Herstellen einer Wirelessverbindung mit Zertifikat über einen ZyAIR G-1000 Access Point und einen Radius 50 Server Die nachfolgende Anleitung beschreibt, wie eine ZyWALL Vantage RADIUS 50 in ein WLAN zur Authentisierung mit einem AP (ZyAIR G-1000) integriert werden muss. Die Autorisierung findet dabei mit Hilfe von Zertifikaten und Username/Passwort statt. Teil 1: Konfiguration ZyWALL Vantage RADIUS 50 Die IP-Adresse ist von Werk her auf 192.168.1.3 gesetzt und muss ggf. Ihren Netzwerkverhältnissen entsprechend geändert werden. Ist in dem Netzwerk kein DHCP Server vorhanden ist, kann der DHCP Server des RADIUS 50 aktiviert werden. Damit würden die Wireless-Clients bei Verbindungsaufbau automatisch eine IP Adresse, Gateway und DNS Adressen beziehen. Ist bereits ein DHCP Server aktiv, muss dieser deaktiviert bleiben. 04/2005/FZA Copyright by ZyXEL - Änderungen vorbehalten Seite 1/10
Für die Erstellung und Gültigkeit des Zertifikats spielt das Datum und die Uhrzeit des ZyWALL Vantage RADIUS 50 eine essentielle Rolle. Ansonsten kann es vorkommen, dass das Zertifikat später nicht korrekt importiert wird oder vorzeitig abläuft. Die Systemzeit kann über einen Internet Timeserver bezogen, manuell eingetragen oder vom PC her bezogen werden. Durch drücken auf das Feld Get from my PC wird diese Information vom PC her bezogen. Nach drücken auf Set Date/Time wird diese dann als aktuelle Systemzeit übernommen. 04/2005/FZA Copyright by ZyXEL - Änderungen vorbehalten Seite 2/10
Für das Erstellen des Zertifikats müssen die Informationen für das ROOT CA vollständig ausgefüllt werden. Nach dem vollständigen Ausfüllen müssen die eingegebenen Daten mit Apply übernommen werden. Das Downloaden des Root CA Certificate führen wir zu einem späteren Zeitpunkt durch. Als nächstes müssen die Informationen für das Server Certificate ausgefüllt werden. Anschliessend auch hier mit Apply die eingegebenen Daten übernehmen. Sind beide Zertifikate ausgefüllt, kann das Zertifikat auf den Computer heruntergeladen werden. Wechseln Sie dazu ins Menü ROOT CA und klicken Sie auf den Link Download Root CA Certificate. Empfehlung: Speichern Sie das Zertifikat lokal ab. Damit steht es für die Einbindung eines weiteren Wireless Clients zur Verfügung. 04/2005/FZA Copyright by ZyXEL - Änderungen vorbehalten Seite 3/10
Als nächstes muss der RADIUS Server konfiguriert werden. Wechseln Sie dazu auf RADIUS SERVER. Die voreingestellten Portnummern für Authentication und Accounting können übernommen werden. Sollten diese geändert werden, müssen diese später in der Konfiguration des WLAN Access Points ebenfalls geändert werden. Der Shared Secret-Key kann beliebig gewählt werden. Dieser wird als Authentifizierung mit dem RADIUS Client (ZyAIR G-1000) verwendet. Als letztes müssen noch die Benutzer auf dem RADIUS 50 erfasst werden: Damit ist die Konfiguration des RADIUS 50 abgeschlossen 04/2005/FZA Copyright by ZyXEL - Änderungen vorbehalten Seite 4/10
Teil 2: Konfiguration des Access Points (ZyAIR G-1000) Die IP Adresse ist von Werk her auf 192.168.1.2 gesetzt und muss ggf. Ihren Netzwerkverhältnissen entsprechend geändert werden. Der Name für den Access Point unter ESSID kann frei gewählt werden. Unter dieser Bezeichnung ist der Access Point für die Wireless Clients sichtbar. Die WEP Encryption muss deaktiviert bleiben. Die weiteren Einstellungen können übernommen werden. 04/2005/FZA Copyright by ZyXEL - Änderungen vorbehalten Seite 5/10
