Traadita võrgu turvamine FreeRADIUS’ega: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Avein (talk | contribs)
Irokk (talk | contribs)
Common name unikaalsus sisse
 
(649 intermediate revisions by 2 users not shown)
Line 1: Line 1:
==FreeRADIUS==
__NOTOC__
Teooria :
[[File:Best_logos_small.jpg‎|right|text-top]]
'''Autorid: Allan Vein ja Indrek Rokk'''
<br style="clear: both" />


Mis on RADIUS?
=Sissejuhatus=
Radius on Remote Authentication Dial-In User Service, mida kaustatakse lõppkasutaja autoriseerimiseks ja autentimiseks. Täpsemalt lugemist saab http://www.ietf.org/rfc/rfc2865.txt .
RADIUS võimaldab autoriseerida ja autentida kasutajaid, kes ühenduvad LAN võrku ning keelata ligipääs  juhul, kui kasutaja ei läbi kontrolli. FreeRADIUS ( http://freeradius.org/ ) on RADIUSE vabavaraline realisatsioon.


Labori eesmärgiks on läbi viia praktiline FreeRadiuse konfigureerimine ning vajalike sertifikaatide seadistamine.  Kasutatakse EAP-TLS autentimise mehhanismi. Labori võib jagada neljaks osaks :


*Kuidas paigaldada vajalikud tarkvarapaketid RADIUS serverile.


*Kuidas tekitada vajalikud sertifikaadid.


*Kuidas seadistada FreeRADIUS ja pääsupunkt.


1.Uus kasutaja ühendub AccessPoindiga (AP) ning küsib ligipääsu LAN'i. AP küsib lõppkasutajalt ta identiteeti. Ainuke lubatud ühendus enne identifitseerimist on Extensible Authentication Protocol ( EAP).
*Kuidas ühenduda sertifikaatide abil pääsupunktiga.
2.Peale identifitseerimist algab autentikeerimine. Kasutatakse EAP protokolli. AP kapseldab EAP paketid RADIUS formaati ja saadab nad edasi RADIUS serverile. Autentikeerimisprotsessi ajal AP vahendab pakette lõppkasutaja ja RADIUS serveri vahel.
   
3.Peale õnnestunud autentikeerimist lastakse lõppkasutaja LAN kohtvõrgule ligi.
----
__TOC__
----
=Teooria=


Mis on EAP?
==Mis on RADIUS?==
Extensible Authentication Protocol on autentikeerimiseks optimiseeritud transpordiprotokoll. EAP toetab mitut erinevat autentikeerimimismeetodit. http://www.ietf.org/rfc/rfc3748.txt  
'''RADIUS (lühend inglise keelsetest sõnadest Remote Authentication Dial-In User Service)''' on protokoll, mida kasutatakse lõppkasutaja autoriseerimiseks ja autentimiseks. Täpsemalt saab lugeda standardist RFC2865 (http://www.ietf.org/rfc/rfc2865.txt ).
RADIUS võimaldab autoriseerida ja autentida kasutajaid, kes ühenduvad LAN võrku ning keelata ligipääs  juhul, kui kasutaja ei läbi kontrolli. FreeRADIUS ( http://freeradius.org/ ) on RADIUSE vabavaraline realisatsioon.


Milliseid autentikeerimismehhanisme EAP toetab?
FreeRADIUSE üldine tööpõhimõte :
Täieliku nimekirja võib leida siit http://www.iana.org/assignments/eap-numbers/eap-numbers.xml


Antud laboris kasutame me EAP-TLS realisatsiooni. EAP-TLS  tekitab TLS sessiooni AP ja RADIUS serveri vahele. Nii server kui  kliendid vajavad kehtivat sertifikaati. Täpsema standardi kirjelduse võib leida aadressilt http://www.ietf.org/rfc/rfc2716.txt .
[[File:lan.png]]


Mis me teeme?
1.Uus kasutaja ühendub pääsupuntiga (AP) ning küsib ligipääsu LAN'i. AP küsib lõppkasutajalt ta identiteeti. Ainuke AP poolt edastatav protokoll enne identifitseerimist on Extensible Authentication Protocol (EAP).


Labori eesmärgiks on läbi viia praktiline FreeRadiuse konfigureerimine ning vajalike sertifikaatide seadistamine. Kasutatakse EAP-TLS autentikeerimismehhanismi. Labori võib jagada neljaks osaks :
2.Peale identifitseerimist algab autentimine. Kasutatakse EAP protokolli. AP kapseldab EAP paketid RADIUS formaati ja saadab nad edasi RADIUS serverile. Autentimisprotsessi ajal  AP vahendab pakette lõppkasutaja ja RADIUS serveri vahel.


Kuidas paigaldada vajalikud tarkvarapaketid RADIUS serverile.
3.Peale õnnestunud autentimist lastakse lõppkasutaja LAN kohtvõrgule ligi.


Kuidas tekitada vajalikud sertifikaadid.


Kuidas seadistada FreeRADIUS ja Wireless Access Poindid.
RADIUSE kohta leiab eesti keelset lisainformatsiooni ka IT Kolledži wikis asuvalt leheküljelt :https://wiki.itcollege.ee/index.php/RADIUS_serveri_kasutamine_wifi_v%C3%B5rkudes


Kuidas ühenduda sertifikaatide abil Wireless Access Poindidga
==Mis on EAP?==
Extensible Authentication Protocol on autentimiseks optimiseeritud transpordiprotokoll. EAP toetab mitut erinevat autentikeerimimismeetodit. http://www.ietf.org/rfc/rfc3748.txt


==Milliseid autentimis mehhanisme EAP toetab?==
Täieliku nimekirja võib leida siit http://www.iana.org/assignments/eap-numbers/eap-numbers.xml


Antud laboris kasutame me EAP-TLS realisatsiooni. EAP-TLS  tekitab TLS sessiooni AP ja RADIUS serveri vahele. Nii server kui  kliendid vajavad kehtivat sertifikaati. Täpsema standardi kirjelduse võib leida aadressilt http://www.ietf.org/rfc/rfc2716.txt .


Mis on sertifikaadid?  
==Mis on sertifikaadid?==


Krüptograafias on sertifikaat elektrooniline dokument, mis kasutab digitaalallkirja, et siduda avalik võti kellegi identiteediga.  
Krüptograafias on sertifikaat elektrooniline dokument, mis kasutab digitaalallkirja, et siduda avalik võti kellegi identiteediga.  
Line 44: Line 55:
http://en.wikipedia.org/wiki/Public_key_certificate
http://en.wikipedia.org/wiki/Public_key_certificate


FreeRADIUS serveri installatsioon
=FreeRADIUS serveri installatsioon=
Paigaldamiseks Fedore Core  all kirjutage pakettide nimekirja uuendamiseks käsureale :
Paigaldamiseks ''yum''i kasutavate linuksi distributsioonide korral kirjutage pakettide nimekirja uuendamiseks käsureale:


$ yum upgrade  
$ yum upgrade  


Peale antud operatsiooni sooritamist paigaldage FreeRadiuse server. Seda saab teha järgneva käsu vahendusel :
Peale antud operatsiooni sooritamist paigaldage FreeRADIUSE server. Seda saab teha järgneva käsu vahendusel:


$ yum install freeradius
$ yum install freeradius


Antud käsk tekitab kataloogi nimega /etc/raddb kuhu paigutab  FreeRADIUS'ega seotud failid, kaasa arvatud FreeRADIUS'e konfiguratsiooni.
Antud käsk tekitab kataloogi nimega ''/etc/raddb'' kuhu on paigaldatud ka FreeRADIUS'ega seotud failid, kaasa arvatud FreeRADIUS'e konfiguratsiooni.


Sertifikaatide tekitamine
=Sertifikaatide loomine=
<span style="color:#FF0000">
Käesolevas juhendis luuakse sertifikaadid lihtsustamise mõttes skripti abil. Loodud sertifikaadid sobivad lahenduse testimiseks, aga kindlasti mitte igapäevasesse kasutusse. Juhul, kui on kavas sertifikaate kasutada ka mujal, tehke seda omal vastutusel või looge sertifikaadid käsitsi, kasutades näiteks järgnevat juhendit  http://gagravarr.org/writing/openssl-certs/ca.shtml</span>


Et sertifikaate teha peame esmalt installeerima open-ssl'i perli skriptid käsuga :   
<span style="color:#FF0000">
$ yum install openssl-perl
Samuti peavad igapäevaselt kasutuses olevatel sertifikaatidel olema vastavad failiõigused (et tagada selle, et keegi ei kustsuta, vaheta välja või kopeeri endale erinevaid sertifikaate ja nende võtmeid). Nende seadistamine ei kuulu aga antud labori skoopi).</span>
 
 
'''TÄHTIS! '''
 
'''Kui te loote sertifikaate siis kirjutaga kindlasti paberile või mõnele muule meediumile enda valitud sertifikaadide ''common name'' ja salasõnad! Juursertifikaadi salasõna on skriptis teie eest juba ära täidetud ja selle nimeks on ''whatever''.''' Laboritöö hõlbustamiseks on rangelt soovitatav välja printida järgnev abileht ning seda labori käigus täita. Seal on ära toodud ka konfiguratsioonifailide asukohad.
 
