Генерация серверного сертификата
Генерация серверного сертификата может быть выполнена при установке пакета eltex-radius-nbi. При установке пакета необходимо задать параметры сертификата.
| панель |
|---|
root@vagrant-ubuntu-trusty-64:/home/vagrant# apt-get install eltex-radius-nbi
...
Do you want to generate server certificate? [y/N]: y
- Enter pass:
- Repeat pass:
- Enter period (in days): 365
- Enter country [RU]:
- Enter state [Novosibirsk Oblast]:
- Enter locatity [Novosibirsk]:
- Enter organization [Eltex]:
- Enter organization unit [Wireless network IT]:
- Enter email [eltex@eltex.nsk.ru]:
|
| Информация |
|---|
Если у Вас уже установлен пакет eltex-radius-nbi, то Вам необходимо его переустановить. root@vagrant-ubuntu-trusty-64:/home/vagrant# apt-get remove eltex-radius-nbi
root@vagrant-ubuntu-trusty-64:/home/vagrant# apt-get install eltex-radius-nbi |
После установки будет сгенерирован сертификат.
| панель |
|---|
Successfully generated the server certificate
URL of the server certificates:
http://localhost:8080/eltex-radius-nbi/certificates/server.zip
Run the script to setup Eltex RADIUS server:
/var/lib/eltex-radius-nbi/setup_er_eap.sh
- Reconfigure file '/etc/eltex-radius-nbi/radius_nbi_config.txt'
SoftWLC Northbound is installed. Tomcat service will be restarted...
To check the service works, open the URL:
http://localhost:8080/axis2/services/RadiusNbiService?wsdl
To read documentation, visit the following URL:
http://localhost:8080/eltex-radius-nbi/asciidoc/
|
Следующем шагом будет запуск скрипта setup_er_eap.sh:
| панель |
|---|
root@vagrant-ubuntu-trusty-64:/home/vagrant# cd /var/lib/eltex-radius-nbi/
root@vagrant-ubuntu-trusty-64:./setup_er_eap.sh
eltex-radius stop/waiting
eltex-radius start/running, process 2317 |
Создание TLS сертификата у пользователей.
Созданный серверный сертификат дает возможность генерировать сертификаты для Enterprise пользователей. Если авторизация должна проходить по TLS сертификату, то при создание учетной записи Enterprise пользователя это необходимо указать.
Рассмотрим пошагово создание сертификата:
Откройте файл cat /etc/eltex-radius-nbi/radius_nbi_config.txt. Пропишите адрес по которому пользователь обращается к личному кабинету (по умолчанию 127.0.0.1).
| панель |
|---|
# tomcat url tomcat.host=127.0.0.1 tomcat.port=8080 |
- Необходимо открыть Личный кабинет, выбрать "Пользователя Wi-Fi" и на вкладке "Пользователи Enterprise" нажать кнопку "Добавить"
| Section |
|---|
| Column |
|---|
|
| Column |
|---|
3. Задать параметры пользователя и активировать флаг "Создать TLS-сертификат" |
|
| Section |
|---|
| Column |
|---|
|
| Column |
|---|
После создания пользователя можно посмотреть его параметры и на вкладке "TLS" увидеть, что сертификат был создан. |
|
Создание SSID типа Enterprise с поддержкой TLS
Откройте менеджер SSID в меню "Wireless/Менеджер SSID".
Нажмите кнопку "Добавить SSID".
Задайте следующие ключевые параметры:
Тип - Enterprise
Имя - test_enterprise
Domain - root
Режим безопасности - WPA Enterprise
RADIUS IP Address - 192.168.50.1 (ip адрес Вашего Radius сервера).
RADIUS Key - eltex
RADIUS accounting - up
RADIUS accounting period - 600
Выберите радио интерфейсы (Radio), на которые будет назначен созданный SSID.
При назначении SSID одновременно на все радио интерфейсы ("Radio" - "All") рекомендуется включать "Bandsteer" (установить флаг) для приоритетного подключения к сети 5 ГГц устройствами, которые поддерживают оба диапазона.
При назначении SSID на один радио интерфейс режим "Bandsteer" должен быть выключен. Активируйте флаг "Поддержка TLS".
После нажатия кнопки «Принять» созданный SSID отобразится в «Базе SSID»
Назначьте SSID на точки доступа, для этого выберите созданный SSID и нажмите кнопку «Добавить SSID привязку».
В появившемся окне выберите ключ для привязки. Привязка может осуществляться по MAC-адресу ТД, по IP-адресу ТД или по домену узла. Затем выделите объекты для привязки (точки доступа или узлы) и нажмите кнопку «Создать привязку», индикатор в дереве сменится с желтого на зеленый. Нажмите кнопку «Принять».
