Freeradius Zertifikat erstellen und bestätigen.

Bei der Freeradius-Installation wird auch ein Zertifikat erstellt. Das ist Standard Zertifikat für 10 Jahre. Wir möchte allerdings unser eigenes Zertifikat erstellen, um bestimmte Angabe der Organisation in dem Zertifikat zu definieren. Um eine eigenes Zertifikat zu erstellen müssen wir zuerst zwei Dateien bearbeiten. Das sind Textdateien. In beiden Dateien müssen wir die gleichen Angaben machen. Das Zertifikat wird für 10 Jahre erstellt.

/etc/freeradius/3.0/certs/ca.cnf
/etc/freeradius/3.0/certs/server.cnf
/etc/freeradius/3.0/certs/xpextensions

Punkt
Die Datei /etc/freeradius/3.0/certs/ca.cnf wird mit einem Texteditor geöffnet und bearbeitet. Bitte die untenstehende Angaben anpaasen und der Rest bleib so wie es ist.

 

[ CA_default ]
...
default_days = 3650
...
crlDistributionPoints = URI:http://www.monoplan.de

...

[ req ]
...
input_password = whatever
output_password = whatever
...

[certificate_authority]
countryName = DE
stateOrProvinceName = Bayern
localityName = Stein (Mittelfranken)
organizationName = IT-SYS/MBS
emailAddress = admin@mono.plan
commonName = "RadiusZertifikat-BBS"

[v3_ca]
...
crlDistributionPoints = URI:http://www.monoplan.de
Punkt
Bittte die gleiche Daten in der Datei /etc/freeradius/3.0/certs/server.cnf eintragen. Bitte die untenstehenden Angaben anpaasen und der Rest bleib so wie es ist.

 

[ CA_default ]
...
default_days = 3650
...

[ req ]
...
input_password = whatever
output_password = whatever
...

[server]
countryName = DE
stateOrProvinceName = Bayern
localityName = Stein (Mittelfranken)
organizationName = IT-SYS/MBS
emailAddress = admin@mono.plan
commonName = "RadiusZertifikat-BBS"
Punkt
Zum Schuß bearbeiten wir noch die Datei /etc/freeradius/3.0/certs/xpextensions

 

[ xpclient_ext]
...
crlDistributionPoints = URI:http://www.monoplan.de

[ xpserver_ext]
...
crlDistributionPoints = URI:http://www.monoplan.de

 

Punkt
Es wird zu dem Ordner /etc/freeradius/3.0/certs/ gewechselt und danach werden 3 Befehle ausgeführt. Wenn alles korrekt in den Dateien eingetragen war, dann kommt ein Ergebnis mit OK. Das Zertifikat wurde erstellt.

 

root@dc1:~# cd /etc/freeradius/3.0/certs
root@dc1:~# openssl rand -out .rand 2048
root@dc1:~# make ca
root@dc1:~# make server

 

Das Zertifikat wurde erstellt. Für unsere Zwecke werden die Dateien ca.pem, server.pem und server.key gebraucht.
Mit dem folgendem Befehl können wir auf shell Ebene den Inhalt des Zertifikates auslesen.
root@dc1:~# openssl x509 -in server.pem -text -noout

Punkt
Das Zertifiklat haben wir als root erstellt. Die Dateien sind lesbar für den Benutzer root und Gruppe root. Das müssen wir silbverständlich ändern. Die Datei muss auch der Benutzer freerad und die Gruppe freerad lesen können. Das wird angepasst.

 

root@dc1~#cd /etc/freeradius/3.0/certs
root@dc1~# chown -R freerad:freerad *

 

Wir haben das gewünschte Zertifikat erstellt und jetzt können wir es in unsere Radius Konfiguration einbinden. z.B. in dem Artikel
Konzept 1/Freeradius