'''[[Media:Radiuslab.pdf]]'''
 
Et sertifikaate luua, peame esmalt installeerima open-ssl koos toega perli skriptidele :   
 
$ yum install openssl-perl


Teeme kataloogi /home/serdid käsuga:
Teeme kataloogi /home/serdid käsuga:


$ mkdir -p /home/serdid
$ mkdir -p /home/serdid


siis lähme sinna kataloogi käsuga:
siis lähme sinna kataloogi käsuga:


$ cd /home/serdid
$ cd /home/serdid


Sertifikaadid teeme lihtsuse mõttes modifitseeritud scriptiga mille tegemise juhised on antud dokumendi viimases peatükis nimega „Sertifikaat“.
Sertifikaadid teeme ülesande lihtsustamiseks modifitseeritud skriptiga. Skriptis on enamikule küsimistele kohandatud vaikimisi vastused kandilistes sulgudes. Näiteks vajutades küsimuse  '''State or Province Name (full name) [Harju]:''' korral klahvi '''Enter''' sisestatakse antud küsimusele vaikeväärtus ''Harju''. Skripti saab [http://enos.itcollege.ee/~avein/sert/cert.sh SIIT].


Keda huvitab  sertifikaatidega seotud  teooria võib leida inglise keelse kirjelduse aadressilt http://en.wikipedia.org/wiki/Public_key_certificate
Käsureal saab faile alla laadida näiteks programmi wgeti abil


Vastavalt sektsioonis „Sertifikaat“ olevatele juhenditele tehke fail nimega cert.sh ja kopeerige see kataloogi /home/serdid
<nowiki>$ wget http://enos.itcollege.ee/~avein/sert/cert.sh</nowiki>
Siia paneks lingi hoopis?
$ cp cert.sh /home/serdid


Sertifikaatidi failide kirjeldus :
Et skripti saaks kasutada, teeme ta ka käivitatavaks:
cacert.pem, the root CA sertifikaat
cakey.pem, the root CA private key fail, pass phrase on “whatever”
cacert.der, the root CA sertifikaat binaaris Windowsi jaoks
client_cert.pem, kliendi sertifikaat
client_key.pem, kliendi  privataatvõti, salasõna (pass phrase) Teie valikul
server_cert.pem, serveri sertifikaat
server_key.pem, serveri  privaatvõti salasõna (pass phrase) on  “whatever”
client_cert.p12 PKCS#12 versioon kliendi sertifikaadist


Algatuseks teeme selfsigned CA sertifikaadi. Selleks jooksutame antud scripti järgmise võtmega :
$ chmod a+x cert.sh


$ ./cert.sh ca
Skripti abil tekitame järgnevad failid :
*''cacert.pem'', on juursertifikaat
*''cakey.pem'', juursertifikaadi privaatvõti, (inglise keeles ''passphrase'') on ''whatever''
*''cacert.der'', juursertifikaat binaaris Windowsi jaoks
*''client_cert.pem'', kliendi sertifikaat
*''client_key.pem'', kliendi  privaatvõti, salasõna (passphrase) Teie valikul
*''server_cert.pem'', serveri sertifikaat
*''server_key.pem'', serveri  privaatvõti
*''client_cert.p12'' on PKCS#12 versioon kliendi sertifikaadist
===Juursertifikaadi loomine (CA)===
Algatuseks teeme iseallkirjastatud (inglise keeles ''self-signed'') juursertifikaadi. Selleks käivitame eelnevalt alla laetud skripti järgmise parameetriga :


Common name võib panna näiteks Cacert. Antud käsk tekitab meile cakey.pem, cacert.pem ja cacert.der failid.
$ ./cert.sh ca


Järgnevaks tekitame serveri sertifikaadi, selleks sisestame käsu :
''Common name'' valige ise ja pange see kirja ka labori abilehele.


$ ./cert.sh server cakey.pem cacert.pem
Antud käsu tulemusel luuakse <span style="color:red;">cakey.pem</span>, <span style="color:red;">cacert.pem</span> ja <span style="color:red;">cacert.der</span> failid.


Common name võib  näiteks  servercert panna, kuigi soovitav on sinna enda versioon sisetada ning see ka meelde jätta. Ülejäänud küsimuste peale on soovitatav ise mitte midagi sisestada, eriti Challenge passwordi korral.  Antud tegevuse tagajärjel saame failid server_key.pem ja server_cert.pem
[[File:Sert.png]]


Siis teeme kliendi sertifikaadi käsuga :
===Serveri sertifikaadi loomine ja sellele juursertifikaadiga alla kirjutamine===
Järgnevaks tekitame serveri sertifikaadi ja kirjutame sellele juursertifikaadiga alla, selleks sisestame käsu :


$ ./cert.sh client cakey.pem cacert.pem
$ ./cert.sh server cakey.pem cacert.pem


Common name'iks pange sert_laptop (selle sertifikaadi common name on teie hilisem username FreeRADIUS'e serveris, nii et kui sinna midagi muud panete, siis tasub see meelde jätta ja vastavalt ka users faili kirja panna) . Export password jätke meelde, kuna teil läheb seda tulevikus vaja. Challenge password on esialgu soovitatav tühjaks jätta. Kindlasti peab antud sertifikaadile alla kirjutama (Sign the certificate? [y/n]:y) .
''Common name'' võib  näiteks  servercert panna, kindlasti ei tohi ta olla sama, mille panite eelnevale sertifikaadile.Pange ''common name'' kirja ka labori abilehele. Ülejäänud küsimuste peale on soovitatav ise mitte midagi sisestada, eriti Challenge passwordi korral (juhul kui challenge password on aktiivne, peab ta sisestama iga kord, kui mõni teenus tahab sertifikaati kasutada). Kindlasti peab sertifikaadile alla kirjutama.  


Teeme  1024-bitise  Diffie-Hellman parameetri järgmise käsuga :
Antud tegevuse tagajärjel saame failid<span style="color:red;"> server_key.pem </span>ja<span style="color:red;"> server_cert.pem</span>


$ openssl dhparam -out dh 1024
[[File:Sert7.png]]
   
 
ja random faili järgneva käsuga
===Kliendi sertifikaadi loomine===
 
Juhul, kui tahetakse teha rohkem kui üht kliendi sertifikaati, peab sisestama kliendi sertifikaadi ja ta võtme jaoks failinimed. Kui kliendi sertifikaadi jaoks failinimesid ei sisestata, on loodud sertifikaadi ja ta võtme failinimede vaikeväärtused ''client_cert.pem.'' ja ''client_key.pem'' 
 
 
Näide 1: Kui jätta kliendi sertifikaadi ja ta võtme failinimed sisestamata, saame väljundiks failid nimedega  ''client_cert.pem, client_key.pem ja client_cert.p12'' ( PKSC12 failis on avalik võti, privaatvõti ja juursertifikaat koos).
$ ./cert.sh client cakey.pem cacert.pem
 
 
Näide 2 : Järgnevas näites on kliendi sertifikaadi nimeks kasutaja poolt sisestatud'' klientcert1.pem'' (sertifikaat), ''klientkey1.pem'' ( sertifikaadi võti) ja PKSC12 faili nimeks tuleb ''klientcert1.p12'' (PKSC12 fail saab oma nime sertifikaadi nime järgi).
 
P.S.Faililaiendiks jätke ''.pem''.
 
client <ca key> <ca cert> [ <span style="color:green;"><client key> <client cert></span> ]
 
  $ ./cert.sh client cakey.pem cacert.pem klientkey1.pem klientcert1.pem
 
 
''Common name'' valige ise (selle sertifikaadi ''common name'' on teie hilisem FreeRADIUSE kasutajanimi, mis tuleb sisestada FreeRADIUSe ''users'' faili, nii et pange see kindlasti kirja labori abilehele. Märkige sinna ka sertifikaadi, sertifikaadi võtme ja p12 failide nimed juhul kui te ei kasutanud vaikeväärtuseid. '''NB!''' Igal sertifikaadil peab olema unikaalne ''Common name''. '''Export password pange labori abilehele kirja, kuna teil läheb seda tulevikus vaja''' . ''Challenge password'' jätke täitmata. Kindlasti peab antud sertifikaadile alla kirjutama.
 
Käsu tulemusel saame kolm uut faili. '''Vaikeväärtuste''' kasutamise korral on loodud failide nimedeks <span style="color:#FF0000"> client_key.pem</span> ja<span style="color:#FF0000">  client_cert.pem</span> ja <span style="color:#FF0000"> client_cert.p12</span> .
 
[[File:Sert8.png]]
 
===Diffie-Hellman väärtuse genereerimine===


$ dd if=/dev/urandom of=random count=2
''''''NB!''' Seda tegevust on vaja teha ainult esimesel korral.'''


