Генерация серверного сертификата
Генерация серверного сертификата может быть выполнена при установке пакета eltex-radius-nbi. При установке пакета необходимо задать параметры сертификата.
root@vagrant-ubuntu-trusty-64:/home/vagrant# apt-get install eltex-radius-nbi
...
Do you want to generate server certificate? [y/N]: y
- Enter pass:
- Repeat pass:
- Enter period (in days): 365
- Enter country [RU]:
- Enter state [Novosibirsk Oblast]:
- Enter locatity [Novosibirsk]:
- Enter organization [Eltex]:
- Enter organization unit [Wireless network IT]:
- Enter email [eltex@eltex.nsk.ru]:
Если у Вас уже установлен пакет eltex-radius-nbi, то Вам необходимо его переустановить.
root@vagrant-ubuntu-trusty-64:/home/vagrant# apt-get remove eltex-radius-nbi
root@vagrant-ubuntu-trusty-64:/home/vagrant# apt-get install eltex-radius-nbiПосле установки будет сгенерирован сертификат.
URL of the server certificates:
http://localhost:8080/eltex-radius-nbi/certificates/server.zip
Run the script to setup Eltex RADIUS server:
/var/lib/eltex-radius-nbi/setup_er_eap.sh
- Reconfigure file '/etc/eltex-radius-nbi/radius_nbi_config.txt'
SoftWLC Northbound is installed. Tomcat service will be restarted...
To check the service works, open the URL:
http://localhost:8080/axis2/services/RadiusNbiService?wsdl
To read documentation, visit the following URL:
http://localhost:8080/eltex-radius-nbi/asciidoc/
Далее запустите скрипт setup_er_eap.sh:
root@vagrant-ubuntu-trusty-64:/home/vagrant# cd /var/lib/eltex-radius-nbi/
root@vagrant-ubuntu-trusty-64:./setup_er_eap.sh
eltex-radius stop/waiting
eltex-radius start/running, process 2317
Создание TLS сертификата у пользователей.
Созданный серверный сертификат дает возможность генерировать сертификаты для Enterprise пользователей. Если авторизация должна проходить по TLS сертификату, то при создании учетной записи Enterprise пользователя это необходимо указать.
Рассмотрим пошагово создание сертификата:
Откройте файл cat /etc/eltex-radius-nbi/radius_nbi_config.txt и пропишите адрес, по которому пользователь обращается к личному кабинету (по умолчанию 127.0.0.1).
# tomcat url
tomcat.host=127.0.0.1
tomcat.port=8080
- Выполните вход в Личный кабинет, перейдите во вкладку "Пользователи Wi-Fi" -> "Пользователи Enterprise". Нажмите кнопку "Добавить".
3. Задайте параметры пользователя и активируйте флаг "Создать TLS-сертификат".
По умолчанию срок действия сертификата 3650 дней. При необходимости измените данный параметр.
После создания пользователя, откройте его на редактирование - в правой части карточки появится кнопка "Скачать сертификат".
Загрузите архив и передайте безопасным способом пользователю.
Создание SSID типа Enterprise с поддержкой TLS
Откройте менеджер SSID в меню "Wireless/Менеджер SSID".
Нажмите кнопку "Добавить SSID".
Задайте следующие ключевые параметры:
Тип - Enterprise
Имя - test_enterprise
Domain - root
Режим безопасности - WPA Enterprise
RADIUS IP Address - 192.168.50.1 (ip адрес Вашего Radius сервера).
RADIUS Key - eltex
RADIUS accounting - up
RADIUS accounting period - 600
Выберите радио интерфейсы (Radio), на которые будет назначен созданный SSID.
При назначении SSID одновременно на все радио интерфейсы ("Radio" - "All") рекомендуется включать "Bandsteer" (установить флаг) для приоритетного подключения к сети 5 ГГц устройствами, которые поддерживают оба диапазона.
При назначении SSID на один радио интерфейс режим "Bandsteer" должен быть выключен.
Активируйте флаг "Поддержка TLS".
После нажатия кнопки «Принять» созданный SSID отобразится в «Базе SSID».
Назначьте SSID на точки доступа, для этого выберите созданный SSID и нажмите кнопку «Добавить SSID привязку».
