802.1X EAP-TLS Verwendung des privaten Client Schlüssels?

[sysadm]

Hallo zusammen,

ich bin derzeit dabei RADIUS 802.1X zu implementieren. Als Authentifizierungsmethode soll hier der sicherste Standard EAP-TLS zum Einsatz kommen. Ich habe nun für Windows-Client als auch für den RADIUS-Server ein dementsprechendes Zertifikat ausgestellt. Auf dem Server habe ich Zertifikate & privater Schlüssel installiert. Auf dem Client nur das Zertifikat ohne privaten Schlüssel. Jetzt habe ich das Ganze mal getestet und festgestellt, dass die Authentifizierung fehlschlägt. Ich habe nun also den privaten Schlüssel zusätzlich auf dem Client installiert und siehe da, es funktionierte.

Warum genau braucht der Client den privaten Schlüssel für eine erfolgreiche Authentifizierung und an welchem Punkt kommt dieser zum Einsatz?

Der Client authentifiziert sich soweit ich weiß, indem er sein Zertifikat an den Server schickt. Dieser prüft ob das Zertifikat vertraulich ist, indem er in seinem Zertifikatspeicher nach einem passenden Root-Zertifikat sucht. Gleicher Prozess für die Server-Authentifizierung.

Ich hoffe mir kann hier jemand weiterhelfen.

Grüße

Dankeschön

 

[gaym0r]

@sysadm
So funktionieren Zertifikate nunmal.

Hab mal in meinen Notizen gegraben, so funktioniert es grob:

1. Der Client sendet seine Authentifizierungsanfrage an den RADIUS-Server.
2. Der RADIUS-Server fordert eine Authentifizierungsmethode an
3. Der Client präsentiert sein Zertifikat, das den öffentlichen Schlüssel und die zugehörigen Zertifikatsdetails enthält.
4. Der RADIUS-Server überprüft das Zertifikat des Clients, indem er den öffentlichen Schlüssel verwendet, der im Zertifikat enthalten ist.
5. Nach erfolgreicher Überprüfung des Zertifikats fordert der RADIUS-Server den Client auf, eine Authentifizierung durchzuführen, bei der der Client seinen privaten Schlüssel verwendet, um eine digitale Signatur zu erstellen oder verschlüsselte Daten zu entschlüsseln, um seine Identität zu bestätigen

 

[schalli110]

Der öffentliche Schlüssel ist nun mal genau das: Öffentlich, jeder kann den haben/kennen.
Um sich auszuweisen braucht der Client den privaten Schlüssel.

 

[0x8100]

https://security.stackexchange.com/a/266202 auf keinen fall gehört das server-zertifikat und dessen private key auf die clients.

 

[T3Kila]

Der private Schlüssel gehört auf/zum Inhaber, und NUR dort hin.
Also der private Schlüssel des Servers auf den Server und der private Schlüssel des Clients auf den Client.

 

[sysadm]

https://security.stackexchange.com/a/266202 auf keinen fall gehört das server-zertifikat und dessen private key auf die clients.

Das kam vielleicht etwas falsch rüber. Ich habe natürlich nicht das Server Zertifikat und den dazugehörigen privaten Schlüssel auf dem Client installiert, sondern den privaten Schlüssel des Clients. Server-Cert und Key bleiben immer auf dem Server.

 

[Tornhoof]

sondern den privaten Schlüssel des Clients. Server-Cert und Key bleiben immer auf dem Server.

Jo passt ja auch so. Um zu verstehen wo das Client cert wie eingesetzt wird, einfach tls Client auth durchlesen.
Zb hier
https://comodosslstore.com/blog/what-is-ssl-tls-client-authentication-how-does-it-work.html