Artikkel mille alusel antud juhend koostati :
Genereerime 1024-bitise  Diffie-Hellman väärtuse järgmise käsuga :
http://www.freesoftwaremagazine.com/community_posts/generating_self_signed_test_certificates_using_one_single_shell_script


$ openssl dhparam -out dh 1024


Antud käsu tulemusel saame faili nimega<span style="color:red;"> dh</span>


[[File:Dh.png]]




FreeRADIUS'e konfigureerimine
===Juhuväärtuse tekitamine===
Juhuväärtuse tekitame järgneva käsuga


Kuna Fedora Core 12 algses tulemüüris (iptables) on kõik pordid peale ssh oma suletud, tuleb esmalt port 1812  avada. Lihtsaimaks võimaluseks on kaotada kõik keelavad reeglid tulemüürist. Seda saab teha käsuga:
  $ dd if=/dev/urandom of=random count=2
Antud käsu tulemusel saame faili nimega <span style="color:red;">random</span>


$ iptables -F
[[File:juhuvaartus.png]]


NB: Tasub aga meeles pidada et peale igat restarti taastatakse algsätted!
=FreeRADIUS serveri konfigureerimine=


<!--Kuna Fedora Core algses tulemüüris (iptables) on kõik pordid peale ssh oma suletud, tuleb esmalt port 1812  avada. Lihtsaimaks võimaluseks on kaotada kõik keelavad reeglid tulemüürist. Seda saab teha käsuga:


$ iptables -F


FreeRadiuse konfiguratsiooni failid mida modifitseerime on :
NB: Tasub aga meeles pidada et peale igat restarti taastatakse algsätted!-->


'''FreeRADIUS'e konfiguratsioonifailid asuvad kataloogis /etc/raddb'''


clients.conf – siin on FreeRADIUSe serverit kasutavate klientide  informatsioon .
FreeRADIUSE konfiguratsioonifailid, mida modifitseerime on :


FreeRadiuse juures tasub meeles pidada, et on olemas keskne server millel on kliendid. Klientideks on Access Poindid (AP), mitte arvutid mis ühenduvad AP külge!
*''clients.conf'' – siin on FreeRADIUSe serverit kasutavate klientide  informatsioon. FreeRadiuse juures tasub meeles pidada, et on olemas keskne server millel on kliendid. Klientideks on pääsupunktid (AP), mitte arvutid mis ühenduvad AP külge!


eap.conf – siin on FreeRADIUSe EAP autoriseerimise konfiguratsioon
*''eap.conf'' – siin on FreeRADIUSe EAP autoriseerimise konfiguratsioon


users -siin on kasutajanimed ja autoriseerimismeetodite alane  informatsioon
*''users'' -siin on kasutajanimede nimekiri ja neile rakendatavad autoriseerimismeetodid
   
   
FreeRADIUS'e konfiguratsiooni failid asuvad kataloogis /etc/raddb


clients.conf
==clients.conf==
 
Avage tekstiredaktoriga fail clients.conf ja lisage sinna enda WIFI ruuteri aaddress. Oletame et meie wifi-ruuteri aadress on 192.168.1.14 . Selleks et lisada antud aaddress lubatud klientide nimekirja tuleb faili clients.conf lisada järgnev kirje :


Avage tekstiredaktoriga fail clients.conf ja lisage sinna enda pääsupunkti (AP) aadress. Oletame, et meie AP aadress on 192.168.1.14 (Kui pääsepunktil on mitu IP aadressi, siis kasutage seda aadressi, mis on FreeRADIUS serveriga samas võrgus). Selleks, et lisada antud aadress lubatud klientide nimekirja, tuleb faili ''clients.conf'' lisada järgnev kirje :


<nowiki>
client 192.168.1.14 {
client 192.168.1.14 {
         secret          =      password
         secret          =      password
         shortname      =      talvekool1
         shortname      =      talvekool1
         nastype        =      other
         nastype        =      other
}
}</nowiki>
secret on nn shared-secret ruuteri ja FreeRADIUS serveri vahel. Sama secreti peate panema hiljem ka enda wifi ruuteri konfiguratsiooni. Shortname on lihtsalt nimi, millega antud seadet radiuse logides hakatakse mainima.
secret on shared-secret ruuteri ja FreeRADIUS serveri vahel. '''Sama secreti peate panema hiljem ka enda wifi AP konfiguratsiooni nii et pange see labori abilehele kirja'''. Shortname on lihtsalt nimi, millega antud seadet radiuse logides hakatakse mainima.


Users
==users==
Järgnevaks lisame faili users järgnevad read :
Järgnevaks täidame ''users'' faili. Sinna tuleb sisestada meie kliendi sertifikaadi ''common name'' (selle valisite te ise luues klient sertifikaati) ja määrame rakendatava autoriseerimismeetodi (meie puhul on selleks EAP). Juhul kui teil on rohkem kui üks kliendi sertifikaat, tuleb nende kõigi ''common name''id  sisestada. DEFAULT kirjega keelame kõik teised ühendused.
 
sert_laptop    Auth-type := EAP


Näiteks juhul, kui meil on kaks kliendi sertifikaati ''common name'' väärtustega '''kala1''' ja '''kala2''' peab sisestama järgneva:
<nowiki>kala1    Auth-type := EAP
kala2    Auth-type := EAP
DEFAULT        Auth-type := Reject
DEFAULT        Auth-type := Reject
                 Reply-Message := "Kõtt!"
                 Reply-Message := "Kõtt!"</nowiki>
Nii saavutame selle, et kasutajanime sert_laptop (meie klient sertifikaadi common name) puhul kasutatakse autoriseerimisel EAP protokolli. DEFAULT kirjes aga keelame kõik teised ühendused.


eap.conf
==eap.conf==
Avame faili eap.conf tekstiredaktoriga  ning muudame rea  default_eap_type = järgnevaks :
Avame faili ''eap.conf'' tekstiredaktoriga  ning muudame rea  default_eap_type = tls :


default_eap_type = tls
default_eap_type = tls


siis lähme sektsiooni tls{ } juurde kuhu teeme järgnevad muudatused:
[[File:eaptls.png]]


Järgnevaks lähme sektsiooni tls{ } juurde kuhu teeme järgnevad muudatused:


    tls {
'''Samuti veenduge, et tls sektsiooni lõpus viimase loogilise sulu ( } ) ees ei oleks väljakommenteerimismärki (#)
'''
<nowiki>  tls {
       private_key_password = whatever
       private_key_password = whatever
       private_key_file = /home/serdid/server_key.pem
       private_key_file = /home/serdid/server_key.pem
Line 193: Line 251:
       dh_file = /home/serdid/dh
       dh_file = /home/serdid/dh
       random_file = /home/serdid/random
       random_file = /home/serdid/random
Peale seda jääb meil veel üle FreeRADIUS server käivitada, seda saame me teha käsuga „freeradius“, kuid soovitatav oleks käivitada server debugmodis, seda saab teha käsurealt järgneva käsuga :


$ radiusd -X
</nowiki>
Ruuteri konfigureerimine
Tomato Version 1.27
Basic ->Network-> lehekülg lõpuni kerida. Sealt  valida Security „none“ asemel „WPA2 Enterprise“ ning sisestada „Shared Key“ (shared key on clients.conf failis , antud juhul oleks selleks : “password“ ). Serveri aadressiks panna selle masina aadress kus FreeRADIUS server asetseb ja pordiks jätta 1812 (default port) Peale seda vajutada nupul „Save“


[[File:eapcert.png]]




Ja sektsiooni lõpu viimane loogiline sulg :


[[File:Kommentaar.png]]


==Serveri käivitamine==


FreeRADIUSe server vajab oma tööks avatud UDP porte 1812 ja 1813. Juhul kui need ei ole eelnevalt avatud, siis tuleb need tulemüüris avada. Iptables kasutamise korral on käskudeks:


$ iptables -I INPUT -p udp --dport 1812 -j ACCEPT
$ iptables -I INPUT -p udp --dport 1813 -j ACCEPT


'''NB!''' Kui serverile tehakse taaskäivitus, siis need reeglid unustatakse.


Peale seda jääb meil veel üle FreeRADIUS server käivitada, seda saame me teha käsuga ''freeradius'', soovitatav oleks käivitada server debug reziimis (siis kuvatakse freeradiuse logi otse ekraanile), seda saab teha käsurealt järgneva käsuga :


$ radiusd -X


=Ruuteri/pääsupunkti konfigureerimine=


Näiteks Tomato Version 1.27 puhul


Basic ->Network-> lehekülje lõpp. Sealt  valida Security ''none'' asemel ''WPA2 Enterprise'' ning sisestada ''Shared Key'' (shared key on kirjas [[#clients.conf|clients.conf]] failis, antud näite puhul oleks selleks : “password“ ). Serveri aadressiks panna selle masina IP, kus FreeRADIUS server asetseb ja pordiks jätta 1812 (default port) Peale seda vajutada nupul ''Save''. Soovitatav on ka muuta SSID, et see poleks juba eksisteerivaga identne.


[[File:ruuter.png]]


<!-- =Windows XP  klientmasina konfigureerimine (Cisco Aironet)=
Windows klientmasin vajab cacerts.der ja client_cert.p12 '''(või siis failinimi mille andsite [[#Kliendi_sertifikaadi_loomine|kliendi sertifikaati]] luues parameetrina ette, faililaiend on aga alati p12)'''  faile autoriseerimiseks. Cacert.der tuleb lisada Trusted Root Certificates alla ja client_cert.p12 lihtsalt sertifikaadiks. Antud sertifikaatide tegemine oli kirjeldatud peatükis „Sertifikaadid“.




Kopeerige mälupulga või mõne muu meediumi abil  eelmainitud failid windowsi klientmasinasse.


Windows XP  klientmasina konfigureerimine
===Juursertifikaadi lisamine===
Windows klientmasin vajab cacerts.der ja client_cert.p12  faile autoriseerimiseks. Cacert.der tuleb lisada Trusted Root Certificates alla ja client_cert.p12 lihtsalt sertifikaadiks. Antud sertifikaatide tegemine oli kirjeldatud peatükis „Sertifikaatide tekitamine“.
 
Kopeerige mälupuga või mõne muu meediumi abil  cacert.der ja client_cert.p12 windowsi klientmasinasse. Siis lisame cacert.der sertifikaadi Trusted juursertifikaatide hulka. Selle jaoks klikkame ta peal kaks korda ja avanenud aknas valime „Install Certificate“
 
 
 
 
 
 
 
 
 
 
 
Järmisest aknast valime „Place all certificates in following store“ -> Browse-> Trusted Root Certification Authorities ja siis „OK“.
 
 
 
 
 
 
 
 
 


Lisame cacert.der sertifikaadi Trusted juursertifikaatide hulka. Selle jaoks klikkame ta peal kaks korda ja avanenud aknas valime „Install Certificate“


[[File:Vana1.jpg]]


Avanenud aknas valime „Place all certificates in following store“ -> Browse-> Trusted Root Certification Authorities ja siis ''OK''.