В появившемся окне выберите ключ для привязки. Привязка может осуществляться по MAC-адресу ТД или по домену узла. Затем выделите объекты для привязки (точки доступа или узлы) и нажмите кнопку «Создать привязку», индикатор в дереве сменится с желтого на зеленый. Нажмите кнопку «Принять».
Появится окно с вопросом "Исправить привязки SSID?". Если необходимо сразу же назначить на точки созданный SSID, то выберите "да", если необходимо, чтобы привязка существовала только в БД, но не применилась сейчас на точку доступа - нажмите кнопку "Нет". Потом, по необходимости, можно зайти на вкладку "Привязки SSID" и нажать кнопку "Исправить", чтобы назначить SSID на точку доступа, либо же привязка исправится по срабатыванию соответствующего монитора (по дефолту раз в сутки).
Процесс назначения SSID можно контролировать на вкладке «Задачи».
Созданная привязка отобразится на вкладке «Привязки SSID».
SSID будет назначен на первую выключенную VAP на точке доступа. Результат можно увидеть во вкладке «Конфигурация/Виртуальные точки доступа».
Установка сертификата на клиентское устройство
Необходимо загрузить сертификат на клиентское устройство. Для этого надо зайти в личный кабинет, в раздел "Пользователи Wi-Fi/Пользователи Enterprise" выбрать созданного ранее пользователя, в открывшемся окне перейти на вкладку "TLS" и нажать кнопку получить сертификат. 
Файл .txt содержит необходимую информацию о сертификате. В дальнейшем нам понадобятся параметры Name и Password
Name: test
Domain: root
Password: test
Period: 3650
Organization name: Eltex
Country code: RU
State: Novosibirsk Oblast
Locality: Novosibirsk
Organization unit name: Wireless network IT
Contact e-mail: eltex@eltex.nsk.ru
Значение параметра Name "test" соответствует имени пользователя, созданного в личном кабинете. Значение параметра Password аналогично.
Содержимое загруженного архива, необходимо скопировать на клиентское устройство.
Установка сертификата для устройств с Android версии 11 и выше
После того как Вы скопировали содержимое архива на клиентское устройство, зайдите в настройки и выберите пункт "Пароли и безопасность".
В разделе "Безопасность" перейдите в раздел "Конфиденциальность".
Далее раздел "Шифрование и учетные данные".
Если имеются старые сертификаты, то их можно удалить кнопкой "Очистить учетные данные".
Чтобы загрузить новые сертификаты нажмите "Установка сетрификатов".
Корневой и пользовательский сертификат устанавливается нажатием кнопки "Сертификат"
Выберите расположение распакованного архива.
Для загрузки корневого сертификата выберите файл "wireless-ca.crt", затем будет предложено ввести название.
Далее необходимо загрузить пользовательский сертификат, для этого выберите файл "user.p12", далее введите пароль, указанный в сертификате и название.
Установка сертификата в IOS
Для установки сертификата в IOS, отправьте файлы с сертификатами (*.crt и *.p12) почтой на свой e-mail и откройте его на телефоне. Либо загрузите файлы на свой телефон через usb.
Установка корневого сертификата
Открыв письмо с вложенным файлом стандартными приложениями IOS (Safari, Mail), нажимаем на файл с расширением *.crt. При Установке сертификата система будет предупреждать о ненадежности профиля, Вам необходимо согласиться на установку и сертификат будет успешно установлен.
Установка пользовательского сертификата
Установка пользовательского сертификата происходит аналогично установке корневого сертификата, только необходимо ввести пароль сертификата. Пароль соответствует параметру сертификата Password, который Вы всегда можете посмотреть в файле .txt
Установка сертификатов в Windows
Установка корневого сертификата
Необходимо выбрать хранилище сертификатов. Выберите пункт "Поместить все сертификаты в следующее хранилище" и нажмите "Обзор". В открывшемся окне выберите "Доверенные корневые центры сертификации".
Хранилища сертификатов - это системные области, в которых хранятся сертификаты.
Установка пользовательского сертификата
Введите пароль. Напоминаю, что пароль соответствует параметру сертификата Password, который Вы всегда можете посмотреть в файле .txt
Установка сертификатов в Ubuntu
Установка корневого сертификата
Название метки аналогично названию сертификата.
