WIFI a RADIUS 1 – příprava na straně serveru
Wifi autentizace pomocí FreeRadius serveru na CentOS 5
Zde je popsáno jak nastavit wifi autentizaci pomocí FreeRadius serveru na CentOS 5.
Konfigurováno pro:
- WPA1/2 enterprise
- EAP/PEAP/TTLS
Krok 1
1- Instalace operačního systému v minimální nutné konfiguraci.
Krok 2
2- Instalace openssl (pokud je třeba):
yum install openssl
Krok 3 – generování OpenSSL Certifikátů 😉
3.1 Vytvoření nové námi podepsané certifikační autority (pokud nebyla již vytvořena):
Důležité: Doporučuji editovat soubor /etc/pki/tls/openssl.cnf a změnit všechny relativní cesty k souborům za absolutní. Jinak můžeme narazit na nečekané problémy.
V této souvislosti je také možné:
– změnit umístění souborů ( např. na dir = /etc/ssl).
V tomto případě jsem toto ale nepoužil a ponechal jsem defaultní nastavení
(jen jsem změnil relativní cesty na absolutní).
– pokud nechceme zadávat všechny údaje znovu a znovu
můžeme upravit tento soubor aby byly rovnou předpřipravené.
Vše provádíme v zadaném adresáři:
cd /etc/pki/CA
Dále zadáme příkaz:
openssl req -new -x509 -extensions v3_ca -keyout private/cakey.pem -out cacert.pem -days 3650
budeme vyzváni k zadání:
Enter PEM pass phrase:
kterou si dobře zapamatujeme (budeme ji ještě potřebovat)
3.2 Vytvoření požadavku serverového certifikátu (pamatujte passphrasi):
openssl req -new -nodes -keyout server_key.pem -out server_req.pem -days 730
3.3 Serverový certifikát musí být podepsán certifikační autoritou, kterou jsme vytvořili prve.
Použijeme XP rozšíření:
Pro využití XP extensions (pro stanice s XP) musíme nejprve vytvořit soubor xpextensions, který musíme nejprve vytvořit. Důležité je zadat správnou cestu – hlavně v případě, že jsme předtím defaultní cestu změnili!:
touch /etc/pki/CA/xpextensions;
do kterého vložíme následující obsah:
[ xpclient_ext]
extendedKeyUsage = 1.3.6.1.5.5.7.3.2
[ xpserver_ext ]
extendedKeyUsage = 1.3.6.1.5.5.7.3.1
Dále zadáme příkaz pro podepsání serverového certifikátu:
Vstoupíme do adresáře, kde je certifikát
cd /etc/pki/CA/private/;
openssl ca -policy policy_anything -out server_cert.pem -extensions xpserver_ext -extfile /etc/pki/CA/xpextensions -infiles /etc/pki/CA/server_req.pem
a zadáme naši „pass phrasi“, kterou jsme si poznamenali (viz výš). Potvrdíme žádosti a je to 🙂.
3.4 Vytvoření serverového souboru s serverovým klíčem a serverovým certifikátem:
Vrátíme se zpět:
cd /etc/pki/CA
a zadáme:
cp /etc/pki/CA/private/server_cert.pem /etc/pki/CA/server_cert.pem;
cat server_key.pem server_cert.pem > server_keycert.pem
3.5 Vytvoření požadavku klientského certifiáktu (opět pomocí pass phrase):
openssl req -new -keyout client_key.pem -out client_req.pem -days 730
3.6 Podepsání klientského certifikátu pomocí certifikační autority, kterou jsme vytvořil dříve (s XP rozšířením) a s použitím naší pass phrase):
cd /etc/pki/CA;
openssl ca -policy policy_anything -out client_cert.pem -extensions xpclient_ext -extfile /etc/pki/CA/xpextensions -infiles /etc/pki/CA/client_req.pem
A potvrdíme vše co je třeba 😉
3.7 Export klientského certifikátu v patřičném formátu (P12) pro XP klienta (za pomocí pass phrase):
openssl pkcs12 -export -in client_cert.pem -inkey client_key.pem -out client_cert.p12 -clcerts
„Idontknow“ je exportní heslo. Toto heslo budete zadávat Windows XP clientům, kteří ho budou využívat pro instalaci client_cert.
3.8 Export kořenového certifikátu serveru v příslušném formátu (DER) pro XP klienta:
openssl x509 -setalias „ciitwifi@ciit“ -outform DER -in cacert.pem -out cacert.der
3.9 Soubory ‚client_cert.p12‘ a ‚cacert.der‘ mohou být nyní bezpečně přesunuty do adresáře pro import na XP klientech.