[[File:vconf.jpg]]


Järgnevates akendes vajutada OK või nextile kasutades isiklikku intelligentsi.
Järgnevates akendes vajutada OK või nextile kasutades isiklikku intelligentsi.
Järgmiseks tuleb lisada kliendisertifikaat client_cert.p12. Selleks klikkame client_cert.p12 faili peal kaks korda ja avanenud aknas vajutame „NEXT“.
Järgmiseks konfigureerime Cisco Aironet utility.  Avame Cisco Aironet utiliidi ja vajutame nupul „Scan“. Sealt valime enda ruuteri SSID.
Siis valime Modify, paneme enda ühendusele nime ja lähme edasi Security tabi ning valime WPA/WPA2/CCKM  ning rippmenüüst alamtüübi EAP-TLS


===PKCS #12 sertifikaadi lisamine===


Lisada tuleb ka kliendisertifikaat client_cert.p12. Selleks klikkame faili peal kaks korda ja avanenud aknas vajutame ''NEXT''.


P.S. Juhul kui teil on rohkem kui üks kliendi sertifikaat, siis lisage nende kõigi PKCS12 sertifikaadid (''.p12'' laiendiga failid) kasutades antud juhendit.


[[File:Vana4.png]]


[[File:Vana5.jpg]]


===Serveriga ühenduse tekitamine===
Järgmiseks konfigureerime Cisco Aironet utility.  Avame Cisco Aironet utiliidi ja vajutame nupul ''Scan''. Sealt valime enda ruuteri SSID.


[[File:Vana6.jpg]]


Valime Modify, paneme enda ühendusele nime ja lähme edasi Security tabi ning valime WPA/WPA2/CCKM  ning rippmenüüst alamtüübi EAP-TLS


[[File:Vana7.jpg]]


Siis vajutame Configure nupul ja valime rippmenüüdest enda sertifikaadid :
Siis vajutame Configure nupul ja valime rippmenüüdest enda sertifikaadid :


[[File:Vana8.jpg]]


Lõpuks vajutame nupul ''OK'' ning teeme antud ühenduse aktiivseks. Kui kõik on õigesti seadistatud näeme järgnevat pilti:


[[File:Vana9.jpg]]




-->


=Linux klientmasina konfigureerimine Network Manager näitel=


Lõpuks vajutame nupul „OK“ ning teeme antud ühenduse aktiivseks. kui kõik on õigesti seadistatud näeme järgnevat pilti:
[http://projects.gnome.org/NetworkManager/ Network Manager] on mitmes erinevas Linuksi distros kasutatav võrguühenduse haldamise utiliit.


Klientmasin vajab ''cacerts.der'' ja ''client_cert.p12'' (või siis failinimi mille andsite klientsertifikaati luues parameetrina ette, faililaiend on aga alati ''p12'') faile autoriseerimiseks (need tehti valmis peatükis ''Sertifikaadid'' ).


Kopeerige mälupuga või mõne muu meediumi abil eelmainitud failid linux klientmasinasse.




Avage ''Network Manager''. Valige ''Connect to Hidden Wireless Network''.


*"Network Name" sisetage siia enda AP SSID
*"Wireless Security"  WPA&WPA2 Enterprise
*"Authentication" TLS
*"Identity" siia pange enda kliendi sertifikaadi (''client_cert.p12'') ''common name''
*"CA certificate" navigeerige ''cacert.der'' failini ja valige see
*"Private Key" navigeerige ''client_cert.p12'' failini ja valige see (faili nimi võib erineda kui kliendi sertifikaati luues sisestasite kasutajapoolsed failinimed, kuid faililaiend on ikka ''.p12'')
*"Private Key Password"  Tuletage meelde (või vaadake labori abilehelt kui seda täitsite) mis Export Passwordi te valisite kui kliendi sertifikaati genereerisite ja sisestage see




[[File:Linukscert1.png]]


Windows 7 klientmasina konfigureerimine


=Windows 7 klientmasina konfigureerimine=


Windows klientmasin vajab cacerts.der ja client_cert.p12  faile autoriseerimiseks. Cacert.der tuleb lisada Trusted Root Certificates alla ja client_cert.p12 lihtsalt sertifikaadiks. Antud sertifikaatide tegemine oli kirjeldatud peatükis „Sertifikaadid“.


Windows klientmasin vajab ''cacerts.der'' ja ''client_cert.p12'' (või siis failinimi mille andsite kliendi sertifikaati luues parameetrina ette, faililaiend on alati ''p12'')  faile autoriseerimiseks. ''Cacert.der'' tuleb lisada ''Trusted Root Certificates'' alla ja ''client_cert.p12'' tavaliseks sertifikaadiks. Antud sertifikaatide tegemine oli kirjeldatud peatükis Sertifikaadid.


Kopeerige mälupulga või mõne muu meediumi abil cacert.der ja client_cert.p12 windowsi klientmasinasse. Siis lisame cacert.der sertifikaadi Trusted juursertifikaatide hulka. Selle jaoks klikkame ta peal kaks korda ja avanenud aknas valime „Install Certificate“
Kopeerige mälupuga või mõne muu meediumi abil eelmainitud failid Windows klientmasinasse (Juhul kui tegite rohkem kui ühe kliendi sertifikaadi kopeeriga nende kõigi PKCS12 ( .p12 faililaiend) failid).


===Juursertifikaadi lisamine===


Lisame ''cacert.der'' sertifikaadi Trusted juursertifikaatide hulka. Selle jaoks klikkame ta peal kaks korda ja avanenud aknas valime ''Install Certificate''


[[File:sertifikaat.png]]


[[File:sertifikaat2.png]]




Järmisest aknast valime ''Place all certificates in following store'' -> ''Browse''-> ''Trusted Root Certification Authorities'' ja siis ''OK''.




[[File:un1.png]]


[[File:sertifikaat3.png]]


[[File:Sert2.png]]


== PKCS #12 sertifikaadi lisamine==


Lisame ka ''client_cert.p12'' sertifikaadi. Selleks klikake kaks korda failil ja avanenud aknas valige ''Install Certificate''


P.S. Juhul kui teil on rohkem kui üks kliendi sertifikaat, siis lisage nende kõigi PKCS12 sertifikaadid ( ''.p12'' failid) kasutades antud juhendit.


[[File:Sert3.png]]


[[File:Sert4.png]]


Siia sisestage export password mille kliendi sertifikaati tehes valisite


[[File:Sert5.png]]


[[File:Uus.png]]


[[File:Sert2.png]]


==Serveriga ühenduse tekitamine==


Avage ''Network ja Sharing Center'' ning veenduge et wifi on aktiivne. Kui wifi ei ole aktiivne  klikake ''Change adapter settings'' lingil:


Avanenud aknast valime „Place all certificates in following store“ -> Browse-> Trusted Root Certification Authorities ja siis „OK“ ja järgmises aknas „Finish“
[[File:win1.png]]






Ja aktiveerige juhtmevaba liides:


[[File:win2.png]]






Siis minge tagasi ''Network ja Sharing Center'' avalehele ja klikake ''Manage Wireless Networks'' lingil. Kustutage sealt enda läbipääsupunkti profiil (juhul kui see seal on juba olemas) ja vajutage ''Add'' nupul




[[File:win3.png]]




Siin valige ''Manually create a network profile''


[[File:win4.png]]




Line 360: Line 424:




''Network Name'' alla kirjutage enda läbipääsupunkti SSID


''Security Type'' valige WPA2-Enterprise


''Encryption Type'' TKIP


ja vajutage ''Next'' nuppu


[[File:win5.png]]






Siin aknas vajutage lihtsalt ''Change connection Settings''


[[File:win6.png]]






Avanenud aknas avage ''Security'' tab ning valige ''Choose a Network Authentication Method'' rippmenüüst ''Microsoft: Smart Card or other certificate''. Edasi vajutage antud menüü kõrval oleval ''Settings'' nupul


[[File:win7.png]]




Otsige ''Trusted Root Certificate Authorities'' menüüst enda juursertifikaat (sertifikaadi nimeks on juursertifikaadi ''common name'') ja pange talle linnuke ette. Siis vajutage ''OK'' nupul. Avanenud aknas vajutage uuesti ''OK'' nupul


[[File:serdike.png]]






Edasi vajutage ekraani paremas nurgas oleval võrguühenduse ikoonil ja valige sealt ühendus, mille te just seadistasite ning vajutage nupul ''Connect''


[[File:raadius_Win8.png]]




Avanenud aknas valige rippmenüüst kliendi sertifikaat mida soovite seekord kasutada (nimekirjas on kuvatud sertifikaatide ''common name''id) ja vajutage ''OK'' nupul. Juhul kui arvutisse on lisatud ainult üks kliedi sertifikaat, siis antud valikut ei pakuta.


[[File:win9.png]]




Line 387: Line 466:




[[Category:Traadita side alused]]


=FreeRADIUS serveri õnnestunud ühenduse logi=


Juhul kui server on käivitatud -X võtmega (''radiusd -X'' ) ehk debug reziimis näeme õnnestunud ühenduse puhul midagi järgnevat (siin on kuvatud ainult osa logist). Pöörake tähelepanu esiletõestetud osale.


