Freeradius Zertifikate für Server und Client eap-tls Authentifizierung

Für die EAP-TLS Authentifizierung werden mindesten 3 Zertifikate gebraucht, das sind CD-Zertifikat, Server-Zertifikat und Client-Zertifikat. Auf dem Debian Linuxsystem stehen einige Dateien für die Zertifikatserstellung zur Verfügung. Wir müssen die lediglich anpassen und dann die Zertifikate generieren.

Sind die Zertifikate generiert, können wir die in der Freiradius-Konfiguration oder auf dem Client nutzen.
Um ein eigenes Zertifikat zu erstellen, müssen wir zuerst vier Dateien bearbeiten. Das sind Textdateien. In allen Dateien müssen wir fast die gleichen Angaben machen. Es gibts nur kleine Anpassungen. Die Zertifikate werden für 10 Jahre erstellt.

/etc/freeradius/3.0/certs/ca.cnf
/etc/freeradius/3.0/certs/server.cnf
/etc/freeradius/3.0/certs/client.cnf
/etc/freeradius/3.0/certs/xpextensions

Punkt
Die Datei /etc/freeradius/3.0/certs/ca.cnf wird mit einem Texteditor geöffnet und bearbeitet. Die untenstehenden Angaben können wir anpassen und der Rest bleib so wie es ist.



[ CA_default ]
...
default_days = 3650
...
crlDistributionPoints = URI:http://www.monoplan.de

...

[ req ]
...
input_password = secret
output_password = secret
...

[certificate_authority]
countryName = DE
stateOrProvinceName = Bayern
localityName = Stein (Mittelfranken)
organizationName = IT-SYS/MBS
emailAddress = admin@mono.plan
commonName = "RadiusZertifikat-mono-CA"

[v3_ca]
...
crlDistributionPoints = URI:http://www.monoplan.de

Punkt
Fast die gleichen Daten in der Datei /etc/freeradius/3.0/certs/server.cnf bitte eintragen. Bitte die untenstehenden Angaben anpassen und der Rest bleib so wie es ist.

[ CA_default ]
...
default_days = 3650
...

[ req ]
...
input_password = secret
output_password = secret
...

[server]
countryName = DE
stateOrProvinceName = Bayern
localityName = Stein (Mittelfranken)
organizationName = IT-SYS/MBS
emailAddress = admin@mono.plan
commonName = "RadiusZertifikat-mono-Server"

Punkt
Es wird noch die Datei /etc/freeradius/3.0/certs/client.cnf angepasst. Bitte die untenstehenden Angaben anpassen und der Rest bleib so wie es ist. Unter emailAddress und commonName schreiben wir am besten die E-Mail-Adresse passend zu dem Server.

[ CA_default ]
...
default_days = 3650
...

[ req ]
...
input_password = secret
output_password = secret
...

[client]
countryName = DE
stateOrProvinceName = Bayern
localityName = Stein
organizationName = IT-SYS/MBS
emailAddress = ddf1@mono.plan
commonName = ddf1@mono.plan