Для аутентификации пользователей по протоколу EAP-PEAP используется сертификат, выпущенный публичным центром сертификации, в результате чего для его проверки не требуется каких-либо действий с сертификатом со стороны клиента. Данный сертификат выпускается сроком на один год и требует обновления по истечению срока действия.

Проверить окончание срока действия сертификата можно командой:

sudo docker exec -it naice-radius openssl x509 -in /etc/raddb/certs/tls/trusted_server_chain.crt -noout -enddate
notAfter=Jan 12 07:17:16 2025 GMT

По умолчанию сертификат встроен в контейнер и обновляется по мере выхода новых версий NAICE. Для неактуальных версий требуется ручное обновление. Также при необходимости можно использовать произвольный сторонний сертификат.

Актуальный на момент выхода данной версии NAICE сертификат: radius_certs_to_21012026.tar.gz


При установке NAICE через OVA-образ замена сертификатов выполняется по инструкции v1.0_3.3.4 Замена сертификатов EAP-PEAP.

Для ручной замены сертификатов RADIUS-сервера необходимо выполнить следующие действия:

  1. На сервере с NAICE создать директорию, в которую необходимо поместить сертификаты (например, /директория-установки-NAICE/tls):

    sudo mkdir /etc/docker-naice/tls


  2. Перенести файлы сертификатов в ранее созданную папку.

  3. Проверить и при необходимости назначить корректные права доступа и владельца файлов:

    sudo chown root:root /etc/docker-naice/tls
sudo chmod 600 /etc/docker-naice/tls


  4. Пробросить папку с сертификатами в контейнер naice-radius с помощью volume, отредактировав docker-compose.yml:

      naice-radius:
  [...]
    volumes:
      - ${RADIUS_LOG_PATH}:/opt/var/log/radius
      - ./tls:/opt/etc/raddb/certs/tls


  5. Указать названия новых файлов в переменных окружения .env, если они отличаются от существующих, указать при необходимости пароль к файлу ключа сертификата:

    RADIUS_CERTS_CA_CERT_FILE: trusted_server.crt             # имя файла корневого (CA) сертификата
RADIUS_CERTS_PRIVATE_KEY_FILE: trusted_server.k           # имя файла приватного ключа сертификата сервера
RADIUS_CERTS_PRIVATE_KEY_PASSWORD:                        # пароль к файлу приватного ключа сертификата сервера; оставьте пустым, если файл приватного ключа не защищен паролем
RADIUS_CERTS_CERTIFICATE_FILE: trusted_server_chain.crt   # имя файла серверного сертификата


  6. Примените внесенные настройки с помощью рестарта контейнера naice-radius:

    sudo docker compose down naice-radius && sudo docker compose up -d naice-radius


  7. Проверить что контейнер с naice-radius запущен успешно:

    $ sudo docker compose ps -a naice-radius
NAME                COMMAND                  SERVICE             STATUS              PORTS
naice-radius        "/docker-entrypoint.…"   naice-radius        running (healthy)   0.0.0.0:1812-1813->1812-1813/udp, 0.0.0.0:9812->9812/tcp, :::1812-1813->1812-1813/udp, :::9812->9812/tcp


  8. Если контейнер не запущен, надо просмотреть логи на предмет ошибок командой:

    $ sudo docker compose logs naice-radius


  9. Проверить работоспособность аутентификации по протоколу EAP-PEAP.