locked
Comprobacion de certificado de servidor en TTLS de Windows 8 RRS feed

  • Pregunta

  • Hola a todos,

    He buscado algun documento de Microsoft para responder a las preguntas que voy a hacer pero no lo he encontrado.

    Tambien pido disculpas si hay un foro mas adecuado paar el post. Si el administrador de los foros lo cree oportuno, por favor, traslade el post al foro mas adecuado.

    Trabajo en una universidad con una red wifi en la que los accesos se hacen en mas del 99% por medio de EAP-TTLS.

    La incorporacion de TTLS en WIndows 8 es una buena noticia pero para poder dar un buen servicio de soporte necesitamos saber algunos detalles de como es la implementacion de TTLS en Windows 8.

    Todo tiene que ver con el chequeo que hace el cliente TTLS de Windows 8 del certificado que presenta la red wifi.

    1.-Creemos que el cliente TTLS SIEMPRE comprueba el certificado del servidor. EL hecho de que no haya caja de check en  la sección “Validación de certificado de servidor” nos hace pensar que el chequeo del certificado se realiza siempre. ¿Es así?.

    2.-La primera vez que el usuario se conecta a una red wifi con TTLS, SIN CONFIGURAR NADA, el sistema avisa de que no puede verificar el certificado que presenta la red. Normal.

    Pero, en las siguientes conexiones, SIN TOCAR NADA EN LA CONFIGURACION DE TTLS, ¿Cómo valida el certificado del servidor el cliente TTLS?

    Mi hipótesis es que el cliente hizo copia del certificado que vió en la primera conexión y a partir de entonces, comprueba que cada vez que va a conectarse a esa red, el certificado que le presenta la red wifi y el que el almacenó en la primera conexión coinciden. ¿Es así?

    3.-¿Dónde almacena ese certificado el W8?

    Lo hemos buscado por todos los almacenes, personal, de raíz, de intermedias, etc y no lo vemos.

    4.-¿Dónde se puede ver CUAL ES el certificado que se está utilizando en el proceso TTLS para el chequeo.?

    Suponiendo un cliente en el que hay múltiples certificados personales y de máquinas almacenados por la razón que sea, ¿dónde se ve CUAL ES el que utiliza el TTLS en la comprobación?

    ¿Que hay que hacer si cambia el certificado que presenta la red wifi? ¿Cómo se puede borrar/cambiar la copia que esta utilizando W8 para hacer el chequeo?

    5.-Si en las opciones de la configuracion de TTLS rellenamos nombre de servidor y autoridad raíz firmante, entonces creemos que el W8 deja de chequear el certificado que descargó en su primera conexión y pasa a verificar nombre y raíz firmante y “abandona” la copia del certificado que vió en la primera conexión. ¿Es así?

    ¿O el W8 hace una verificación triple (nombre, autoridad raíz firmante y copia descargada en primera conexión)? Creemos que esa triple verificación no tendría sentido pero nunca se sabe.

    6.-¿Qué pasa si la caja “No avisar al usuario si no se puede autorizar el servidor” SI tiene marca de check?

    Si el certificado no es el esperado

    ¿conecta sin decir nada? o

    ¿no conecta y no dice nada al usuario? o

    ¿deja la elección al usuario?

    7.-¿Qué pasa si la caja de “No avisar al usuario si no se puede autorizar el servidor” NO tiene marca de check?

    Si el certificado no es el esperado.

    ¿conecta dando aviso de que el certificado no es el esperado? o

    ¿NO conecta dando aviso de que el certificado no es el esperado? o

    ¿deja al usuario la elección de conectar o no, avisándole que el certificado no es el correcto?

    Muchas de las cosas que pregunto podriamos comprobarlas si cambiasemos temporalmente el certificado que el radius presenta en la red wifi, pero es un sistema en produccion para toda la universidad y no podemos hacer tests de ese tipo en una de las herramientas principales de acceso a la red de datos.

    Saludos cordiales y gracias,

    Nicolas Velazquez

    Responsable de Redes de Datos

    Universidad Autonoma de Madrid

    jueves, 14 de febrero de 2013 14:26

Respuestas

  • Hola a todos,

    He buscado algun documento de Microsoft para responder a las preguntas que voy a hacer pero no lo he encontrado.

    Tambien pido disculpas si hay un foro mas adecuado paar el post. Si el administrador de los foros lo cree oportuno, por favor, traslade el post al foro mas adecuado.