Появится окно с вопросом "Исправить привязки SSID?". Если необходимо сразу же назначить на точки созданный SSID, то выберите "да", если необходимо, чтобы привязка существовала только в БД, но не применилась сейчас на точку доступа - нажмите кнопку "Нет". Потом, по необходимости, можно зайти на вкладку "Привязки SSID" и нажать кнопку "Исправить", чтобы SSID назначился на точку доступа, либо же привязка исправится по срабатыванию соответствующего монитора (по дефолту раз в сутки).
Процесс назначения SSID можно контролировать на вкладке «Задачи».
Созданная привязка отобразится на вкладке «Привязки SSID».
SSID будет назначен на первую выключенную VAP на точке доступа. Результат можно увидеть во вкладке «Конфигурация/Виртуальные точки доступа».
Установка сертификата на клиентское устройство
Необходимо загрузить сертификат на клиентское устройство. Для этого надо зайти в личный кабинет, в раздел "Пользователи Wi-Fi/Пользователи Enterprise" выбрать созданного ранее пользователя , в открывшемся окне перейти на вкладку "TLS" и нажать кнопку получить сертификат.
| Section |
|---|
| Column |
|---|
|
| Column |
|---|
Файл .txt содержит необходимую информацию о сертификате. В дальнейшем нам понадобятся параметры Name и Password | панель |
|---|
Name: test
Domain: root
Password: test
Period: 3650
Organization name: Eltex
Country code: RU
State: Novosibirsk Oblast
Locality: Novosibirsk
Organization unit name: Wireless network IT
Contact e-mail: eltex@eltex.nsk.ru |
| Информация |
|---|
Значение параметра Name "test" соответствует имени пользователя, созданного в личном кабинете. Значение параметра Password аналогично. |
|
|
Содержимое загруженного архива, необходимо скопировать на клиентское устройство.
Установка сертификата для устройств с Android версии 5 и ниже
Установка корневого сертификата
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Зайдите в настройки устройства и выберите пункт "Безопасность". |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| В разделе "безопасность" выберите пункт "Установить из..." (Установить сертификаты с носителя) |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| В открывшемся окне необходимо найти папку, где храниться сертификат. Для установки выберите файл wireless-ca.crt. |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Введите название корневого сертификата (Устройство может предложить Вам в качестве названия сертификата ввести название файла). Значение поля "Использовать аккаунт:" необходимо выбрать "Wi-Fi" |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Для подтверждения действия введите пароль безопасности Вашего устройства
| Примечание |
|---|
Если на устройстве не был настроен пароль/PIN/графический ключ, то при установке сертификата Вам будет предложено это сделать. |
|
|
| Информация |
|---|
Если установка сертификата прошла успешно, его можно увидеть в разделе Настройки/Безопасность/Доверенные учетные данные/Пользователь 
|
Установка пользовательского сертификата
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Следующим шагом будет установка сертификата пользователя. Для этого откройте каталог телефона и найдите папку в которой лежит сертификат (В данном случае это папка certificat. Мы уже обращались к этой папке, когда устанавливали сертификат wireless-ca). |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Для установки достаточно кликнуть на файл с расширением .p12 |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Введите пароль. Пароль соответствует значению параметра Password, который Вы можете посмотреть в файле <name>.txt описанного выше. |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Аналогично надо ввести имя сертификата и значение поля "Использовать аккаунт:" необходимо выбрать "Wi-Fi" |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| После успешного извлечения сертификата Вы увидите надпись "<имя сертификата> установлен". |
|
Установка сертификата для устройств с Android версии 6 и выше
Установка корневого сертификата
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | После того как Вы скопировали содержимое архива на клиентское устройство, зайдите в настройки и выберите пункт "Безопасность" |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| В разделе "Безопасность" выберите пункт "Установить с .." (Установить сертификаты с SD-карты) | Примечание |
|---|
Установка возможно и с SD-карты, и из внутренней памяти, в зависимости от того, на какой из носитель был скопирован сертификат. |
|
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Выберите файл wireless-ca.crt. Аналогично предыдущему варианту настройки задайте имя сертификата и значение поля "Использовать аккаунт:" необходимо выбрать "Wi-Fi". |
|
Установка пользовательского сертификата
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | Установка польщовательского сертификата происходит аналогично установке корневого. Необходимо открыть Настройки/Безопасность/Установить и выбрать файл .р12. Для установки сертификата потребуется ввести пароль. |
|
Установка сертификата в IOS
| панель |
|---|
Для установки сертификата в IOS, отправьте файлы с сертификатами (*.crt и *.p12) почтой на свой e-mail и откройте его на телефоне. Либо загрузите файлы на свой телефон через usb. |
Установка корневого сертификата
| Section |
|---|
| панель |
|---|
Открыв письмо с вложенным файлом стандартными приложенями IOS (Safari, Mail), нажимаем на файл с расширением *.crt. При Установке сертификата система будет предупреждать о ненадежности профиля, Вам необходимо согласиться на установку и сертификат будет успешно установлен. |
|
Установка пользовательского сертификата
| Section |
|---|
| панель |
|---|
Установка пользовательского сертификата происходит аналогично установки корневого сертификата, только необходимо ввести пароль сертификата. Пароль соответствует параметру сертификата Password, который Вы всегда можете посмотреть в файле .txt |