Im Register 802.1x/WPA muss die Option Wireless Port Control auf Authentication Required eingestellt werden. Key Management Protocol muss auf 802.1x eingestellt werden. Als letztes müssen noch die Einstellungen für den Radius Server gemacht werden. Authentication Server: Active: Yes Server IP Address: 192.168.1.3 (IP Adresse des RADIUS 50) Port Number: 1812 (default, sonst geänderten Port eintragen) Shared Secret 112233445566 (wie auf RADIUS 50) Accounting Server: Active: Yes Server IP Address: 192.168.1.3 (IP Adresse des RADIUS 50) Port Number: 1813 (default, sonst geänderten Port eintragen) Shared Secret 112233445566 (wie auf RADIUS 50) 04/2005/FZA Copyright by ZyXEL - Änderungen vorbehalten Seite 6/10
Teil 3: Importieren des RADIUS 50 Zertifikates Um die Wireless Verbindung herstellen zu können, muss das Zertifikat importiert werden. Doppelklicken Sie dazu auf das abgespeicherte Zertifikat und wählen Öffnen. Darauf hin werden Ihnen die Zertifikats-Informationen angezeigt. Wählen Sie jetzt Zertifikat installieren. Es wird der Zertifikatsimport-Assistent gestartet: 04/2005/FZA Copyright by ZyXEL - Änderungen vorbehalten Seite 7/10
Wählen Sie hier Alle Zertifikate im folgenden Speicher speichern und drücken auf Durchsuchen. Sie werden nun aufgefordert, den Speicherort für das Zertifikat festzulegen. Wählen Sie dazu "Vertrauenswürdige Stammzertifizierungsstelle" aus. Nach der Auswahl des Speicherortes und der anschliessenden Bestätigung ist der Import abgeschlossen. 04/2005/FZA Copyright by ZyXEL - Änderungen vorbehalten Seite 8/10
Teil 3: Konfiguration Wireless Clients und Windows XP SP2 Nach dem Importieren des Zertifikates kann jetzt die Erstellung einer neuen "Drahtlosen Netzwerkverbindung" durchgeführt werden. Klicken Sie dazu unter Eigenschaften von Drahtlose Netzwerkverbindung auf "hinzufügen". Geben Sie als Netzwerkname (SSID) den Namen ein, welchen Sie bei der Konfiguration des Access Points (ZyAIR G-1000) verwendet haben. Als Netzwerkauthentifizierung wählen Sie WPA aus und bei Datenverschlüsselung TKIP. Im Register Authentifizierung wählen Sie unter EAP-Typ: Geschütztes EAP (PEAP) aus und klicken anschliessend auf Eigenschaften. Markieren Sie Serverzertifikat überprüfen und wählen Sie unter Vertrauenswürdige Stammzertifizierungsstellen Ihr importiertes Zertifikat aus. 04/2005/FZA Copyright by ZyXEL - Änderungen vorbehalten Seite 9/10
Als Authentifizierungsmethode auswählen wählen Sie Sicheres Kennwort (EAP- MSCHAP v2) und unter Konfigurieren die Option Automatisch eigenen Windows- Anmeldenamen und Kennwort (und Domäne, falls vorhanden) verwenden deaktivieren. Damit ist die Konfiguration des Wireless Clients unter Windows XP SP2 abgeschlossen. Hinweis: Es kann vorkommen, dass beim Verbinden des Wireless Clients mit dem Access Point/RADIUS 50 das Anmeldefenster im Hintergrund bleibt. Holen Sie in diesem Falle das Anmeldefenster mit <ALT>-<TAB> in den Vordergrund. 04/2005/FZA Copyright by ZyXEL - Änderungen vorbehalten Seite 10/10