Wifi autentizace pomocí FreeRadius serveru na CentOS 5

Zde je popsáno jak nastavit wifi autentizaci pomocí FreeRadius serveru na CentOS 5.

Konfigurováno pro:

• WPA1/2 enterprise
• EAP/PEAP/TTLS

Krok 1

1- Instalace operačního systému v minimální nutné konfiguraci.

Krok 2

2- Instalace openssl (pokud je třeba):

yum install openssl

Krok 3 – generování  OpenSSL Certifikátů 😉

3.1 Vytvoření nové námi podepsané certifikační autority (pokud nebyla již vytvořena):

Důležité: Doporučuji editovat soubor  /etc/pki/tls/openssl.cnf a změnit všechny relativní cesty k souborům za absolutní. Jinak můžeme narazit na nečekané problémy.

V této souvislosti je také možné:

– změnit umístění souborů ( např. na dir = /etc/ssl).
V tomto případě jsem toto ale nepoužil a ponechal jsem defaultní nastavení
(jen jsem změnil relativní cesty na absolutní).

– pokud nechceme zadávat všechny údaje znovu a znovu
můžeme upravit tento soubor aby byly rovnou předpřipravené.

Vše provádíme v zadaném adresáři:
cd /etc/pki/CA

Dále zadáme příkaz:

openssl req -new -x509 -extensions v3_ca -keyout private/cakey.pem -out cacert.pem -days 3650

budeme vyzváni k zadání:
Enter PEM pass phrase:
kterou si dobře zapamatujeme (budeme ji ještě potřebovat)

3.2 Vytvoření požadavku serverového certifikátu (pamatujte passphrasi):

openssl req -new -nodes -keyout server_key.pem -out server_req.pem -days 730

3.3 Serverový certifikát musí být podepsán certifikační autoritou, kterou jsme vytvořili prve.
Použijeme XP rozšíření:

Pro využití XP extensions (pro stanice s XP) musíme nejprve vytvořit soubor xpextensions, který musíme nejprve vytvořit. Důležité je zadat správnou cestu – hlavně v případě, že jsme předtím defaultní cestu změnili!:

touch /etc/pki/CA/xpextensions;

do kterého vložíme následující obsah:

[ xpclient_ext]
extendedKeyUsage = 1.3.6.1.5.5.7.3.2

[ xpserver_ext ]
extendedKeyUsage = 1.3.6.1.5.5.7.3.1

Dále zadáme příkaz pro podepsání serverového certifikátu:
Vstoupíme do adresáře, kde je certifikát

cd /etc/pki/CA/private/;

openssl ca -policy policy_anything -out server_cert.pem -extensions xpserver_ext -extfile /etc/pki/CA/xpextensions -infiles /etc/pki/CA/server_req.pem

a zadáme naši „pass phrasi“, kterou jsme si poznamenali (viz výš). Potvrdíme žádosti a je to 🙂.

3.4 Vytvoření serverového souboru s serverovým klíčem a serverovým certifikátem:

Vrátíme se zpět:

cd /etc/pki/CA

a zadáme:

cp /etc/pki/CA/private/server_cert.pem /etc/pki/CA/server_cert.pem;

cat server_key.pem server_cert.pem > server_keycert.pem

3.5 Vytvoření požadavku klientského certifiáktu (opět pomocí pass phrase):

openssl req -new -keyout client_key.pem -out client_req.pem -days 730

3.6 Podepsání klientského certifikátu pomocí certifikační autority, kterou jsme vytvořil dříve (s XP rozšířením) a s použitím naší pass phrase):

cd /etc/pki/CA;

openssl ca -policy policy_anything -out client_cert.pem -extensions xpclient_ext -extfile /etc/pki/CA/xpextensions -infiles /etc/pki/CA/client_req.pem

A potvrdíme vše co je třeba 😉

3.7 Export klientského certifikátu v patřičném formátu (P12) pro XP klienta (za pomocí pass phrase):

openssl pkcs12 -export -in client_cert.pem -inkey client_key.pem -out client_cert.p12 -clcerts

„Idontknow“ je exportní heslo. Toto heslo budete zadávat Windows XP clientům, kteří ho budou využívat pro instalaci client_cert.

3.8 Export kořenového certifikátu serveru v příslušném formátu (DER) pro XP klienta:

openssl x509 -setalias „ciitwifi@ciit“ -outform DER -in cacert.pem -out cacert.der

3.9 Soubory ‚client_cert.p12‘ a ‚cacert.der‘ mohou být nyní bezpečně přesunuty do adresáře pro import na XP klientech.