Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

WLAN sichern mit Radius

Seite 4: Zertifikate generieren

Inhaltsverzeichnis

Zertifikate generieren

Zum Erzeugen des Stammzertifikats und des abgeleiteten Serverzertifikats bringt Freeradius Beispieldateien und ein Make-Skript mit, was den Prozess erheblich erleichtert.

Als root wechseln Sie in der Shell ins Verzeichnis /etc/raddb/certs. Dort löschen Sie zunächst die mitgelieferten Beispiel-Zertifikate und -Schlüssel mit rm -f *.pem *.der *.csr *.crt *.key *.p12 serial* index.txt*

Dann passen Sie die vom Skript verwendete Konfigurationsdatei ca.cnf an: Setzen Sie den Parameter default_days unter [ CA_default ] auf 1826 (Tage) oder höher, damit das Erneuern und Verteilen frühestens nach fünf Jahren fällig wird. Stellen Sie dabei unter [ req ] gleich eigene Passwörter ein.

Um das eigene Stammzertifikat im Verwaltungswerkzeug des Client-Betriebssystems später leichter wiederzufinden, ändern Sie auch die Einträge unter [certificate_authority] (siehe Beispiele im Listing). Diese Änderungen wiederholen Sie in der Konfigurationsdatei server.cnf und erzeugen schließlich ein neues Stamm- und Server-Zertifikat sowie die Server-Schlüssel mit make all.

Mehr Infos 
[ CA_default ]
default_days            = 3660
[ req ]
input_password          = radiustest123
output_password         = radiustest123
[certificate_authority]
countryName             = DE
stateOrProvinceName     = radius@ct
localityName            = Hannover
organizationName        = Redaktion ct
emailAddress            = ea@ct.de
commonName              = "radiustest -- ea@ct"

[Abschnitte] und zu ändernde Parameter der Datei /etc/raddb/certs/ca.cnf für automatisierte Zertifikatserzeugung: Den 6-Zeilen-Block unter [certificate_authority] können Sie in die gleichermaßen anzupassende server.cnf unter [server] kopieren.

Damit der Radius-Server beim Starten den Server-Schlüssel lesen kann, tragen Sie schließlich das in ca.cnf selbstgesetzte Passwort auch in /etc/raddb/eap.conf bei private_key_password ein.

Nun können Sie wiederum als root auf der Kommandozeile den Radius-Server aktivieren und starten: chkconfig freeradius on sorgt dafür, dass der Dienst bei jedem Booten mitgestartet wird; rcfreeradius start wirft ihn nach dem Konfigurieren gleich an.

Schließlich kopieren Sie sich noch das selbsterzeugte Stammzertifikat ca.der aus /etc/raddb/certs auf einen USB-Stick, um es später auf den Radius-Clients zu installieren.

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: WLAN

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten