[Frage] 802.1x mit Yealink

[zahni31]

Hi,

kennt sich jemand zufällig mit 802.1x aus?
Wir möchten eigentlich regelkonform, dass ich jedes Telefon ein eigenes Gerätezertifikat bei einer (Windwos)-CA ausstellen lässt.
Üblicherweise würde hier man wohl den SCEP-Dienst nutzen. ich finde aber in den Dokus nichts darüber.
Yealink scheint davon auszugehen, dass man überall das gleiche Zertifikat verwendet. So will es auch unser DL machen.

Wäre super, wenn mir das jemand weiterhelfen könnte.

Danke im Voraus.

 

[sonyKatze]

Ihr wollt nicht nur Port-Based-Authentication sondern auch noch die Methode EAP-TLS. Wäre mir jetzt neu, dass SCEP unterstützt wird. Hast Du bereits Yealink gefragt, über deren Forum bzw. ein Support-Ticket? Du könntest es anders herum machen: Die Geräte haben alle ein Geräte-Zertifikat. Das hängt an einer CA. Die erlaubt Ihr. Ansonsten wüsste ich keinen Weg vorbei, als jedem Telefon sein eigenes Zertifikat Eurer CA zu geben und dass dann einmalig manuell zu installieren.

Du hast zwei Anleitungen:

• Yealink Technical White Paper 802.1X Authentication
• Yealink IP-Phones Administrator Guide.

überall das gleiche Zertifikat

Klingt nach einer anderen, Passwort-basierten EAP-Methode, also CHAP oder GTC. Dann sperrt Ihr den Nutzer. Aber das dürfte keine Option sein, weil Ihr bereits 801.1x mit EAP-TLS in Eurem Netz zu machen scheint.