Debian Stretch, Buster
1) kako naći certifikat:
FreeRADIUS koristi nekoliko parametara za postavljanje sustava certifikata pri korištenju EAP-TTLS komunikacije koji se nalaze u konfiguracijskoj datoteci /etc/freeradius/3.0/mods-available/eap-aai. Potrebni parametri se nalaze u grupi tls i imaju slijedeće oznake :
-
private_key_password - lozinka serverskog ključa
-
private_key_file - datoteka s serverskim ključem
-
certificate_file - datoteka s serverskim certifikatom
Standardna konfiguracija AAI paketa je slijedeća (confdir = /etc/freeradius/3.0/):
certdir = ${confdir}/certs
private_key_password = 'neki_password'
private_key_file =${certdir}/fRcerts/private/server-key.pem
certificate_file =${certdir}/fRcerts/server-cert.pem
CN polje od certifikata koji koristi FreeRADIUS servis je freeradius.AAI_realm (npr. freeradius.srce.hr), a sama datoteka s CA root certifikatom u .der formatu se nalazi na putanji /etc/freeradius/3.0/certs/fRcerts/cacert.der
2) kako ga provjeriti:
Sadržaj certifikata je moguće provjeriti slijedećim naredbama ovisno o tome da li se provjerava .pem ili .der format.
openssl x509 -in putanja_i_ime_certifikata.pem -noout -text
openssl x509 -in putanja_i_ime_certifikata.der -inform der -text -noout
Na primjer:
openssl x509 -in /etc/freeradius/3.0/certs/fRcerts/server-cert.pem -noout -text
3) kako ga izgenerirati:
U slučaju generiranja novog ili zamjene postojećeg certifikata, isto se može učiniti ili korištenjem opcije reconfigure prilikom instalacije paketa ili sa skriptom za izradu certifikata dostupnom na URL-u https://www.eduroam.hr/server-certs/
Po generiranju certifikata potrebno je restartati RADIUS programsko rješenje (FreeRADIUS).
4) kako vratiti promjenjeni certifikat:
Struktura s potrebnim certifikatima se nalazi u direktriju fRcerts , čiju sigurnosnu kopiju treba vratiti u u direktorij /etc/freeradius/3.0/certs/.
Nakon ovog koraka potrebno je vratiti i eap-aai datoteku, čiju sigurnosnu kopiju treba vratiti u direktorij /etc/freeradius/3.0/mods-enabled/. U ovoj datoteci se nalazi lozinka za pristup certifikatu.
Nakon toga je potrebno restartatiRADIUS programsko rješenje (FreeRADIUS).
Po obavljenom vraćanju sustava certifikata potrebno je lozinku koja se nalazi u datoteci /etc/freeradius/3.0/mods-enabled/eap-aai grupa tls u atributu private_key_password unijeti u kofiguraciju Debian sustava paketa slijedećom naredbom (tekst PASSWORD, potrebno je zamjeniti vrijednošću lozinke):
# echo "set aai/eap-password PASSWORD" | debconf-communicate
Prilikom korištenja FreeRADIUS-AAI Debian paketa, u slučaju da je potrebna rekonfiguracija, sigurnosne kopije gornjih datoteka moguće je pronaći na:
/etc/freeradius/3.0/certs/fRcerts
za fRcerts strukturu/var/backups/freeradius/
za eap-aai datoteku.