Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Генерация серверного сертификата

Генерация серверного сертификата может быть выполнена при установке пакета eltex-radius-nbi. При установке пакета необходимо задать параметры сертификата.

root@vagrant-ubuntu-trusty-64:/home/vagrant# apt-get install eltex-radius-nbi
...

Do you want to generate server certificate? [y/N]: y

 - Enter pass:
 - Repeat pass:
 - Enter period (in days): 365
 - Enter country [RU]:
 - Enter state [Novosibirsk Oblast]:
 - Enter locatity [Novosibirsk]:
 - Enter organization [Eltex]:
 - Enter organization unit [Wireless network IT]:
 - Enter email [eltex@eltex.nsk.ru]:

Если у Вас уже установлен пакет eltex-radius-nbi, то Вам необходимо его переустановить.

root@vagrant-ubuntu-trusty-64:/home/vagrant# apt-get remove eltex-radius-nbi
root@vagrant-ubuntu-trusty-64:/home/vagrant# apt-get install eltex-radius-nbi


После установки будет сгенерирован сертификат.

Successfully generated the server certificate
URL of the server certificates:
    http://localhost:8080/eltex-radius-nbi/certificates/server.zip
Run the script to setup Eltex RADIUS server:
    /var/lib/eltex-radius-nbi/setup_er_eap.sh

 - Reconfigure file '/etc/eltex-radius-nbi/radius_nbi_config.txt'

SoftWLC Northbound is installed. Tomcat service will be restarted...
To check the service works, open the URL:
    http://localhost:8080/axis2/services/RadiusNbiService?wsdl
To read documentation, visit the following URL:
    http://localhost:8080/eltex-radius-nbi/asciidoc/

Далее запустите скрипт setup_er_eap.sh:

root@vagrant-ubuntu-trusty-64:/home/vagrant# cd /var/lib/eltex-radius-nbi/
root@vagrant-ubuntu-trusty-64:./setup_er_eap.sh
eltex-radius stop/waiting
eltex-radius start/running, process 2317

Создание TLS сертификата у пользователей.

Созданный серверный сертификат дает возможность генерировать сертификаты для Enterprise пользователей. Если авторизация должна проходить по TLS сертификату, то при создании учетной записи Enterprise пользователя это необходимо указать.

Рассмотрим пошагово создание сертификата:

  1. Откройте файл cat /etc/eltex-radius-nbi/radius_nbi_config.txt и пропишите адрес, по которому пользователь обращается к личному кабинету (по умолчанию 127.0.0.1).

    # tomcat url

    tomcat.host=127.0.0.1

    tomcat.port=8080

  2. Выполните вход в Личный кабинет, перейдите во вкладку "Пользователи Wi-Fi" -> "Пользователи Enterprise". Нажмите кнопку "Добавить".


3. Задайте параметры пользователя и активируйте флаг "Создать TLS-сертификат".
По умолчанию срок действия сертификата 3650 дней. При необходимости измените данный параметр.

После создания пользователя, откройте его на редактирование - в правой части карточки появится кнопка "Скачать сертификат".

Загрузите архив и передайте безопасным способом пользователю.



Создание SSID типа Enterprise  с поддержкой TLS

Откройте менеджер SSID в меню "Wireless/Менеджер SSID".



Нажмите кнопку "Добавить SSID".

Задайте следующие ключевые параметры:

Тип - Enterprise
Имя - test_enterprise
Domain - root 
Режим безопасности - WPA Enterprise
RADIUS IP Address - 192.168.50.1 (ip адрес Вашего Radius сервера).
RADIUS Key - eltex
RADIUS accounting - up
RADIUS accounting period - 600


Выберите радио интерфейсы (Radio), на которые будет назначен созданный SSID.

При назначении SSID одновременно на все радио интерфейсы ("Radio" - "All") рекомендуется включать "Bandsteer" (установить флаг) для приоритетного подключения к сети 5 ГГц устройствами, которые поддерживают оба диапазона.

При назначении SSID на один радио интерфейс режим "Bandsteer" должен быть выключен.

Активируйте флаг  "Поддержка TLS".
























 В случае, если вам необходима авторизация только по сертификатам, то активируйте флаг "Требовать авторизацию EAP-TLS"





После нажатия кнопки «Принять» созданный SSID отобразится в «Базе SSID».



Назначьте SSID на точки доступа, для этого выберите созданный SSID и нажмите кнопку «Добавить SSID привязку».