[[File:xgreatsucc.png]]


=Lisa 1 : Sertifikaatide tühistamine=


Vahel on tarvis ligipääsuõigus tagasi võtta (näiteks, kui kolmas osapool saab kasutaja sertifikaadi endale). Selleks peame sertifikaadi tühistama. Antud peatükis kirjeldame seda protseduuri FreeRADIUS serveri näitel. Järjekordselt kasutame ülesande lihtsustamiseks scipti (sama skript millega tekitasime ka sertifikaadid). Kui lahendust on kavas kuskil kasutada, tasuks sertifikaadi tühistamiseks kasutada järgnevat lingil asetsevat juhendit, mitte skripti: http://gagravarr.org/writing/openssl-certs/ca.shtml#ca-revoke )




Lähme tagasi sertifikaatide kataloogi :


$ cd /home/serdid


==Sertifikaadi tühistamine==


Valime kliendi sertifikaadi, mille kavatseme tühistada, antud näites on selleks ''client_cert.pem'' (tühistatav sertifikaat peab antud kataloogis olemas olema)
$ ./cert.sh revok client_cert.pem


''Passphrase'' on juursertifikaadi võtme salasõna (antud juhul on selleks ''whatever'').


[[File:revok.png]]


Järgmiseks tuleb lisada kliendisertifikaat client_cert.p12. Selleks klikkame client_cert.p12 faili peal kaks korda ja avanenud aknas vajutame „NEXT“.
==Tühistatud sertifikaatide nimekirja tekitamine==
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Sertifikaadid:
Konsoolis teha järgneva käsuga tekstifail :
$ touch cert.sh
 
Siis selle faili kõigi poolt käivitatavaks :
$ chmod a+x cert.sh
 
Ning siis lisame järgneva teksti sinna enda lemmik tekstiredaktoriga :
 
#!/bin/sh
#
# A script generates self-signed root CA cert/key and client/server certs with
# xp-extensions, using openssl.
# certs generated are for testing purposes only!
#
# Author: Gong Cheng, chengg11@yahoo.com, Aug. 2008
#
# You are free to use this script in anyway but absolutely no warranty!
#
 
usage ()
{
    echo "Usage:"
    echo "  certgen ca [<ca key> <ca cert>]"
    echo "  certgen client <ca key> <ca cert> [ <client key>  <client cert> ]"
    echo "  certgen server <ca key> <ca cert> [ <server key>  <server cert> ]"
}
 
gen_config ()
{
    echo "Generating ca_config.cnf"
    cat > ca_config.cnf <<EOT
HOME                    = .
RANDFILE                = $ENV::HOME/.rnd
[ ca ]
default_ca      = CA_default
[ CA_default ]
certs          = .
crl_dir        = .
database        = index.txt
new_certs_dir  = .
certificate    = $2
serial          = serial
private_key    = $1
RANDFILE        = .rand
x509_extensions = usr_cert
name_opt        = ca_default
cert_opt        = ca_default
default_days    = 365
default_crl_days= 30
default_md      = sha1
preserve        = no
policy          = policy_match
[ policy_match ]
countryName            = match
stateOrProvinceName    = match
organizationName        = match
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional
[ policy_anything ]
countryName            = optional
stateOrProvinceName    = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional
[ req ]
default_bits            = 1024
default_md              = sha1
default_keyfile        = privkey.pem
distinguished_name      = req_distinguished_name
attributes              = req_attributes
x509_extensions = v3_ca
string_mask = MASK:0x2002
[ req_distinguished_name ]
countryName                    = Country Name (2 letter code)
countryName_default            = EE
countryName_min                = 2
countryName_max                = 2
stateOrProvinceName            = State or Province Name (full name)
stateOrProvinceName_default    = Harju
localityName                    = Locality Name (eg, city)
localityName_default            = Tallinn
0.organizationName              = Organization Name (eg, company)
0.organizationName_default      = Cisco lab
organizationalUnitName          = Organizational Unit Name (eg, section)
commonName                      = Common Name (eg, your name or your server's hostname)
commonName_max                  = 64
emailAddress                    = Email Address
emailAddress_max                = 64
[ req_attributes ]
challengePassword              = A challenge password
challengePassword_min          = 4
challengePassword_max          = 20
unstructuredName                = An optional company name
[ usr_cert ]
basicConstraints=CA:FALSE
nsComment                      = "OpenSSL Generated Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always
basicConstraints = CA:true
[xpclient_ext]
extendedKeyUsage = 1.3.6.1.5.5.7.3.2
[xpserver_ext]
extendedKeyUsage = 1.3.6.1.5.5.7.3.1
EOT
}
 
gen_ca ()
{
    echo "generating CA cert:$1, $2", cacert.der;
    openssl req -config ca_config.cnf -new -x509 -extensions v3_ca -days 3650 -passin pass:whatever -passout pass:whatever -keyout $1 -out $2
    openssl x509 -inform PEM -outform DER -in cacert.pem -out cacert.der
 
}
 
gen_client_cert ()
{
    echo "generating client cert:$1, $2";
    openssl req -config ca_config.cnf -new -nodes -keyout $1 -out temp.csr -days 3650
 
    openssl ca -config ca_config.cnf -policy policy_anything -out $2 -days 3650 -key whatever -extensions xpclient_ext -infiles temp.csr
    openssl pkcs12 -export -clcerts -in client_cert.pem -inkey client_key.pem -out client_cert.p12
    rm temp.csr
}
 
gen_server_cert ()
{
    echo "generating server cert:$1, $2";
    openssl req -config ca_config.cnf -new -nodes -keyout $1 -out temp.csr -days 3650
 
    openssl ca -config ca_config.cnf -policy policy_anything -out $2 -days 3650 -key whatever -extensions xpserver_ext -infiles temp.csr
 
    rm temp.csr
}
 
#at least one argument
if [ $# -lt 1 ]
then
    usage
    exit 1
fi


Edasi tekitame tühistatud sertifikaatide nimekirja. Antud käsu väljundiks on fail nimega ''crl.pem'' mis kujutab endast tühistatud sertifikaatide seerianumbrite nimekirja.''Passphrase'' on juursertifikaadi võtme salasõna (antud juhul on selleks ''whatever''):


#default file names if not specified in command line
$ ./cert.sh crl
ca_key_file=cakey.pem
ca_cert_file=cacert.pem
client_key_file=client_key.pem
client_cert_file=client_cert.pem
server_key_file=server_key.pem
server_cert_file=server_cert.pem


case $1 in
[[File:crl.png]]
ca)
    if [ x$2 != x ]
    then
        ca_key_file=$2
        ca_cert_file=$3
    fi
    gen_config $ca_key_file $ca_cert_file
    gen_ca $ca_key_file $ca_cert_file
    if [ -f $ca_key_file -a -f $ca_cert_file ]
    then
        echo "Generated files: key: $ca_key_file , cert: $ca_cert_file"
    else
        echo "Failed to generated all files"
    fi
    ;;
client)
    if [ $# -ne 3 -a $# -ne 5 ]
    then
        usage
        exit 1
    fi
    ca_key_file=$2
    ca_cert_file=$3
    gen_config $ca_key_file $ca_cert_file
    if [ x$4 != x ]
    then
        client_key_file=$4
        client_cert_file=$5
    fi
    if [ ! -f index.txt ]
    then
        touch index.txt
    fi


    if [ ! -f serial ]
Et veenduda tühistatud sertifikaatide nimekirja olemasolus, võib kasutada järgnevat käsku:
    then
        echo 01 > serial
    fi
    gen_client_cert $client_key_file $client_cert_file
    if [ -f $client_key_file -a -f $client_cert_file ]
    then
        echo "Generated files: key: $client_key_file , cert: $client_cert_file"
    else
        echo "Failed to generated all files"
    fi
    if [ $client_cert_file != `cat serial.old`.pem ]
    then
        rm `cat serial.old`.pem
    fi
    ;;
server)
    if [ $# -ne 3 -a $# -ne 5 ]
    then
        usage
        exit 1
    fi
    ca_key_file=$2
    ca_cert_file=$3
    gen_config $ca_key_file $ca_cert_file
    if [ x$4 != x ]
    then
        server_key_file=$4
        server_cert_file=$5
    fi
    if [ ! -f index.txt ]
    then
        touch index.txt
    fi


    if [ ! -f serial ]
$ openssl crl -in /home/serdid/crl.pem -noout -text
    then
        echo 01 > serial
    fi
    gen_server_cert $server_key_file $server_cert_file
    if [ -f $server_key_file -a -f $server_cert_file ]
    then
        echo "Generated files: key: $server_key_file , cert: $server_cert_file"
    else
        echo "Failed to generated all files"
    fi
    if [ $server_cert_file != `cat serial.old`.pem ]
    then
        rm `cat serial.old`.pem
    fi
    ;;
*) usage; exit 1;;
esac


Käsu tulemis näeme tühistatud sertifikaatide nimekirja, õigemini tühistatud sertifikaatide seerianumbreid:


[[File:noot.png]]


#cleanups
==FreeRADIUSE seadistamine sertifikaatide tühistusnimekirja kasutamiseks==


rm ca_config.cnf
Algatuseks lähme tagasi FreeRADIUSe kodukataloogi


$ cd /etc/raddb


Korduma Kippuvad Küsimused:
Avame faili ''eap.conf'' ja liigume ''tls'' sektsiooni ning kommenteerime sisse/lisame sinna järgnevad read:


check_crl=yes
CA_path = /home/serdid/


Miks mu sertifikaat ei tööta?
''check_crl=yes'' abil me aktiveerime sertifikaadi tühistamisnimekirja kasutamise ja ''CA_path= /home/serdid'' näitab FreeRADIUSele kataloogi, kus asetsevad juursertifikaat (''cacert.pem'') ja sertifikaatide tühistamisnimekiri (''crl.pem'').
Sertifikaat ei ole klientmasinas aktiivne – võrrelge kellaegu masinas kus te tekitasite sertifikaadi ja masinas kuhu te selle paigaldasite. Juhul kui seal on erinevad kellajad, on tõenäoline, et sertifikaadi kehtivusaeg pole veel alanud. Kõige lihtsam meetod selle probleemi lahendamiseks on muuta arvutis kellaaega.


