Freeradius Zertifikat erstellen und bestätigen.

Bei der Freeradius-Installation wird auch ein selbst signierte Dummy-Zertifikate unter dem Namen snakeoil erstellt. Das ist Standard Zertifikat für 10 Jahre. Wir möchten allerdings unser eigenes Zertifikat erstellen, um bestimmte Angabe der Organisation in dem Zertifikat zu definieren. Um ein eigenes Zertifikat zu erstellen, müssen wir zuerst zwei Dateien bearbeiten. Das sind Textdateien. In beiden Dateien müssen wir fast die gleichen Angaben machen. Das Zertifikat wird für 10 Jahre erstellt.

/etc/freeradius/3.0/certs/ca.cnf
/etc/freeradius/3.0/certs/server.cnf
/etc/freeradius/3.0/certs/xpextensions

Punkt
Die Datei /etc/freeradius/3.0/certs/ca.cnf wird mit einem Texteditor geöffnet und bearbeitet. Bitte die untenstehenden Angaben anpassen und der Rest bleib so wie es ist.

 

[ CA_default ]
...
default_days = 3650
...
crlDistributionPoints = URI:http://www.monoplan.de

...

[ req ]
...
input_password = whatever
output_password = whatever
...

[certificate_authority]
countryName = DE
stateOrProvinceName = Bayern
localityName = Stein (Mittelfranken)
organizationName = IT-SYS/MBS
emailAddress = admin@mono.plan
commonName = "RadiusZertifikat-BBS-CA"

[v3_ca]
...
crlDistributionPoints = URI:http://www.monoplan.de
Punkt
Bitte die gleichen Daten in der Datei /etc/freeradius/3.0/certs/server.cnf eintragen. Bitte die untenstehenden Angaben anpassen und der Rest bleib so wie es ist.

 

[ CA_default ]
...
default_days = 3650
...

[ req ]
...
input_password = whatever
output_password = whatever
...

[server]
countryName = DE
stateOrProvinceName = Bayern
localityName = Stein (Mittelfranken)
organizationName = IT-SYS/MBS
emailAddress = admin@mono.plan
commonName = "BBS-RadiusZertifikat-Server"
Punkt
Zum Schuss bearbeiten wir noch die Datei /etc/freeradius/3.0/certs/xpextensions

 

[ xpclient_ext]
extendedKeyUsage = 1.3.6.1.5.5.7.3.2
crlDistributionPoints = URI:http://www.monoplan.de

[ xpserver_ext]
extendedKeyUsage = 1.3.6.1.5.5.7.3.1
crlDistributionPoints = URI:http://www.monoplan.de
...
certificatePolicies     = 1.3.6.1.4.1.40808.1.3.2
Punkt
Es wird zu dem Ordner /etc/freeradius/3.0/certs/ gewechselt und danach werden 3 Befehle ausgeführt. Wenn alles korrekt in den Dateien eingetragen war, dann kommt ein Ergebnis mit OK.

 

root@dc1:~# cd /etc/freeradius/3.0/certs
root@dc1:~# openssl rand -out .rand 2048
root@dc1:~# make ca
root@dc1:~# make server

 

Das Zertifikat wurde erstellt. Für unsere Zwecke werden die Dateien ca.pem, server.pem und server.key gebraucht.
Mit dem folgenden Befehl können wir auf shell Ebene den Inhalt des Zertifikates auslesen.
root@dc1:~# openssl x509 -in server.pem -text -noout

Punkt
Das Zertifikat haben wir als root erstellt. Die Dateien sind lesbar für den Benutzer root und Gruppe root. Das müssen wir selbstverständlich ändern. Die Datei muss auch der Benutzer freerad und die Gruppe freerad lesen können. Das wird angepasst.

 

root@dc1~#cd /etc/freeradius/3.0/certs
root@dc1~# chown -R freerad:freerad *

 

Wir haben das gewünschte Zertifikat erstellt und jetzt können wir in unsere Radius-Konfiguration einbinden. z.B. so wie in dem Artikel
Konzept 1/Freeradius