В появившемся окне выберите ключ для привязки. Привязка может осуществляться по MAC-адресу ТД или по домену узла. Затем выделите объекты для привязки (точки доступа или узлы) и нажмите кнопку «Создать привязку», индикатор в дереве сменится с желтого на зеленый. Нажмите кнопку «Принять». 


Появится окно с вопросом "Исправить привязки SSID?". Если необходимо сразу же назначить на точки созданный SSID, то выберите "да", если необходимо, чтобы привязка существовала только в БД, но не применилась сейчас на точку доступа - нажмите кнопку "Нет". Потом, по необходимости, можно зайти на вкладку "Привязки SSID" и нажать кнопку "Исправить", чтобы назначить SSID на точку доступа, либо же привязка исправится по срабатыванию соответствующего монитора (по дефолту раз в сутки). 


Процесс назначения SSID можно контролировать на вкладке «Задачи».

Созданная привязка отобразится на вкладке «Привязки SSID».



SSID будет назначен на первую выключенную VAP на точке доступа. Результат можно увидеть во вкладке «Конфигурация/Виртуальные точки доступа».

Установка сертификата на клиентское устройство

Необходимо загрузить сертификат на клиентское устройство. Для этого надо зайти в личный кабинет, в раздел "Пользователи Wi-Fi/Пользователи Enterprise" выбрать созданного ранее пользователя, в открывшемся окне перейти на вкладку "TLS" и нажать кнопку получить сертификат.

Файл .txt содержит необходимую информацию о сертификате. В дальнейшем нам понадобятся параметры Name и Password

Name: test
Domain: root
Password: test
Period: 3650
Organization name: Eltex
Country code: RU
State: Novosibirsk Oblast
Locality: Novosibirsk
Organization unit name: Wireless network IT
Contact e-mail: eltex@eltex.nsk.ru

Значение параметра Name "test" соответствует имени пользователя, созданного в личном кабинете. Значение параметра Password аналогично.

Содержимое загруженного архива, необходимо скопировать на клиентское устройство.

Установка сертификата для устройств с Android версии 11 и выше

После того как Вы скопировали содержимое архива на клиентское устройство, зайдите в настройки и выберите пункт "Пароли и безопасность".

В разделе "Безопасность" перейдите в раздел "Конфиденциальность".

Далее раздел "Шифрование и учетные данные".

Если имеются старые сертификаты, то их можно удалить кнопкой "Очистить учетные данные".

Чтобы загрузить новые сертификаты нажмите "Установка сетрификатов".

Корневой и пользовательский сертификат устанавливается нажатием кнопки "Сертификат"


Выберите расположение распакованного архива.

Для загрузки корневого сертификата выберите файл "wireless-ca.crt", затем будет предложено ввести название.

Далее необходимо загрузить пользовательский сертификат, для этого выберите файл "user.p12", далее введите пароль, указанный в сертификате и название.


Установка сертификата в IOS

Для установки сертификата в IOS, отправьте файлы с сертификатами (*.crt и *.p12) почтой на свой e-mail и откройте его на телефоне. Либо загрузите файлы на свой телефон через usb.

Установка корневого сертификата

Открыв письмо с вложенным файлом стандартными приложениями IOS (Safari, Mail), нажимаем на файл с расширением *.crt. При Установке сертификата система будет предупреждать о ненадежности профиля, Вам необходимо согласиться на установку и сертификат будет успешно установлен.

             


Установка пользовательского сертификата

Установка пользовательского сертификата происходит аналогично установке корневого сертификата, только необходимо ввести пароль сертификата. Пароль соответствует параметру сертификата Password, который Вы всегда можете посмотреть в файле .txt

                        


Установка сертификатов в Windows

Установка корневого сертификата

Копируем файлы на ПК, открываем файл wireless-ca

В открывшемся окне нажимаем "Установить сертификат"

Откроется окно "Мастер импорта сертификатов". Нажимаем "Далее".

Необходимо выбрать хранилище сертификатов. Выберите пункт "Поместить все сертификаты в следующее хранилище" и нажмите "Обзор". В открывшемся окне выберите "Доверенные корневые центры сертификации".

Хранилища сертификатов - это системные области, в которых хранятся сертификаты.


Установка сертификата начнется после нажатия "Да".

Сертификат успешно установлен

Установка пользовательского сертификата


Открываем файл .р12.

Введите пароль. Напоминаю, что пароль соответствует параметру сертификата Password, который Вы всегда можете посмотреть в файле .txt


Нажмите "Далее".

Нажмите кнопку "Готово".

Установка пользовательского сертификата успешно завершена.

Установка сертификатов в Ubuntu

Установка корневого сертификата

Скопируйте файлы на ПК и откройте файл wireless-ca

Нажмите "Импортировать". Далее задайте название метки.
Название метки аналогично названию сертификата.

