WLAN sichern mit Radius
Seite 4: Zertifikate generieren
Zertifikate generieren
Zum Erzeugen des Stammzertifikats und des abgeleiteten Serverzertifikats bringt Freeradius Beispieldateien und ein Make-Skript mit, was den Prozess erheblich erleichtert.
Als root wechseln Sie in der Shell ins Verzeichnis /etc/raddb/certs. Dort löschen Sie zunächst die mitgelieferten Beispiel-Zertifikate und -Schlüssel mit rm -f *.pem *.der *.csr *.crt *.key *.p12 serial* index.txt*
Dann passen Sie die vom Skript verwendete Konfigurationsdatei ca.cnf an: Setzen Sie den Parameter default_days
unter [ CA_default ]
auf 1826 (Tage) oder höher, damit das Erneuern und Verteilen frühestens nach fünf Jahren fällig wird. Stellen Sie dabei unter [ req ]
gleich eigene Passwörter ein.
Um das eigene Stammzertifikat im Verwaltungswerkzeug des Client-Betriebssystems später leichter wiederzufinden, ändern Sie auch die Einträge unter [certificate_authority]
(siehe Beispiele im Listing). Diese Änderungen wiederholen Sie in der Konfigurationsdatei server.cnf
und erzeugen schließlich ein neues Stamm- und Server-Zertifikat sowie die Server-Schlüssel mit make all
.
[ CA_default ]
default_days = 3660
[ req ]
input_password = radiustest123
output_password = radiustest123
[certificate_authority]
countryName = DE
stateOrProvinceName = radius@ct
localityName = Hannover
organizationName = Redaktion ct
emailAddress = ea@ct.de
commonName = "radiustest -- ea@ct"
[Abschnitte] und zu ändernde Parameter der Datei /etc/raddb/certs/ca.cnf für automatisierte Zertifikatserzeugung: Den 6-Zeilen-Block unter [certificate_authority] können Sie in die gleichermaßen anzupassende server.cnf unter [server] kopieren.
Damit der Radius-Server beim Starten den Server-Schlüssel lesen kann, tragen Sie schließlich das in ca.cnf selbstgesetzte Passwort auch in /etc/raddb/eap.conf bei private_key_password
ein.
Nun können Sie wiederum als root auf der Kommandozeile den Radius-Server aktivieren und starten: chkconfig freeradius on
sorgt dafür, dass der Dienst bei jedem Booten mitgestartet wird; rcfreeradius start
wirft ihn nach dem Konfigurieren gleich an.
Schließlich kopieren Sie sich noch das selbsterzeugte Stammzertifikat ca.der aus /etc/raddb/certs auf einen USB-Stick, um es später auf den Radius-Clients zu installieren.