Генерация серверного сертификата
Генерация серверного сертификата может быть выполнена при установке пакета eltex-radius-nbi. При установке пакета необходимо задать параметры сертификата.
root@vagrant-ubuntu-trusty-64:/home/vagrant# apt-get install eltex-radius-nbi
...
Do you want to generate server certificate? [y/N]: y
- Enter pass:
- Repeat pass:
- Enter period (in days): 365
- Enter country [RU]:
- Enter state [Novosibirsk Oblast]:
- Enter locatity [Novosibirsk]:
- Enter organization [Eltex]:
- Enter organization unit [Wireless network IT]:
- Enter email [eltex@eltex.nsk.ru]:
Если у Вас уже установлен пакет eltex-radius-nbi
, то Вам необходимо его переустановить.
root@vagrant-ubuntu-trusty-64:/home/vagrant# apt-get remove eltex-radius-nbi
root@vagrant-ubuntu-trusty-64:/home/vagrant# apt-get install eltex-radius-nbi
После установки будет сгенерирован сертификат.
URL of the server certificates:
http://localhost:8080/eltex-radius-nbi/certificates/server.zip
Run the script to setup Eltex RADIUS server:
/var/lib/eltex-radius-nbi/setup_er_eap.sh
- Reconfigure file '/etc/eltex-radius-nbi/radius_nbi_config.txt'
SoftWLC Northbound is installed. Tomcat service will be restarted...
To check the service works, open the URL:
http://localhost:8080/axis2/services/RadiusNbiService?wsdl
To read documentation, visit the following URL:
http://localhost:8080/eltex-radius-nbi/asciidoc/
Далее запустите скрипт setup_er_eap.sh:
root@vagrant-ubuntu-trusty-64:/home/vagrant# cd /var/lib/eltex-radius-nbi/
root@vagrant-ubuntu-trusty-64:./setup_er_eap.sh
eltex-radius stop/waiting
eltex-radius start/running, process 2317
Создание TLS сертификата у пользователей.
Созданный серверный сертификат дает возможность генерировать сертификаты для Enterprise пользователей. Если авторизация должна проходить по TLS сертификату, то при создании учетной записи Enterprise пользователя это необходимо указать.
Рассмотрим пошагово создание сертификата:
Откройте файл cat /etc/eltex-radius-nbi/radius_nbi_config.txt и пропишите адрес, по которому пользователь обращается к личному кабинету (по умолчанию 127.0.0.1).
# tomcat url
tomcat.host=127.0.0.1
tomcat.port=8080
- Выполните вход в Личный кабинет, перейдите во вкладку "Пользователи Wi-Fi" -> "Пользователи Enterprise". Нажмите кнопку "Добавить".
3. Задайте параметры пользователя и активируйте флаг "Создать TLS-сертификат".
По умолчанию срок действия сертификата 3650 дней. При необходимости измените данный параметр.
После создания пользователя можно посмотреть его параметры и на вкладке "TLS" увидеть, что сертификат был создан.
Создание SSID типа Enterprise с поддержкой TLS
Откройте менеджер SSID в меню "Wireless/Менеджер SSID".
Нажмите кнопку "Добавить SSID".
Задайте следующие ключевые параметры:
Тип - Enterprise
Имя - test_enterprise
Domain - root
Режим безопасности - WPA Enterprise
RADIUS IP Address - 192.168.50.1 (ip адрес Вашего Radius сервера).
RADIUS Key - eltex
RADIUS accounting - up
RADIUS accounting period - 600
Выберите радио интерфейсы (Radio), на которые будет назначен созданный SSID.
При назначении SSID одновременно на все радио интерфейсы ("Radio" - "All") рекомендуется включать "Bandsteer" (установить флаг) для приоритетного подключения к сети 5 ГГц устройствами, которые поддерживают оба диапазона.
При назначении SSID на один радио интерфейс режим "Bandsteer" должен быть выключен.
Активируйте флаг "Поддержка TLS".
После нажатия кнопки «Принять» созданный SSID отобразится в «Базе SSID».
Назначьте SSID на точки доступа, для этого выберите созданный SSID и нажмите кнопку «Добавить SSID привязку».