Установка пользовательского сертификата


В папке, где хранятся сертификаты, откройте файл .р12

Нажмите "Импортировать"

Задайте название метки.  После этого сертификат будет успешно установлен.

Настройка TLS при резервировании серверов

Для обеспечения  возможности авторизации пользователя с использованием сертификатов TLS на всех нодах Radius необходимо:

  • На всех нодах выполнить скрипт /var/lib/eltex-radius-nbi/setup_er_eap.sh
  • Убедиться что в /etc/eltex-radius/local.conf на всех нодах совпадают параметры:
    • ca_cert_name="local.pem"
    • tls_key_password="1234
  • Копировать файлы сертификатов с одной ноды на остальные, так чтобы они стали одинаковыми на всех нодах:
    • /etc/eltex-radius/certs/ca/local.pem
    • /etc/eltex-radius/certs/server.crt
    • /etc/eltex-radius/certs/server.key
    • /var/lib/eltex-radius-nbi/wireless-ca.crt
    • /var/lib/eltex-radius-nbi/wireless-ca.key


Подключение к SSID с поддержкой TLS

Подключение с  Android


В меню Wi-Fi найдите созданный ранее SSID test_enterprise


Задайте параметры подключения к сети:

Метод EAP : TLS

Сертификат: wireless-ca

Сертификат пользователя: test

Удостоверение: test

Значение параметра "Удостоверение" задается в соответствии с параметром Name. (См. файл .txt описанный выше)


При правильности введенных данных, авторизация пройдет успешно.

Подключение с Windows

Перед подключением к сети необходимо создать и настроить новое подключение.
Для этого перейдите в "Центр управления сетями и общим доступом" "Создание и настройка нового подключения или сети".


В открывшемся окне выберите пункт "Подключение к беспроводной сети вручную" и нажмите "Далее".


Введите информацию о беспроводной сети:

  • Имя сети;
  • Тип безопасности: WPA2-Enterprise

Поставьте галочку напротив "Запускать это подключение автоматически".

Нажмите "Далее".


Сеть успешно добавлена. Переходим к настройке параметров подключения.


Откройте раздел "Безопасность", выберите метод проверки подлинности "Microsoft: смарт-карта или иной сертификат".
Нажмите кнопку "Параметры".


Поставьте флажок напротив:

  • Использовать сертификат на этом компьютере;
  • Использовать выбор простого сертификата;
  • Подтверждать удостоверение сервера с помощью проверки сертификата;
  • Использовать для подключение другое имя пользователя.

В списке "Доверенных корневых центов сертификации" выберите ранее добавленный корневой сертификат.

Нажмите кнопку "ОК".

В открывшемся окне выберите "Дополнительные параметры".


Укажите режим проверки подлинности - "Проверка подлинности пользователя".
Нажмите "ОК".



Найдите нужную сеть и нажмите "Подключиться".
Выберите пользовательский сертификат для подключения к сети и введите логин пользователя.

Нажмите "ОК".


Если параметры введены верно, подключение пройдет успешно.


Подключение с Ubuntu

Найдите нужную сеть и подключитесь к ней.


Введите параметры для подключения к сети.


В качестве CA certificate выберите корневой сертификат wireless-ca.crt


Заполняем остальные параметры и нажимаем "Подключиться".

Если все сделано верно, подключение пройдет успешно.

Подключение с Linux, если не удалось добавить сертификат

В некоторых дистрибутивах не удается добавить сертификат по приведенной выше инструкции, поэтому предлагается следующий способ, который так же будет актуален для TLS-авторизации на WLC.

Создайте новое подключение к сети:


Укажите ssid:


Введите параметры для подключения к сети:

  • Security - WPA & WPA2 Enterprice
  • Authentication - TLS
  • Identity - имя пользователя на радиус сервере
  • CA certificate - сертификат УЦ  (Скачивается c wlc отдельно)
  • User certificate - контейнер  с сертификатом клиента
  • User private key - контейнер  с сертификатом клиента (он так же содержит ключ)
  • User key password - пароль импорта, заданный при генерации контейнера


Если все сделано верно, подключение пройдет успешно.

Подключение с IOS

В меню настройки Wi-Fi находим нужную сеть. При подключении к сети вводим свой личный логин, выбираем режим EAP-TLS. Нажимаем на пункт удостоверение, ставим галочку на наш сертификат, возвращаемся назад на ввод пароля, жмем подключиться. В появившемся окне жмем кнопку принять.

            























  • Нет меток