Описание
Проверка подлинности сертификата сервера позволяет удостовериться в безопасности установленного соединения.
По умолчанию в RADIUS сервер SoftWLC уже имеет сертификат проверки подлинности сервера, подписанный центром сертификации, однако, предусмотрена возможность его замены.
Получение сертификата
Если сертификат уже получен, то перейдите к пункту: замена корневого сертификата на сервере.
Рассмотрим процедуру замены сертификата на примере Comodo Essential SSL c проверкой по домену, так как он соответствует требованиям Microsoft и может использоваться на разных IP на неограниченном количестве серверов.
Сгенерируйте CSR-запрос, а также укажите адрес почтового сервера на домене вида: admin/ administrator/ postmaster/ hostmaster/ webmaster@вашдомен, либо адрес электронной почты владельца домена, прописанный в сервисе whois.
1. Генерация ключа
openssl genrsa -out radius.eltex.nsk.ru.key 2048
2. Генерация запроса на сертификат.
openssl req -new -key radius.eltex.nsk.ru.key -out radius.eltex.nsk.ru.csr
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Novosibirsk region
Locality Name (eg, city) []:Novosibirsk
Organization Name (eg, company) [Internet Widgits Pty Ltd]:OOO Predpriyatie ELTEKS
Organizational Unit Name (eg, section) []:Management system
Common Name (e.g. server FQDN or YOUR name) []:radius.eltex.nsk.ru
Email Address []:mikhail.gaydamaka@eltex.nsk.ru
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:*** <<-- это потом будет private_key_password в eap.conf
An optional company name []:Eltex
3. Сопоставление хэша ключа и запроса
openssl req -noout -modulus -in radius.eltex.nsk.ru.csr | openssl md5 openssl rsa -noout -modulus -in radius.eltex.nsk.ru.key | openssl md5
Подробная информация
openssl rsa -in radius.eltex.nsk.ru.key -check openssl req -text -noout -verify -in radius.eltex.nsk.ru.csr
4. В магазине Лидер Телеком (или другой подобной организации, занимающейся выпуском сертификатов) выбираем Essential SSL.
5. Заполните форму
Вы получите готовый сертификат через 5 минут после завершения 5 простых шагов.
Процесс выпуска несложен и полностью автоматизирован - попробуйте прямо сейчас!
Тестируйте сертификат в течение двух недель бесплатно и без предоплаты!Имя *** Фамилия *** Телефон *** Email *** <<-- Адрес куда придут сгенерированные сертификаты, счет на оплату Серверное ПО Other Загружаем в форму radius.eltex.nsk.ru.csr
6. Проверка домена по email
Пожалуйста, выберете e-mail адрес, на который Вам бы хотелось получить проверочное письмо.
Для примера рассмотрим домен radius.eltex.nsk.ru
Нам предложат postmaster@eltex.nsk.ru, выбираем.
Предварительно необходимо узнать у сотрудников IT отдела, какой адрес у них есть.
Туда придет письмо, по которому можно будет подтвердить, что этот домен существует.
Заполняем параметры юридического лица (кому будет предъявлен счет на оплату)
Полное название, адрес, ИНН
Замена корневого сертификата на сервере
7. После получения сертификатов в формате PEM, есть 14 дней на тестирование, затем нужно оплатить счет.
Необходимо проверить, что хэши совпадают
$ openssl rsa -noout -modulus -in radius.eltex.nsk.ru.key | openssl md5 (stdin)= 7605339a512669294e352bcedc2bea4a $ openssl x509 -noout -modulus -in radius_eltex_nsk_ru.crt | openssl md5 (stdin)= 7605339a512669294e352bcedc2bea4a openssl x509 -text -noout -in radius_eltex_nsk_ru.crt
Название и расположение сертификата в SoftWLC
/etc/eltex-radius/certs/trusted_server.crt /etc/eltex-radius/certs/trusted_server.key
8. Для 'беспроблемного' подключения Windows машин все сертификаты скидываем в один файл, чтобы в EAP пакетах они летели одним большим пакетом ('паровозом'), иначе Windows отказывается видеть корневой сертификат и прекращает авторизацию по своей инициативе.
> > *EssentialSSL* / Free Certificate
> > » Root: AddTrustExternalCARoot.crt
> > » Intermediate 1: COMODORSAAddTrustCA.crt
> > » Intermediate 2: COMODORSADomainValidationSecureServerCA.crt
> > » End-Entity/Domain Certificate: radius_eltex_nsk_ru.crt
Сложите (cat-copy-paste) все сертификаты в один файл combo.radius.eltex.nsk.ru.crt в обратном порядке (от radius.eltex.nsk.ru.crt к AddTrustExternalCARoot.crt)
Название и расположение этого сертификата в SoftWLC
/etc/eltex-radius/certs/trusted_server_chain.crt
В /etc/eltex-radius/certs копируются все полученные по почте файлы, key и combo
Подключаем win7 - соглашаемся с предложением принять сертификат, подключаемся к wi-fi.
Если предварительно установите все полученные от продавца сертификаты в хранилище сертификатов системы Win7.
Тогда никаких действий с combo сертификатом производить не нужно.
9. Для работы ubiquity rocket, а также Apple устройств сертификаты все таки надо передавать 'нормальным' способом, если передавать ubiquity combo сертификат, он не подключится, если передавать apple combo, то будет долго работать роуминг. Потому в системе у нас заведено два EAP модуля. Для всех по умолчанию - trusted_server_chain.crt. Для тех кто работает по стандарту ubiquity - только тот файл, который мы купили. Для того, чтобы отличить кто с каким EAP модулем будет работать, используется мак адрес. Связка мака с производителем определяется по/usr/share/oui-base/oui-freeradius.txt. Файл обновляется по CRON/etc/cron.daily/oui-base-update. В составе eltex-radius есть модуль, работающий с этими данными.
10. Нужно прописать в конфигурации eltex-radius пути к сертификатам
Путь к сертификатам нужно прописать в/etc/eltex-radius/modules/eap
# EAP-TTLS and EAP-PEAP
eap {
tls-config tls-common {
private_key_file = ${certdir}/trusted_server.key
# For Win7 full certs chain in one file.
certificate_file = ${certdir}/trusted_server_chain.crt
# should send full chain of 4 crt hardcoded at one file _chain.crt
auto_chain = no
$INCLUDE ../eap-tls-base.conf
}
$INCLUDE ../eap-base.conf
}
# EAP-TTLS and EAP-PEAP for Ubiquity and Apple devices
eap eap-ubi {
tls-config tls-common {
private_key_file = ${certdir}/trusted_server.key
certificate_file = ${certdir}/trusted_server.crt
# should send top trusted_server.crt only
auto_chain = no
$INCLUDE ../eap-tls-base.conf
}
$INCLUDE ../eap-base.conf
}
11. В случае установки отдельных сертификатов, необходимо проделать все, указанные выше, шаги.
Получить свой собственный csr, key, PEM trusted_server.crt и настроить все по примеру.
Если что-то настроено неправильно, но модуль EAP не поднимется и сервер не запустится.