Установка пользовательского сертификата
Настройка TLS при резервировании серверов
Для обеспечения возможности авторизации пользователя с использованием сертификатов TLS на всех нодах Radius необходимо:
- На всех нодах выполнить скрипт /var/lib/eltex-radius-nbi/setup_er_eap.sh
- Убедиться что в /etc/eltex-radius/local.conf на всех нодах совпадают параметры:
- ca_cert_name="local.pem"
- tls_key_password="1234
- Копировать файлы сертификатов с одной ноды на остальные, так чтобы они стали одинаковыми на всех нодах:
- /etc/eltex-radius/certs/ca/local.pem
- /etc/eltex-radius/certs/server.crt
- /etc/eltex-radius/certs/server.key
- /var/lib/eltex-radius-nbi/wireless-ca.crt
- /var/lib/eltex-radius-nbi/wireless-ca.key
Подключение к SSID с поддержкой TLS
Подключение с Android
В меню Wi-Fi найдите созданный ранее SSID test_enterprise
Задайте параметры подключения к сети:
Метод EAP : TLS
Сертификат: wireless-ca
Сертификат пользователя: test
Удостоверение: test
Значение параметра "Удостоверение" задается в соответствии с параметром Name. (См. файл .txt описанный выше)
Подключение с Windows
Перед подключением к сети необходимо создать и настроить новое подключение.
Для этого перейдите в "Центр управления сетями и общим доступом" → "Создание и настройка нового подключения или сети".
В открывшемся окне выберите пункт "Подключение к беспроводной сети вручную" и нажмите "Далее".
Введите информацию о беспроводной сети:
- Имя сети;
- Тип безопасности: WPA2-Enterprise
Поставьте галочку напротив "Запускать это подключение автоматически".
Нажмите "Далее".
Сеть успешно добавлена. Переходим к настройке параметров подключения.
Откройте раздел "Безопасность", выберите метод проверки подлинности "Microsoft: смарт-карта или иной сертификат".
Нажмите кнопку "Параметры".
Поставьте флажок напротив:
- Использовать сертификат на этом компьютере;
- Использовать выбор простого сертификата;
- Подтверждать удостоверение сервера с помощью проверки сертификата;
- Использовать для подключение другое имя пользователя.
В списке "Доверенных корневых центов сертификации" выберите ранее добавленный корневой сертификат.
Нажмите кнопку "ОК".
В открывшемся окне выберите "Дополнительные параметры".
Укажите режим проверки подлинности - "Проверка подлинности пользователя".
Нажмите "ОК".
Найдите нужную сеть и нажмите "Подключиться".
Выберите пользовательский сертификат для подключения к сети и введите логин пользователя.
Нажмите "ОК".
Если параметры введены верно, подключение пройдет успешно.
Подключение с Ubuntu
Найдите нужную сеть и подключитесь к ней.
Введите параметры для подключения к сети.
В качестве CA certificate выберите корневой сертификат wireless-ca.crt
Подключение с Linux, если не удалось добавить сертификат
В некоторых дистрибутивах не удается добавить сертификат по приведенной выше инструкции, поэтому предлагается следующий способ, который так же будет актуален для TLS-авторизации на WLC.
Создайте новое подключение к сети:
Укажите ssid:
Введите параметры для подключения к сети:
- Security - WPA & WPA2 Enterprice
- Authentication - TLS
- Identity - имя пользователя на радиус сервере
- CA certificate - сертификат УЦ (Скачивается c wlc отдельно)
- User certificate - контейнер с сертификатом клиента
- User private key - контейнер с сертификатом клиента (он так же содержит ключ)
- User key password - пароль импорта, заданный при генерации контейнера
Если все сделано верно, подключение пройдет успешно.
Подключение с IOS
В меню настройки Wi-Fi находим нужную сеть. При подключении к сети вводим свой личный логин, выбираем режим EAP-TLS. Нажимаем на пункт удостоверение, ставим галочку на наш сертификат, возвращаемся назад на ввод пароля, жмем подключиться. В появившемся окне жмем кнопку принять.