|
Установка сертификатов в Windows
Установка корневого сертификата
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | Копируем файлы на ПК, открываем файл wireless-ca |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | В открывшемся окне нажимаем "Установить сертификат" |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | Откроется окно "Мастер импорта сертификатов". Нажимаем "Далее". |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Необходимо выбрать хранилище сертификатов. Выберите пункт "Поместить все сертификаты в следующее хранилище" и нажмите "Обзор". В открывшемся окне выберите "Доверенные корневые центры сертификации". | Информация |
|---|
Хранилища сертификатов - это системные области, в которых хранятся сертификаты. |
|
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | Для того, чтобы сертификат был импортирован, нажимаем "Готово" |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | Установка сертификата начнется после нажатия "Да". |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | Сертификат успешно установлен |
|
Установка пользовательского сертификата
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | Открываем файл .р12. |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Введите пароль. Напоминаю, что пароль соответствует параметру сертификата Password, который Вы всегда можете посмотреть в файле .txt |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | Здесь нажимаем "Далее". |
|
| Section |
|---|
| Column |
|---|
| 
|
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | Установка пользовательского сертификата успешно завершена. |
|
Установка сертификатов в Ubuntu
Установка корневого сертификата
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | Скопируйте файлы на пк и откройте файл wireless-ca |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | Здесь нажимаем "Импортировать" , далее необходимо задать название метки, это аналогично названию сертификата. |
|
Установка пользовательского сертификата
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | В папке, где хранятся сертификаты, откройте файл .р12 |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | Нажмите "Импортировать" |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | Задайте название метки. После этого сертификат будет успешно установлен. |
|
Подключение к SSID с поддержкой TLS
Подключение с Android
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| В меню Wi-Fi найдите созданный ранее SSID test_enterprise |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Задайте параметры подключения к сети: | панель |
|---|
Метод EAP : TLS Сертификат: wireless-ca Сертификат пользователя: test Удостоверение: test |
Значение параметра "Удостоверение" задается в соответствие с параметром Name. (Смотри файл .txt описанный выше) |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | При правильности введенных данных, авторизация произойдет успешно. |
|
Подключение с Windows
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Перед подключением к сети необходимо создать и настроить новое подключение.
Для этого перейдите в "Центр управления сетями и общим доступом" → "Создание или настройка нового подключения или сети". |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| В открывшемся окне выберите пункт "Подключение к беспроводной сети вручную" и нажмите "Далее". |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Введите информацию о беспроводной сети: - Имя сети;
- Тип безопасности: WPA2-Enterprise
Поставьте галочку напротив "Запускать это подключение автоматически". Нажмите "Далее". |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Сеть успешно добавлена. Переходим к настройке параметров подключения. |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Откройте раздел "Безопасность", выберите метод проверки подлинности "Microsoft: смарт-карта или иной сертификат".
Нажмите кнопку "Параметры". |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Поставьте флажок напротив: - Использовать сертификат на этом компьютере;
- Использовать выбор простого сертификата;
- Подтверждать удостоверение сервера с помощью проверки сертификата;
- Использовать для подключение другое имя пользователя.
В списке "Доверенных корневых центов сертификации" выберите ранее добавленный корневой сертификат. Нажмите кнопку "ОК". В открывшемся окне выберите "Дополнительные параметры". |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Укажите режим проверки подлинности - "Проверка подлинности пользователя".
Включите единую регистрацию для сети. Нажмите "ОК". |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Найдите нужную сеть и нажмите "Подключиться".
Выберите пользовательский сертификат для подключения к сети и введите логин пользователя. Нажмите "ОК".
Если параметры введены верно, подключение пройдет успешно. |
|
Подключение с Ubuntu
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Найдите нужную сеть и подключитесь к ней |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| Необходимо ввести параметры для подключения к сети. |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| В качестве CA certificate выберите корневой сертификат wireless-ca.crt |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | Заполняем остальные параметры и нажимаем "Подключиться". |
|
| Section |
|---|
| Column |
|---|
| 
|
| Column |
|---|
| | Если все сделано верно, подключение пройдет успешно. |
|
Подключение с IOS
| Section |
|---|
| панель |
|---|
В меню настройки Wi-Fi находим нужную сеть. При подключении к сети вводим свой личный логин, выбираем режим EAP-TLS. Нажимаем на пункт удостоверение, ставим галочку на наш сертификат, возвращаемся назад на ввод пароля, жмем подключиться. В появившемся окне жмем кнопку принять. |
|
