Freeradius Zertifikat erstellen und bestätigen.
Bei der Freeradius-Installation wird auch ein selbst signierte Dummy-Zertifikate unter dem Namen snakeoil erstellt. Das ist Standard Zertifikat für 10 Jahre. Wir möchten allerdings unser eigenes Zertifikat erstellen, um bestimmte Angabe der Organisation in dem Zertifikat zu definieren. Um ein eigenes Zertifikat zu erstellen, müssen wir zuerst zwei Dateien bearbeiten. Das sind Textdateien. In beiden Dateien müssen wir fast die gleichen Angaben machen. Das Zertifikat wird für 10 Jahre erstellt.
/etc/freeradius/3.0/certs/ca.cnf
/etc/freeradius/3.0/certs/server.cnf
/etc/freeradius/3.0/certs/xpextensions
...
default_days = 3650
...
crlDistributionPoints = URI:http://www.monoplan.de
...
[ req ]
...
input_password = whatever
output_password = whatever
...
[certificate_authority]
countryName = DE
stateOrProvinceName = Bayern
localityName = Stein (Mittelfranken)
organizationName = IT-SYS/MBS
emailAddress = admin@mono.plan
commonName = RadSchuleX
[v3_ca]
...
crlDistributionPoints = URI:http://www.monoplan.de
...
default_days = 3650
...
[ req ]
...
input_password = whatever
output_password = whatever
...
[server]
countryName = DE
stateOrProvinceName = Bayern
localityName = Stein (Mittelfranken)
organizationName = IT-SYS/MBS
emailAddress = admin@mono.plan
commonName = RadSchuleX
extendedKeyUsage = 1.3.6.1.5.5.7.3.2
crlDistributionPoints = URI:http://www.monoplan.de
[ xpserver_ext]
extendedKeyUsage = 1.3.6.1.5.5.7.3.1
crlDistributionPoints = URI:http://www.monoplan.de
...
certificatePolicies = 1.3.6.1.4.1.40808.1.3.2
root@dc1:~# openssl rand -out .rand 2048
root@dc1:~# make ca
root@dc1:~# make server
Das Zertifikat wurde erstellt. Für unsere Zwecke werden die Dateien ca.pem, server.pem und server.key gebraucht.
Mit dem folgenden Befehl können wir auf shell Ebene den Inhalt des Zertifikates auslesen.
root@dc1:~# openssl x509 -in server.pem -text -noout
root@dc1~# chown -R freerad:freerad *
Wir haben das gewünschte Zertifikat erstellt und jetzt können wir in unsere Radius-Konfiguration einbinden. z.B. so wie in dem Artikel
Konzept 1/Freeradius
Um bestimmte Informationen in der Log-Datei zu erhalten, könnten wir noch bestimmte Einträge in der Datei: /etc/freeradius/3.0/radiusd.conf anpassen. Die Einträge befinden sich im Bereich Log in der genannten Datei.
stripped_names = yes
# auth = no
auth = yes
auth_badpass = yes
auth_goodpass = no
msg_goodpass = "OK"
msg_badpass = "Falsch"