Alljärgneval joonisel võib näha ekraanitõmmist mittekehtivast sertifikaadist. Pöörake tähelepanu veateatele ja „ Valid from“ vahemikule.
[[File:cacrl.png]]


Peale muudatuste salvestamist käivitame käsureal järgneva OpenSSH käsu:


$ c_rehash /home/serdid/


Käsu tulem peaks olema sarnane järgnevale ekraanitõmmisele:


[[File:rehash.png]]


==Mida silmas pidada==


1.FreeRADIUS server loeb juursertifikaadi ja sertifikaatide tühistusnimekirja ainult käivitamisel, seega tuleb peale sertifikaatide tühistamisnimekirja muutmist FreeRADIUS alati taaskävitada!


2. Peale uute sertifikaatide tühistamisnimekirja tegemist peab juursertifikaadi/sertifikaatide tühistamisnimekirja kataloogile käivitama käskluse ''c_rehash''


==Tühistatud sertifikaatide nimekirja testimine==


Viimaseks sammuks on FreeRADIUSe serveri käivitamine ja tühistatud klient sertifikaadiga ühendumise proovimine. Enam ühendumine ei õnnestu ja juhul kui FreeRADIUS on käivitatud -X võtmega (''radiusd -X'') näeme midagi sarnast (pöörake tähelepanu esile tõstetud osale) :


[[File:noaccess.png]]


ja windows klient näitab midagi sarnast :


[[File:win10.png]]


Samas kehtiva kliendi sertifikaadiga on võimalik wifi võrguga ühenduda (seda saab testida kui tegite või teete rohkem kui ühe kliendi sertifikaadi)


=Korduma Kippuvad Küsimused:=




'''K1''': Miks mu sertifikaadid ei tööta?


'''V1''' :Sertifikaat ei ole klientmasinas aktiivne – võrrelge kellaegu arvutis, kus te tekitasite sertifikaadi arvutiga kuhu te selle paigaldasite. Juhul kui seal on erinevad kellajad, on tõenäoline, et sertifikaadi kehtivusaeg pole veel alanud. Kõige lihtsam meetod selle probleemi lahendamiseks on muuta arvutis kellaaega.


Alljärgneval joonisel võib näha ekraanitõmmist mittekehtivast sertifikaadist. Pöörake tähelepanu veateatele "This certificate has expired or is not yet valid" ja „ Valid from“ vahemikule.


[[File:Kalamees.png]]


'''V2''' :Vaadake üle enda sertifikaatide failid, juhul kui mõne faili suurus on 0kb, olete teinud kusagil vea. Kuna võimalusi on mitmeid siis on soovitatav vanad sertifikaadid ära kustutada ja sertifikaadi tekitamise protsess lihtsalt uuesti läbi teha, olles seekord tähelepanelikum.


'''K2''' Radius serveri käivitamise peale käsuga ''radiusd -X'' saan hunniku veateteid ja midagi ei juhtu!


'''V1''' Lugege veateated läbi! Pahatihti on tegemist sellega, et on unustatud ''eap.conf'' faili sertifikaatide andmed sisestada või ''tls'' sektsiooni lõpus oleva loogilise sulu ('''}''') aktiivseks muuta.


Vaadake üle enda sertifikaatide failis, juhul kui mõne faili suurus on 0kb, olete teinud kusagil vea. Kuna võimalusi on mitmeid siis on soovitatav vanad sertifikaadid ära kustutada ja sertifikaadi tekitamise protsess lihtsalt uuesti läbi teha, olles seekord tähelepanelikum.


FreeRADIUS Labor
[[Category:Traadita side alused]]
[[Category:Traadita side alused]]

Latest revision as of 09:39, 10 May 2014

Autorid: Allan Vein ja Indrek Rokk

Sissejuhatus

Labori eesmärgiks on läbi viia praktiline FreeRadiuse konfigureerimine ning vajalike sertifikaatide seadistamine. Kasutatakse EAP-TLS autentimise mehhanismi. Labori võib jagada neljaks osaks :

  • Kuidas paigaldada vajalikud tarkvarapaketid RADIUS serverile.
  • Kuidas tekitada vajalikud sertifikaadid.
  • Kuidas seadistada FreeRADIUS ja pääsupunkt.
  • Kuidas ühenduda sertifikaatide abil pääsupunktiga.


Teooria

Mis on RADIUS?

RADIUS (lühend inglise keelsetest sõnadest Remote Authentication Dial-In User Service) on protokoll, mida kasutatakse lõppkasutaja autoriseerimiseks ja autentimiseks. Täpsemalt saab lugeda standardist RFC2865 (http://www.ietf.org/rfc/rfc2865.txt ). RADIUS võimaldab autoriseerida ja autentida kasutajaid, kes ühenduvad LAN võrku ning keelata ligipääs juhul, kui kasutaja ei läbi kontrolli. FreeRADIUS ( http://freeradius.org/ ) on RADIUSE vabavaraline realisatsioon.

FreeRADIUSE üldine tööpõhimõte :

1.Uus kasutaja ühendub pääsupuntiga (AP) ning küsib ligipääsu LAN'i. AP küsib lõppkasutajalt ta identiteeti. Ainuke AP poolt edastatav protokoll enne identifitseerimist on Extensible Authentication Protocol (EAP).

2.Peale identifitseerimist algab autentimine. Kasutatakse EAP protokolli. AP kapseldab EAP paketid RADIUS formaati ja saadab nad edasi RADIUS serverile. Autentimisprotsessi ajal AP vahendab pakette lõppkasutaja ja RADIUS serveri vahel.

3.Peale õnnestunud autentimist lastakse lõppkasutaja LAN kohtvõrgule ligi.


RADIUSE kohta leiab eesti keelset lisainformatsiooni ka IT Kolledži wikis asuvalt leheküljelt :https://wiki.itcollege.ee/index.php/RADIUS_serveri_kasutamine_wifi_v%C3%B5rkudes

Mis on EAP?

Extensible Authentication Protocol on autentimiseks optimiseeritud transpordiprotokoll. EAP toetab mitut erinevat autentikeerimimismeetodit. http://www.ietf.org/rfc/rfc3748.txt

Milliseid autentimis mehhanisme EAP toetab?

Täieliku nimekirja võib leida siit http://www.iana.org/assignments/eap-numbers/eap-numbers.xml

Antud laboris kasutame me EAP-TLS realisatsiooni. EAP-TLS tekitab TLS sessiooni AP ja RADIUS serveri vahele. Nii server kui kliendid vajavad kehtivat sertifikaati. Täpsema standardi kirjelduse võib leida aadressilt http://www.ietf.org/rfc/rfc2716.txt .

Mis on sertifikaadid?

Krüptograafias on sertifikaat elektrooniline dokument, mis kasutab digitaalallkirja, et siduda avalik võti kellegi identiteediga.

Täpsem inglise keelne seletus on leitav siit :

http://en.wikipedia.org/wiki/Public_key_certificate

FreeRADIUS serveri installatsioon

Paigaldamiseks yumi kasutavate linuksi distributsioonide korral kirjutage pakettide nimekirja uuendamiseks käsureale:

$ yum upgrade 

Peale antud operatsiooni sooritamist paigaldage FreeRADIUSE server. Seda saab teha järgneva käsu vahendusel:

$ yum install freeradius

Antud käsk tekitab kataloogi nimega /etc/raddb kuhu on paigaldatud ka FreeRADIUS'ega seotud failid, kaasa arvatud FreeRADIUS'e konfiguratsiooni.

Sertifikaatide loomine

Käesolevas juhendis luuakse sertifikaadid lihtsustamise mõttes skripti abil. Loodud sertifikaadid sobivad lahenduse testimiseks, aga kindlasti mitte igapäevasesse kasutusse. Juhul, kui on kavas sertifikaate kasutada ka mujal, tehke seda omal vastutusel või looge sertifikaadid käsitsi, kasutades näiteks järgnevat juhendit http://gagravarr.org/writing/openssl-certs/ca.shtml

Samuti peavad igapäevaselt kasutuses olevatel sertifikaatidel olema vastavad failiõigused (et tagada selle, et keegi ei kustsuta, vaheta välja või kopeeri endale erinevaid sertifikaate ja nende võtmeid). Nende seadistamine ei kuulu aga antud labori skoopi).


TÄHTIS!

Kui te loote sertifikaate siis kirjutaga kindlasti paberile või mõnele muule meediumile enda valitud sertifikaadide common name ja salasõnad! Juursertifikaadi salasõna on skriptis teie eest juba ära täidetud ja selle nimeks on whatever. Laboritöö hõlbustamiseks on rangelt soovitatav välja printida järgnev abileht ning seda labori käigus täita. Seal on ära toodud ka konfiguratsioonifailide asukohad.

Media:Radiuslab.pdf

Et sertifikaate luua, peame esmalt installeerima open-ssl koos toega perli skriptidele :

$ yum install openssl-perl

Teeme kataloogi /home/serdid käsuga:

$ mkdir -p /home/serdid

siis lähme sinna kataloogi käsuga:

$ cd /home/serdid

Sertifikaadid teeme ülesande lihtsustamiseks modifitseeritud skriptiga. Skriptis on enamikule küsimistele kohandatud vaikimisi vastused kandilistes sulgudes. Näiteks vajutades küsimuse State or Province Name (full name) [Harju]: korral klahvi Enter sisestatakse antud küsimusele vaikeväärtus Harju. Skripti saab SIIT.