В появившемся окне выберите ключ для привязки. Привязка может осуществляться по MAC-адресу ТД или по домену узла. Затем выделите объекты для привязки (точки доступа или узлы) и нажмите кнопку «Создать привязку», индикатор в дереве сменится с желтого на зеленый. Нажмите кнопку «Принять».
Появится окно с вопросом "Исправить привязки SSID?". Если необходимо сразу же назначить на точки созданный SSID, то выберите "да", если необходимо, чтобы привязка существовала только в БД, но не применилась сейчас на точку доступа - нажмите кнопку "Нет". Потом, по необходимости, можно зайти на вкладку "Привязки SSID" и нажать кнопку "Исправить", чтобы назначить SSID на точку доступа, либо же привязка исправится по срабатыванию соответствующего монитора (по дефолту раз в сутки).
Процесс назначения SSID можно контролировать на вкладке «Задачи».
Созданная привязка отобразится на вкладке «Привязки SSID».
SSID будет назначен на первую выключенную VAP на точке доступа. Результат можно увидеть во вкладке «Конфигурация/Виртуальные точки доступа».
Установка сертификата на клиентское устройство
Необходимо загрузить сертификат на клиентское устройство. Для этого надо зайти в личный кабинет, в раздел "Пользователи Wi-Fi/Пользователи Enterprise" выбрать созданного ранее пользователя, в открывшемся окне перейти на вкладку "TLS" и нажать кнопку получить сертификат.
Файл .txt содержит необходимую информацию о сертификате. В дальнейшем нам понадобятся параметры Name и Password
Name: test
Domain: root
Password: test
Period: 3650
Organization name: Eltex
Country code: RU
State: Novosibirsk Oblast
Locality: Novosibirsk
Organization unit name: Wireless network IT
Contact e-mail: eltex@eltex.nsk.ru
Значение параметра Name "test" соответствует имени пользователя, созданного в личном кабинете. Значение параметра Password аналогично.
Содержимое загруженного архива, необходимо скопировать на клиентское устройство.
Установка сертификата для устройств с Android версии 5 и ниже
Установка корневого сертификата
Зайдите в настройки устройства и выберите пункт "Безопасность".
В разделе "безопасность" выберите пункт "Установить из..." (Установить сертификаты с носителя)
В открывшемся окне необходимо найти папку, где хранится сертификат. Для установки выберите файл wireless-ca.crt.
Введите название корневого сертификата (Устройство может предложить Вам в качестве названия сертификата ввести название файла). Значение поля "Использовать аккаунт:" необходимо выбрать "Wi-Fi"
Для подтверждения действия введите пароль безопасности Вашего устройства
Если на устройстве не был настроен пароль/PIN/графический ключ, то при установке сертификата Вам будет предложено это сделать.
Если установка сертификата прошла успешно, его можно увидеть в разделе Настройки/Безопасность/Доверенные учетные данные/Пользователь
Установка пользовательского сертификата
Следующий шаг - установка сертификата пользователя. Для этого откройте каталог телефона и найдите папку, в которой лежит сертификат (В данном случае это папка certificat. Мы уже обращались к ней, когда устанавливали сертификат wireless-ca).
Для установки достаточно кликнуть на файл с расширением .p12
Введите пароль. Пароль соответствует значению параметра Password, который Вы можете посмотреть в файле <name>.txt описанного выше.
Введите имя сертификата. Значение поля "Использовать аккаунт:" - "Wi-Fi".
После успешного извлечения сертификата Вы увидите надпись "<имя сертификата> установлен".
Установка сертификата для устройств с Android версии 6 и выше
Установка корневого сертификата
В разделе "Безопасность" выберите пункт "Установить с .." (Установить сертификаты с SD-карты)
Установка возможно и с SD-карты, и из внутренней памяти, в зависимости от того, на какой из носитель был скопирован сертификат.
Выберите файл wireless-ca.crt. Аналогично предыдущему варианту настройки задайте имя сертификата и значение поля "Использовать аккаунт:" необходимо выбрать "Wi-Fi".
Установка пользовательского сертификата
Установка сертификата в IOS
Для установки сертификата в IOS, отправьте файлы с сертификатами (*.crt и *.p12) почтой на свой e-mail и откройте его на телефоне. Либо загрузите файлы на свой телефон через usb.
