qui sont susceptibles de se connecter avec leur ordinateur portable à notre réseau Wi-Fi.J'ai mis en place une sécurité des point d'accès géré par un serveur Radius w2k3.

Comment peuvent il faire une demande de certificat sans être encore autorisé au niveau du point d'accès ?

Peuvent ils se connecter une première fois à un poste fixe et exporter un certificat qu'ils installent ensuite sur leur portable ?

Merci

[coolhead]

Personnes

[madev]

Bonjour,

Il faudrait plus d'informations pour pouvoir te répondre.

Comment as tu installé tes certificats sur les autres machines (interface iis ?, difusion automatique par gpo? etc.)

Après, il me semble qu'il y a un bouton à cocher sur l'interface iis pour créer un fichier au lieu de l'installer sur la machine.
Par contre, je ne sais pas comment la clé privée est gérée quand tu fais ça.

Tiens nous au courant, ça m'interesse aussi.

[coolhead]

En fait j'ai vraiment bien suivi l'article Sécuriser un réseau Wi-Fi avec Windows 2003 Server.

Comment as tu installé tes certificats sur les autres machines (interface iis ?, difusion automatique par gpo? etc.)

La piste GPO n'en n'est pas eu dans la mesure ou je souhaite permettre à des utilisateurs de se connecter avec leur propre portable (donc pas s'attacher au domaine).
Je n'est pas encore installé de certificat sur d'autre machine car je souhaite bien observer se qui se passe pour une machine qui se connecte pour le première fois en wifi.

Du coup , j'ai un serveur Radius qui tourne que mon contrôleur de domaine.
Un point d'accès Wifi (AP) se le même réseau avec une authentification WPA-EAP.
Et une machine qui cherche à se connecter sur l'AP.

Comment connecter le portable au réseau wifi pour demander le certifiat ?

1°) Doit on prévoir une première connexion filaire ?
La machine aura alors une IP délivré par le DHCP (toujours le contrôleur de domaine) , aura donc accès au réseau et du coup à la page IIS de demande de certificat.
Ensuite certificat installé, la machine pourra se connecter à l'AP.

2°) Doit on prévoir une première connexion sur un poste fixe ?
L'utilisateur utilise un poste de bureau pour se connecter à la page IIS de demande de certificat.
Il exporte le certificat sur sa clé USB, par exmple. Et là du coup, comment fait on ?
Il importe le certificat de sa clé USB sur son portable pour avoir accès à l'AP. Et, encore une fois, comment réimporter ce même certificat ?

3°) Est il possible de se "pré" connecter au point d'accès pour avoir une adresse IP permettant de voir la page IIS de demande de certificat ?

Je ne sais pas quel méthode passer.

Thks

[madev]

Si ta machine n'a pas de certificat, elle ne peut pas s'authentifier, tu n'as donc à priori pas de possibilité de récupérer ton certificat en wifi.

Il existe plusieurs solutions pour le récupérer : récupérer par mail, par clé usb, en se connectant sur le réseaux filaire.

Cela va dépendre de tes besoins (en gros le nombre de personnes qui vont avoir besoin d'un certificat).

Je suis pas expert en pki microsoft, j'ai moi même des problèmes avec ...

[coolhead]

...Après, il me semble qu'il y a un bouton à cocher sur l'interface iis pour créer un fichier au lieu de l'installer sur la machine...

J'ai cherche sur mon IIS mais je ne trouve pas la méthode permettant de créer un fichier plutôt que de l'installer.
J'imagine qu'un fois généré je pourrai l'envoyer par mail ou mettre un une clé usb.

[madev]

Il faut demander un certificat avancé, pas prendre directement celui qu'il te propose

[coolhead]

Ok pour l'export du certificat, ça marche.
J'ai sur le portable les même certificat que sur le poste bureautique (filaire).

Mais attention, depuis FireFox on n'a pas accès à la même chose :

-IE => Demander un certificat, demande de certificat avancée, et nous avons le choix entre "Créer et soumettre une demande de requête auprès de cette Autorité de certification", "Soumettre une demande de certificat ou de renouvellement" ou "Demander un certificat pour une carte à puce au nom d'un autre utilisateur en utilisant la Station d'inscription du certificat de carte à puce"

- FireFox => Demander un certificat, demande de certificat avancée, puis "Créer et soumettre une demande de requête auprès de cette Autorité de certification." n'est pas disponible, nous avons directement la page "Soumettre une demande de certificat ou de renouvellement"


J'ai tout de même un doute avec les certificats.
Il n'y a pas un endroits dans Windows où sont géré les certificats ? Pourquoi les certif dans IE ne se voient pas dans FireFox ?
Doit on passer obligatoirement par un navigateur pour installer (importer) un certificat ?

Et pour finir, mon truc ne fonctionne pas pour autant, mais c'est un autre sujet : Connection sécurisé Radius, W2k3, Point d'accès

[madev]

Dans l'invité de commande tu tappes "mmc"

Ficher/ajouter un composant logiciel.../ajouter/certificat

Et là tu peux choisir pour la machine ou pour l'user.

Dans ff ou ie, tu peux installer des certificats directement dedans, ils ne sont dons pas dispo ailleurs. Il faut qu'ils soient là où je t'ai dis pour pouvoir les voir partout.

[coolhead]

Ça marche. Merci.