Käsureal saab faile alla laadida näiteks programmi wgeti abil

$ wget http://enos.itcollege.ee/~avein/sert/cert.sh

Et skripti saaks kasutada, teeme ta ka käivitatavaks:

$ chmod a+x cert.sh

Skripti abil tekitame järgnevad failid :

  • cacert.pem, on juursertifikaat
  • cakey.pem, juursertifikaadi privaatvõti, (inglise keeles passphrase) on whatever
  • cacert.der, juursertifikaat binaaris Windowsi jaoks
  • client_cert.pem, kliendi sertifikaat
  • client_key.pem, kliendi privaatvõti, salasõna (passphrase) Teie valikul
  • server_cert.pem, serveri sertifikaat
  • server_key.pem, serveri privaatvõti
  • client_cert.p12 on PKCS#12 versioon kliendi sertifikaadist

Juursertifikaadi loomine (CA)

Algatuseks teeme iseallkirjastatud (inglise keeles self-signed) juursertifikaadi. Selleks käivitame eelnevalt alla laetud skripti järgmise parameetriga :

$ ./cert.sh ca

Common name valige ise ja pange see kirja ka labori abilehele.

Antud käsu tulemusel luuakse cakey.pem, cacert.pem ja cacert.der failid.

Serveri sertifikaadi loomine ja sellele juursertifikaadiga alla kirjutamine

Järgnevaks tekitame serveri sertifikaadi ja kirjutame sellele juursertifikaadiga alla, selleks sisestame käsu :

$ ./cert.sh server cakey.pem cacert.pem

Common name võib näiteks servercert panna, kindlasti ei tohi ta olla sama, mille panite eelnevale sertifikaadile.Pange common name kirja ka labori abilehele. Ülejäänud küsimuste peale on soovitatav ise mitte midagi sisestada, eriti Challenge passwordi korral (juhul kui challenge password on aktiivne, peab ta sisestama iga kord, kui mõni teenus tahab sertifikaati kasutada). Kindlasti peab sertifikaadile alla kirjutama.

Antud tegevuse tagajärjel saame failid server_key.pem ja server_cert.pem

Kliendi sertifikaadi loomine

Juhul, kui tahetakse teha rohkem kui üht kliendi sertifikaati, peab sisestama kliendi sertifikaadi ja ta võtme jaoks failinimed. Kui kliendi sertifikaadi jaoks failinimesid ei sisestata, on loodud sertifikaadi ja ta võtme failinimede vaikeväärtused client_cert.pem. ja client_key.pem


Näide 1: Kui jätta kliendi sertifikaadi ja ta võtme failinimed sisestamata, saame väljundiks failid nimedega client_cert.pem, client_key.pem ja client_cert.p12 ( PKSC12 failis on avalik võti, privaatvõti ja juursertifikaat koos).

$ ./cert.sh client cakey.pem cacert.pem


Näide 2 : Järgnevas näites on kliendi sertifikaadi nimeks kasutaja poolt sisestatud klientcert1.pem (sertifikaat), klientkey1.pem ( sertifikaadi võti) ja PKSC12 faili nimeks tuleb klientcert1.p12 (PKSC12 fail saab oma nime sertifikaadi nime järgi).

P.S.Faililaiendiks jätke .pem.

client <ca key> <ca cert> [ <client key> <client cert> ]

$ ./cert.sh client cakey.pem cacert.pem klientkey1.pem klientcert1.pem


Common name valige ise (selle sertifikaadi common name on teie hilisem FreeRADIUSE kasutajanimi, mis tuleb sisestada FreeRADIUSe users faili, nii et pange see kindlasti kirja labori abilehele. Märkige sinna ka sertifikaadi, sertifikaadi võtme ja p12 failide nimed juhul kui te ei kasutanud vaikeväärtuseid. NB! Igal sertifikaadil peab olema unikaalne Common name. Export password pange labori abilehele kirja, kuna teil läheb seda tulevikus vaja . Challenge password jätke täitmata. Kindlasti peab antud sertifikaadile alla kirjutama.

Käsu tulemusel saame kolm uut faili. Vaikeväärtuste kasutamise korral on loodud failide nimedeks client_key.pem ja client_cert.pem ja client_cert.p12 .

Diffie-Hellman väärtuse genereerimine

'NB!' Seda tegevust on vaja teha ainult esimesel korral.

Genereerime 1024-bitise Diffie-Hellman väärtuse järgmise käsuga :

$ openssl dhparam -out dh 1024

Antud käsu tulemusel saame faili nimega dh


Juhuväärtuse tekitamine

Juhuväärtuse tekitame järgneva käsuga

$ dd if=/dev/urandom of=random count=2 

Antud käsu tulemusel saame faili nimega random

FreeRADIUS serveri konfigureerimine

FreeRADIUS'e konfiguratsioonifailid asuvad kataloogis /etc/raddb

FreeRADIUSE konfiguratsioonifailid, mida modifitseerime on :

  • clients.conf – siin on FreeRADIUSe serverit kasutavate klientide informatsioon. FreeRadiuse juures tasub meeles pidada, et on olemas keskne server millel on kliendid. Klientideks on pääsupunktid (AP), mitte arvutid mis ühenduvad AP külge!
  • eap.conf – siin on FreeRADIUSe EAP autoriseerimise konfiguratsioon
  • users -siin on kasutajanimede nimekiri ja neile rakendatavad autoriseerimismeetodid


clients.conf

Avage tekstiredaktoriga fail clients.conf ja lisage sinna enda pääsupunkti (AP) aadress. Oletame, et meie AP aadress on 192.168.1.14 (Kui pääsepunktil on mitu IP aadressi, siis kasutage seda aadressi, mis on FreeRADIUS serveriga samas võrgus). Selleks, et lisada antud aadress lubatud klientide nimekirja, tuleb faili clients.conf lisada järgnev kirje :

client 192.168.1.14 {
        secret          =       password
        shortname       =       talvekool1
        nastype         =       other
}

secret on shared-secret ruuteri ja FreeRADIUS serveri vahel. Sama secreti peate panema hiljem ka enda wifi AP konfiguratsiooni nii et pange see labori abilehele kirja. Shortname on lihtsalt nimi, millega antud seadet radiuse logides hakatakse mainima.

users

Järgnevaks täidame users faili. Sinna tuleb sisestada meie kliendi sertifikaadi common name (selle valisite te ise luues klient sertifikaati) ja määrame rakendatava autoriseerimismeetodi (meie puhul on selleks EAP). Juhul kui teil on rohkem kui üks kliendi sertifikaat, tuleb nende kõigi common nameid sisestada. DEFAULT kirjega keelame kõik teised ühendused.

Näiteks juhul, kui meil on kaks kliendi sertifikaati common name väärtustega kala1 ja kala2 peab sisestama järgneva:

kala1    Auth-type := EAP
kala2    Auth-type := EAP
DEFAULT         Auth-type := Reject
                Reply-Message := "Kõtt!"

eap.conf

Avame faili eap.conf tekstiredaktoriga ning muudame rea default_eap_type = tls :

default_eap_type = tls

Järgnevaks lähme sektsiooni tls{ } juurde kuhu teeme järgnevad muudatused:

Samuti veenduge, et tls sektsiooni lõpus viimase loogilise sulu ( } ) ees ei oleks väljakommenteerimismärki (#)

   tls {
       private_key_password = whatever
       private_key_file = /home/serdid/server_key.pem

       #  If Private key & Certificate are located in
       #  the same file, then private_key_file &
       #  certificate_file must contain the same file
       #  name.
       certificate_file = /home/serdid/server_cert.pem

       #  Trusted Root CA list
       CA_file = /home/serdid/cacert.pem


       #
       #  For DH cipher suites to work, you have to
       #  run OpenSSL to create the DH file first:
       #
       #       openssl dhparam -out certs/dh 1024
       #
       dh_file = /home/serdid/dh
       random_file = /home/serdid/random



Ja sektsiooni lõpu viimane loogiline sulg :

Serveri käivitamine

FreeRADIUSe server vajab oma tööks avatud UDP porte 1812 ja 1813. Juhul kui need ei ole eelnevalt avatud, siis tuleb need tulemüüris avada. Iptables kasutamise korral on käskudeks:

$ iptables -I INPUT -p udp --dport 1812 -j ACCEPT
$ iptables -I INPUT -p udp --dport 1813 -j ACCEPT

NB! Kui serverile tehakse taaskäivitus, siis need reeglid unustatakse.

Peale seda jääb meil veel üle FreeRADIUS server käivitada, seda saame me teha käsuga freeradius, soovitatav oleks käivitada server debug reziimis (siis kuvatakse freeradiuse logi otse ekraanile), seda saab teha käsurealt järgneva käsuga :

$ radiusd -X

Ruuteri/pääsupunkti konfigureerimine

Näiteks Tomato Version 1.27 puhul

Basic ->Network-> lehekülje lõpp. Sealt valida Security none asemel WPA2 Enterprise ning sisestada Shared Key (shared key on kirjas clients.conf failis, antud näite puhul oleks selleks : “password“ ). Serveri aadressiks panna selle masina IP, kus FreeRADIUS server asetseb ja pordiks jätta 1812 (default port) Peale seda vajutada nupul Save. Soovitatav on ka muuta SSID, et see poleks juba eksisteerivaga identne.


Linux klientmasina konfigureerimine Network Manager näitel

Network Manager on mitmes erinevas Linuksi distros kasutatav võrguühenduse haldamise utiliit.

Klientmasin vajab cacerts.der ja client_cert.p12 (või siis failinimi mille andsite klientsertifikaati luues parameetrina ette, faililaiend on aga alati p12) faile autoriseerimiseks (need tehti valmis peatükis Sertifikaadid ).