    Trabajo en una universidad con una red wifi en la que los accesos se hacen en mas del 99% por medio de EAP-TTLS.

    La incorporacion de TTLS en WIndows 8 es una buena noticia pero para poder dar un buen servicio de soporte necesitamos saber algunos detalles de como es la implementacion de TTLS en Windows 8.

    Todo tiene que ver con el chequeo que hace el cliente TTLS de Windows 8 del certificado que presenta la red wifi.

    1.-Creemos que el cliente TTLS SIEMPRE comprueba el certificado del servidor. EL hecho de que no haya caja de check en  la sección “Validación de certificado de servidor” nos hace pensar que el chequeo del certificado se realiza siempre. ¿Es así?.

    2.-La primera vez que el usuario se conecta a una red wifi con TTLS, SIN CONFIGURAR NADA, el sistema avisa de que no puede verificar el certificado que presenta la red. Normal.

    Pero, en las siguientes conexiones, SIN TOCAR NADA EN LA CONFIGURACION DE TTLS, ¿Cómo valida el certificado del servidor el cliente TTLS?

    Mi hipótesis es que el cliente hizo copia del certificado que vió en la primera conexión y a partir de entonces, comprueba que cada vez que va a conectarse a esa red, el certificado que le presenta la red wifi y el que el almacenó en la primera conexión coinciden. ¿Es así?

    3.-¿Dónde almacena ese certificado el W8?

    Lo hemos buscado por todos los almacenes, personal, de raíz, de intermedias, etc y no lo vemos.

    4.-¿Dónde se puede ver CUAL ES el certificado que se está utilizando en el proceso TTLS para el chequeo.?

    Suponiendo un cliente en el que hay múltiples certificados personales y de máquinas almacenados por la razón que sea, ¿dónde se ve CUAL ES el que utiliza el TTLS en la comprobación?

    ¿Que hay que hacer si cambia el certificado que presenta la red wifi? ¿Cómo se puede borrar/cambiar la copia que esta utilizando W8 para hacer el chequeo?

    5.-Si en las opciones de la configuracion de TTLS rellenamos nombre de servidor y autoridad raíz firmante, entonces creemos que el W8 deja de chequear el certificado que descargó en su primera conexión y pasa a verificar nombre y raíz firmante y “abandona” la copia del certificado que vió en la primera conexión. ¿Es así?

    ¿O el W8 hace una verificación triple (nombre, autoridad raíz firmante y copia descargada en primera conexión)? Creemos que esa triple verificación no tendría sentido pero nunca se sabe.

    6.-¿Qué pasa si la caja “No avisar al usuario si no se puede autorizar el servidor” SI tiene marca de check?

    Si el certificado no es el esperado

    ¿conecta sin decir nada? o

    ¿no conecta y no dice nada al usuario? o

    ¿deja la elección al usuario?

    7.-¿Qué pasa si la caja de “No avisar al usuario si no se puede autorizar el servidor” NO tiene marca de check?

    Si el certificado no es el esperado.

    ¿conecta dando aviso de que el certificado no es el esperado? o

    ¿NO conecta dando aviso de que el certificado no es el esperado? o

    ¿deja al usuario la elección de conectar o no, avisándole que el certificado no es el correcto?

    Muchas de las cosas que pregunto podriamos comprobarlas si cambiasemos temporalmente el certificado que el radius presenta en la red wifi, pero es un sistema en produccion para toda la universidad y no podemos hacer tests de ese tipo en una de las herramientas principales de acceso a la red de datos.

    Saludos cordiales y gracias,

    Nicolas Velazquez

    Responsable de Redes de Datos

    Universidad Autonoma de Madrid

    Mira a ver si esto te puede valer:

    http://technet.microsoft.com/en-us/library/hh945104

    http://technet.microsoft.com/en-us/library/jj200213

    http://adamsync.wordpress.com/2012/05/08/eap-ttls-on-windows-2012-build-8250/


    Jose Manuel Tella Llop news://jmtella.com


    jueves, 14 de febrero de 2013 19:00

Todas las respuestas

  • Hola a todos,

    He buscado algun documento de Microsoft para responder a las preguntas que voy a hacer pero no lo he encontrado.

    Tambien pido disculpas si hay un foro mas adecuado paar el post. Si el administrador de los foros lo cree oportuno, por favor, traslade el post al foro mas adecuado.

