Auteur Topic: Let's Encrypt en Radius [tip]  (gelezen 2435 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 134
  • -Ontvangen: 2039
  • Berichten: 13.378
Let's Encrypt en Radius [tip]
« Gepost op: 14 februari 2018, 12:44:03 »
Toen ik gisteren met Wifi een verbinding wilde leggen, kreeg ik de melding dat het certificaat veranderd was. Ik moest het vernieuwde certificaat accepteren. Het klopt dat Let's Encrypt het certificaat net vernieuwd had. 3 maand geleden liep ik er ook al tegenaan. Daarvoor nog nooit, terwijl ik Let's Encrypt al veel langer gebruik.

Het gebeurd alleen bij mijn MacBook. De android telefoon negeert de verandering van certificaat. Ergens krijg ik de indruk dan mijn mac de verbinding beter controleert dan vroeger.

Ik zat me alleen af te vragen hoe je een certificaat kunt maken die automatisch geaccepteerd wordt. Als je met wifi verbind en met radius verifieert, dan komt er geen enkele url bij kijken die je in het certificaat kunt zetten. Het is alleen het accesspoint dat een IP adres van de radiusserver heeft.

Waarschijnlijk ontkom je er niet aan dat je die vraag altijd krijgt bij een nieuw certificaat. Het is dan veel handiger om een self-signed certificaat met lange geldigheid te maken. En bij certificaat voorkeur in te stellen dat de radiusserver dat certificaat moet gebruiken i.p.v. het Let's Encrypt certificaat.

  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline cyrus1977

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 27
  • -Ontvangen: 54
  • Berichten: 1.530
    • http://www.bonaerial.nl
Re: Let's Encrypt en Radius [tip]
« Reactie #1 Gepost op: 24 oktober 2020, 13:40:24 »
Toevallig liep ik hier ook recent tegen aan. Wilde ondanks dat deze post oud is, voor het nageslacht even mijn ervaring delen.
Online vond ik dat dit inderdaad policy is van Apple. Ik heb het getest ook op mijn werk gebruiken we een radius login en als daar het certificaat verloopt (niet zijnde letsencrypt) dan krijg ik daar ook een melding.

Of het betere controle is vind ik nergens. Wel dat het policy is van Apple om je te wijzen op een certificaat wijziging. En dat is op zich wel fijn want het maakt je wel even alert dat er iets veranderde... Zou namelijk ook spoorlijn kunnen zijn. Bij acceptatie van het certificaat zie ik overigens wel dat het certificaat in orde is.

Kortom ik ben er eigenlijk wel blij mee. Android is dan toch net iets minder zichtbaar.
  • Mijn Synology: DS415
  • HDD's: 4
See http://www.bonaerial.nl
I am root. If you see me laughing, you better have a backup!
The beginning of knowledge is the discovery of something we do not understand.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 134
  • -Ontvangen: 2039
  • Berichten: 13.378
Re: Let's Encrypt en Radius [tip]
« Reactie #2 Gepost op: 24 oktober 2020, 14:28:17 »
Wat je als bedrijf misschien ook nog kan doen is het zelf uitgeven van een root certificaat en die bij alle werknemers op de PC te zetten. Vervolgens creëer je een certificaat met een IP adres die door je eigen root ondertekend is.

Het kan zijn dat je dan geen waarschuwing krijgt omdat het IP dan in het certificaat staat. Maar waarschijnlijk maak je het jezelf dan onnodig moeilijk, tenzij je zo'n eigen root om een andere reden ook al wilt gebruiken voor je intranet.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline cyrus1977

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 27
  • -Ontvangen: 54
  • Berichten: 1.530
    • http://www.bonaerial.nl
Re: Let's Encrypt en Radius [tip]
« Reactie #3 Gepost op: 24 oktober 2020, 15:04:01 »
Heb ik ook bedacht. Maar ik laat ook vreemde devices toe op mijn netwerk en die kent die Root store niet en zal een nog stevigere waarschuwing krijgen. Want certificaat is dan helemaal niet valide. Een Lets encrypt warning is weliswaar zichtbaar bij vernieuwing maar wel geldig. Een eigen cert en rootstore nooit tenzij de store idd op het device hebt staan.

Maar das inderdaad complex en bij gasten überhaupt niet mogelijk.
  • Mijn Synology: DS415
  • HDD's: 4
See http://www.bonaerial.nl
I am root. If you see me laughing, you better have a backup!
The beginning of knowledge is the discovery of something we do not understand.


 

Let's encrypt / End of Life TLS-SNI-01

Gestart door arnorBoard Synology DSM algemeen

Reacties: 33
Gelezen: 3940
Laatste bericht 04 april 2019, 22:38:38
door ufosyno
Couchpatato + Let's encrypt certificate

Gestart door remcov250Board 3rd party Packages

Reacties: 3
Gelezen: 1508
Laatste bericht 11 september 2016, 19:29:57
door hscheffers
Radius server

Gestart door galaxy69Board Overige software

Reacties: 12
Gelezen: 16786
Laatste bericht 10 mei 2013, 20:52:57
door Briolet
Let's encrypt certificaat op RT2600 vraagt om poort 80, maar de NAS ook

Gestart door pvkanBoard Synology DSM algemeen

Reacties: 2
Gelezen: 337
Laatste bericht 18 augustus 2019, 20:08:08
door Briolet
Let's encrypt renewal - hoe kan ik een verlopen certificate vernieuwen / deleten

Gestart door Henk148Board Synology DSM algemeen

Reacties: 11
Gelezen: 4718
Laatste bericht 19 maart 2017, 16:43:49
door Birdy