Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
Остальные точки доступа настраиваются аналогичным образом, только у них будут другие IP-адреса, каналы (если они задаются вручную), а также значение поля «Radius Secret».
Создаём сертификаты
Для начала несколько общих слов о том, что такое PKI. Это некая инфраструктура, каждый субъект которой обладает уникальным цифровым сертификатом, удостоверяющим его личность; помимо прочего, цифровой сертификат содержит секретный ключ. Закодированные с его помощью сообщения можно расшифровать, зная соответствующий открытый ключ. И наоборот – сообщения, зашифрованные открытым ключом, можно расшифровать только при помощи секретного ключа. Каждый субъект PKI обладает открытым и секретным ключом.
Субъектом PKI может быть как пользовательский
компьютер или КПК, так и любой другой элемент сетевой инфраструктуры – маршрутизатор,
веб-сервер и даже сервер RADIUS, что и имеет место в нашем случае. Во главе
всей этой системы стоит главный орган CA (Certificate Autority),
предполагается, что ему все доверяют и его все знают – он занимается подписью
сертификатов (удостоверяет, что предъявитель сертификата действительно тот, за
кого себя выдаёт). Ему помогают специальные службы по приёму запросов на
сертификаты и их выдаче; номера всех выданных и отозванных сертификатов
хранятся в специальном реестре. В реальности всё это вроде бы большое хозяйство
умещается на одном компьютере, и с ним легко управляется один человек
Для создания сертификатов мы будем использовать скрипты, которые идут в комплекте с FreeRADIUS.
n Для начала создадим свой CA – для этого надо будет сгенерировать цифровую подпись, которой будут подписываться все выданные им сертификаты, а также открытый ключ.
n Затем создадим серверный сертификат, установим его на RADIUS.
n И в заключение сгенерируем сертификаты для установки на клиентские компьютеры.
Создаём директорию /usr/local/etc/raddb/CA, копируем туда из папки /usr/ports/net/freeradius/work/freeradius-1.0.2/scripts/ файл CA.all и файл xpextensions. CA.all – интерактивный скрипт, создающий CA, клиентский и серверный сертификаты. Xpextensions – файл, содержащий специальные ключи Microsoft «Extended Key Usage», – они необходимы для того, чтобы EAP-TLS работал с Windows-системами.
Открываем файл CA.all:
n в строке 1 исправим путь – она должна выглядеть так:
SSL=/usr/local/openssl
n в строке 32 исправим путь – она должна выглядеть вот так:
echo “newreq.pem” | /usr/local/openssl/ssl/misc/CA.pl -newca
Копируем CA.all в файл СA_users.all. Затем открываем последний и оставляем текст с 48 строки по 64-ю, остальные строки удаляем – оставшееся – это секция CA.all, в которой генерируются клиентские сертификаты. Она будет многократно использоваться, поэтому её удобно выделить в отдельный скрипт. Открываем CA.all , удаляем из него строки с 48 по 64-ю – всё то, что выделили в отдельный скрипт и сохраняем его.
Примечание: файлы CA.all и CA_users.all – содержат секретную фразу-пароль «whatever», которая используется как дополнительное средство обеспечения безопасности, при эмиссии сертификатов и их отзыве. Человек, не знающий эту фразу не сможет ни подписать, ни отозвать сертификат. В принципе, кроме оператора CA, она больше никому не понадобится. Для повышения безопасности нужно заменить все встречающиеся в скрипте CA.all и CA_users.all слова «whatever» на придуманный вами пароль. Его также нужно будет вписать в eap.conf в строку «private_key_password = whatever». Далее я предполагаю, что мы оставили везде пароль «whatever» без изменений. Его и будем вводить, создавая клиентские, серверные сертификаты, а также отзывая их.