Установка корневого сертификата
Открыв письмо с вложенным файлом стандартными приложениями IOS (Safari, Mail), нажимаем на файл с расширением *.crt. При Установке сертификата система будет предупреждать о ненадежности профиля, Вам необходимо согласиться на установку и сертификат будет успешно установлен.
Установка пользовательского сертификата
Установка пользовательского сертификата происходит аналогично установке корневого сертификата, только необходимо ввести пароль сертификата. Пароль соответствует параметру сертификата Password, который Вы всегда можете посмотреть в файле .txt
Установка сертификатов в Windows
Установка корневого сертификата
Необходимо выбрать хранилище сертификатов. Выберите пункт "Поместить все сертификаты в следующее хранилище" и нажмите "Обзор". В открывшемся окне выберите "Доверенные корневые центры сертификации".
Хранилища сертификатов - это системные области, в которых хранятся сертификаты.
Установка пользовательского сертификата
Введите пароль. Напоминаю, что пароль соответствует параметру сертификата Password, который Вы всегда можете посмотреть в файле .txt
Установка сертификатов в Ubuntu
Установка корневого сертификата
Название метки аналогично названию сертификата.
Установка пользовательского сертификата
Настройка TLS при резервировании серверов
Для обеспечения возможности авторизации пользователя с использованием сертификатв TLS на всех нодах Radius необходимо:
- На всех нодах выполнить скрипт /var/lib/eltex-radius-nbi/setup_er_eap.sh
- Убедиться что в /etc/eltex-radius/local.conf на всех нодах совпадают параметры:
- ca_cert_name="local.pem"
- tls_key_password="1234
- Копировать файлы сертификатов с одной ноды на остальные, так чтобы они стали одинаковыми на всех нодах:
- /etc/eltex-radius/certs/ca/local.pem
- /etc/eltex-radius/certs/server.crt
- /etc/eltex-radius/certs/server.key
- /var/lib/eltex-radius-nbi/wireless-ca.crt
- /var/lib/eltex-radius-nbi/wireless-ca.key
Подключение к SSID с поддержкой TLS
Подключение с Android
В меню Wi-Fi найдите созданный ранее SSID test_enterprise
Задайте параметры подключения к сети:
Метод EAP : TLS
Сертификат: wireless-ca
Сертификат пользователя: test
Удостоверение: test
Значение параметра "Удостоверение" задается в соответствии с параметром Name. (См. файл .txt описанный выше)
Подключение с Windows
Перед подключением к сети необходимо создать и настроить новое подключение.
Для этого перейдите в "Центр управления сетями и общим доступом" → "Создание и настройка нового подключения или сети".
В открывшемся окне выберите пункт "Подключение к беспроводной сети вручную" и нажмите "Далее".
Введите информацию о беспроводной сети:
- Имя сети;
- Тип безопасности: WPA2-Enterprise
Поставьте галочку напротив "Запускать это подключение автоматически".
Нажмите "Далее".
Сеть успешно добавлена. Переходим к настройке параметров подключения.
Откройте раздел "Безопасность", выберите метод проверки подлинности "Microsoft: смарт-карта или иной сертификат".
Нажмите кнопку "Параметры".
Поставьте флажок напротив:
- Использовать сертификат на этом компьютере;
- Использовать выбор простого сертификата;
- Подтверждать удостоверение сервера с помощью проверки сертификата;
- Использовать для подключение другое имя пользователя.
В списке "Доверенных корневых центов сертификации" выберите ранее добавленный корневой сертификат.
Нажмите кнопку "ОК".
В открывшемся окне выберите "Дополнительные параметры".
Укажите режим проверки подлинности - "Проверка подлинности пользователя".
Нажмите "ОК".
Найдите нужную сеть и нажмите "Подключиться".
Выберите пользовательский сертификат для подключения к сети и введите логин пользователя.
Нажмите "ОК".
Если параметры введены верно, подключение пройдет успешно.
Подключение с Ubuntu
Найдите нужную сеть и подключитесь к ней.
Введите параметры для подключения к сети.
В качестве CA certificate выберите корневой сертификат wireless-ca.crt
Подключение с IOS
В меню настройки Wi-Fi находим нужную сеть. При подключении к сети вводим свой личный логин, выбираем режим EAP-TLS. Нажимаем на пункт удостоверение, ставим галочку на наш сертификат, возвращаемся назад на ввод пароля, жмем подключиться. В появившемся окне жмем кнопку принять.