    Trabajo en una universidad con una red wifi en la que los accesos se hacen en mas del 99% por medio de EAP-TTLS.

    La incorporacion de TTLS en WIndows 8 es una buena noticia pero para poder dar un buen servicio de soporte necesitamos saber algunos detalles de como es la implementacion de TTLS en Windows 8.

    Todo tiene que ver con el chequeo que hace el cliente TTLS de Windows 8 del certificado que presenta la red wifi.

    1.-Creemos que el cliente TTLS SIEMPRE comprueba el certificado del servidor. EL hecho de que no haya caja de check en  la sección “Validación de certificado de servidor” nos hace pensar que el chequeo del certificado se realiza siempre. ¿Es así?.

    2.-La primera vez que el usuario se conecta a una red wifi con TTLS, SIN CONFIGURAR NADA, el sistema avisa de que no puede verificar el certificado que presenta la red. Normal.

    Pero, en las siguientes conexiones, SIN TOCAR NADA EN LA CONFIGURACION DE TTLS, ¿Cómo valida el certificado del servidor el cliente TTLS?

    Mi hipótesis es que el cliente hizo copia del certificado que vió en la primera conexión y a partir de entonces, comprueba que cada vez que va a conectarse a esa red, el certificado que le presenta la red wifi y el que el almacenó en la primera conexión coinciden. ¿Es así?

    3.-¿Dónde almacena ese certificado el W8?

    Lo hemos buscado por todos los almacenes, personal, de raíz, de intermedias, etc y no lo vemos.

    4.-¿Dónde se puede ver CUAL ES el certificado que se está utilizando en el proceso TTLS para el chequeo.?

    Suponiendo un cliente en el que hay múltiples certificados personales y de máquinas almacenados por la razón que sea, ¿dónde se ve CUAL ES el que utiliza el TTLS en la comprobación?

    ¿Que hay que hacer si cambia el certificado que presenta la red wifi? ¿Cómo se puede borrar/cambiar la copia que esta utilizando W8 para hacer el chequeo?

    5.-Si en las opciones de la configuracion de TTLS rellenamos nombre de servidor y autoridad raíz firmante, entonces creemos que el W8 deja de chequear el certificado que descargó en su primera conexión y pasa a verificar nombre y raíz firmante y “abandona” la copia del certificado que vió en la primera conexión. ¿Es así?

    ¿O el W8 hace una verificación triple (nombre, autoridad raíz firmante y copia descargada en primera conexión)? Creemos que esa triple verificación no tendría sentido pero nunca se sabe.

    6.-¿Qué pasa si la caja “No avisar al usuario si no se puede autorizar el servidor” SI tiene marca de check?

    Si el certificado no es el esperado

    ¿conecta sin decir nada? o

    ¿no conecta y no dice nada al usuario? o

    ¿deja la elección al usuario?

    7.-¿Qué pasa si la caja de “No avisar al usuario si no se puede autorizar el servidor” NO tiene marca de check?

    Si el certificado no es el esperado.

    ¿conecta dando aviso de que el certificado no es el esperado? o

    ¿NO conecta dando aviso de que el certificado no es el esperado? o

    ¿deja al usuario la elección de conectar o no, avisándole que el certificado no es el correcto?

    Muchas de las cosas que pregunto podriamos comprobarlas si cambiasemos temporalmente el certificado que el radius presenta en la red wifi, pero es un sistema en produccion para toda la universidad y no podemos hacer tests de ese tipo en una de las herramientas principales de acceso a la red de datos.

    Saludos cordiales y gracias,

    Nicolas Velazquez

    Responsable de Redes de Datos

    Universidad Autonoma de Madrid

    Mira a ver si esto te puede valer:

    http://technet.microsoft.com/en-us/library/hh945104

    http://technet.microsoft.com/en-us/library/jj200213

    http://adamsync.wordpress.com/2012/05/08/eap-ttls-on-windows-2012-build-8250/


    Jose Manuel Tella Llop news://jmtella.com


    jueves, 14 de febrero de 2013 19:00
  • Hola Jose Manuel,

    Muchas gracias por los enlaces. Los he visto por encima y puede que si den respuesta a algunas de las cosas que he preguntado.

    Me queda leerlos tranquilamente.

    Gracias otra vez

    Nicolas

    viernes, 15 de febrero de 2013 11:12