Kopeerige mälupuga või mõne muu meediumi abil eelmainitud failid linux klientmasinasse.


Avage Network Manager. Valige Connect to Hidden Wireless Network.

  • "Network Name" sisetage siia enda AP SSID
  • "Wireless Security" WPA&WPA2 Enterprise
  • "Authentication" TLS
  • "Identity" siia pange enda kliendi sertifikaadi (client_cert.p12) common name
  • "CA certificate" navigeerige cacert.der failini ja valige see
  • "Private Key" navigeerige client_cert.p12 failini ja valige see (faili nimi võib erineda kui kliendi sertifikaati luues sisestasite kasutajapoolsed failinimed, kuid faililaiend on ikka .p12)
  • "Private Key Password" Tuletage meelde (või vaadake labori abilehelt kui seda täitsite) mis Export Passwordi te valisite kui kliendi sertifikaati genereerisite ja sisestage see



Windows 7 klientmasina konfigureerimine

Windows klientmasin vajab cacerts.der ja client_cert.p12 (või siis failinimi mille andsite kliendi sertifikaati luues parameetrina ette, faililaiend on alati p12) faile autoriseerimiseks. Cacert.der tuleb lisada Trusted Root Certificates alla ja client_cert.p12 tavaliseks sertifikaadiks. Antud sertifikaatide tegemine oli kirjeldatud peatükis Sertifikaadid.

Kopeerige mälupuga või mõne muu meediumi abil eelmainitud failid Windows klientmasinasse (Juhul kui tegite rohkem kui ühe kliendi sertifikaadi kopeeriga nende kõigi PKCS12 ( .p12 faililaiend) failid).

Juursertifikaadi lisamine

Lisame cacert.der sertifikaadi Trusted juursertifikaatide hulka. Selle jaoks klikkame ta peal kaks korda ja avanenud aknas valime Install Certificate


Järmisest aknast valime Place all certificates in following store -> Browse-> Trusted Root Certification Authorities ja siis OK.


PKCS #12 sertifikaadi lisamine

Lisame ka client_cert.p12 sertifikaadi. Selleks klikake kaks korda failil ja avanenud aknas valige Install Certificate

P.S. Juhul kui teil on rohkem kui üks kliendi sertifikaat, siis lisage nende kõigi PKCS12 sertifikaadid ( .p12 failid) kasutades antud juhendit.

Siia sisestage export password mille kliendi sertifikaati tehes valisite

Serveriga ühenduse tekitamine

Avage Network ja Sharing Center ning veenduge et wifi on aktiivne. Kui wifi ei ole aktiivne klikake Change adapter settings lingil:


Ja aktiveerige juhtmevaba liides:


Siis minge tagasi Network ja Sharing Center avalehele ja klikake Manage Wireless Networks lingil. Kustutage sealt enda läbipääsupunkti profiil (juhul kui see seal on juba olemas) ja vajutage Add nupul



Siin valige Manually create a network profile



Network Name alla kirjutage enda läbipääsupunkti SSID

Security Type valige WPA2-Enterprise

Encryption Type TKIP

ja vajutage Next nuppu


Siin aknas vajutage lihtsalt Change connection Settings


Avanenud aknas avage Security tab ning valige Choose a Network Authentication Method rippmenüüst Microsoft: Smart Card or other certificate. Edasi vajutage antud menüü kõrval oleval Settings nupul


Otsige Trusted Root Certificate Authorities menüüst enda juursertifikaat (sertifikaadi nimeks on juursertifikaadi common name) ja pange talle linnuke ette. Siis vajutage OK nupul. Avanenud aknas vajutage uuesti OK nupul


Edasi vajutage ekraani paremas nurgas oleval võrguühenduse ikoonil ja valige sealt ühendus, mille te just seadistasite ning vajutage nupul Connect


Avanenud aknas valige rippmenüüst kliendi sertifikaat mida soovite seekord kasutada (nimekirjas on kuvatud sertifikaatide common nameid) ja vajutage OK nupul. Juhul kui arvutisse on lisatud ainult üks kliedi sertifikaat, siis antud valikut ei pakuta.

FreeRADIUS serveri õnnestunud ühenduse logi

Juhul kui server on käivitatud -X võtmega (radiusd -X ) ehk debug reziimis näeme õnnestunud ühenduse puhul midagi järgnevat (siin on kuvatud ainult osa logist). Pöörake tähelepanu esiletõestetud osale.

Lisa 1 : Sertifikaatide tühistamine

Vahel on tarvis ligipääsuõigus tagasi võtta (näiteks, kui kolmas osapool saab kasutaja sertifikaadi endale). Selleks peame sertifikaadi tühistama. Antud peatükis kirjeldame seda protseduuri FreeRADIUS serveri näitel. Järjekordselt kasutame ülesande lihtsustamiseks scipti (sama skript millega tekitasime ka sertifikaadid). Kui lahendust on kavas kuskil kasutada, tasuks sertifikaadi tühistamiseks kasutada järgnevat lingil asetsevat juhendit, mitte skripti: http://gagravarr.org/writing/openssl-certs/ca.shtml#ca-revoke )


Lähme tagasi sertifikaatide kataloogi :

$ cd /home/serdid

Sertifikaadi tühistamine

Valime kliendi sertifikaadi, mille kavatseme tühistada, antud näites on selleks client_cert.pem (tühistatav sertifikaat peab antud kataloogis olemas olema)

$ ./cert.sh revok client_cert.pem

Passphrase on juursertifikaadi võtme salasõna (antud juhul on selleks whatever).

Tühistatud sertifikaatide nimekirja tekitamine

Edasi tekitame tühistatud sertifikaatide nimekirja. Antud käsu väljundiks on fail nimega crl.pem mis kujutab endast tühistatud sertifikaatide seerianumbrite nimekirja.Passphrase on juursertifikaadi võtme salasõna (antud juhul on selleks whatever):

$ ./cert.sh crl

Et veenduda tühistatud sertifikaatide nimekirja olemasolus, võib kasutada järgnevat käsku:

$ openssl crl -in /home/serdid/crl.pem -noout -text

Käsu tulemis näeme tühistatud sertifikaatide nimekirja, õigemini tühistatud sertifikaatide seerianumbreid:

FreeRADIUSE seadistamine sertifikaatide tühistusnimekirja kasutamiseks

Algatuseks lähme tagasi FreeRADIUSe kodukataloogi

$ cd /etc/raddb

Avame faili eap.conf ja liigume tls sektsiooni ning kommenteerime sisse/lisame sinna järgnevad read:

check_crl=yes
CA_path = /home/serdid/

check_crl=yes abil me aktiveerime sertifikaadi tühistamisnimekirja kasutamise ja CA_path= /home/serdid näitab FreeRADIUSele kataloogi, kus asetsevad juursertifikaat (cacert.pem) ja sertifikaatide tühistamisnimekiri (crl.pem).

Peale muudatuste salvestamist käivitame käsureal järgneva OpenSSH käsu:

$ c_rehash /home/serdid/

Käsu tulem peaks olema sarnane järgnevale ekraanitõmmisele:

Mida silmas pidada

1.FreeRADIUS server loeb juursertifikaadi ja sertifikaatide tühistusnimekirja ainult käivitamisel, seega tuleb peale sertifikaatide tühistamisnimekirja muutmist FreeRADIUS alati taaskävitada!

2. Peale uute sertifikaatide tühistamisnimekirja tegemist peab juursertifikaadi/sertifikaatide tühistamisnimekirja kataloogile käivitama käskluse c_rehash

Tühistatud sertifikaatide nimekirja testimine

Viimaseks sammuks on FreeRADIUSe serveri käivitamine ja tühistatud klient sertifikaadiga ühendumise proovimine. Enam ühendumine ei õnnestu ja juhul kui FreeRADIUS on käivitatud -X võtmega (radiusd -X) näeme midagi sarnast (pöörake tähelepanu esile tõstetud osale) :

ja windows klient näitab midagi sarnast :

Samas kehtiva kliendi sertifikaadiga on võimalik wifi võrguga ühenduda (seda saab testida kui tegite või teete rohkem kui ühe kliendi sertifikaadi)

Korduma Kippuvad Küsimused:

K1: Miks mu sertifikaadid ei tööta?

V1 :Sertifikaat ei ole klientmasinas aktiivne – võrrelge kellaegu arvutis, kus te tekitasite sertifikaadi arvutiga kuhu te selle paigaldasite. Juhul kui seal on erinevad kellajad, on tõenäoline, et sertifikaadi kehtivusaeg pole veel alanud. Kõige lihtsam meetod selle probleemi lahendamiseks on muuta arvutis kellaaega.

Alljärgneval joonisel võib näha ekraanitõmmist mittekehtivast sertifikaadist. Pöörake tähelepanu veateatele "This certificate has expired or is not yet valid" ja „ Valid from“ vahemikule.

V2 :Vaadake üle enda sertifikaatide failid, juhul kui mõne faili suurus on 0kb, olete teinud kusagil vea. Kuna võimalusi on mitmeid siis on soovitatav vanad sertifikaadid ära kustutada ja sertifikaadi tekitamise protsess lihtsalt uuesti läbi teha, olles seekord tähelepanelikum.

K2 Radius serveri käivitamise peale käsuga radiusd -X saan hunniku veateteid ja midagi ei juhtu!

V1 Lugege veateated läbi! Pahatihti on tegemist sellega, et on unustatud eap.conf faili sertifikaatide andmed sisestada või tls sektsiooni lõpus oleva loogilise sulu (}) aktiivseks muuta.