Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2023-05-05 17:20:01
Jacekalex - 
Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Certyfikat CA do Radiusa?
Cześć
Pobawiłem się trochę radiusem na routerze (OpenWRT), wpa2 działa w trybach PEAP i TTLS.
Ale niestety, tylko bez potwierdzenia certyfikatu przez CA.
Certyfikat CA zrobiłem skryptami Radiusa poleceniem
Kod:
make ca
potem
Kod:
make server
Certy zrobione,
Kod:
openssl verify
twierdzi, że jest OK
Do Androida można cert CA Radiusa zapakować, niby poprawnie.
Ale nie działa, zamiast autoryzacji mamy w logu Radiusa radosny komunikat:
ERROR: TLS Alert read:fatal:unknown CA
Problem znany i dobrze opisany:
https://lists.freeradius.org/pipermail/freeradius-u … r/096899.html
Okazuje się, że żeby to cholerstwo działało, trzeba zrobić całe drzewo certyfikatów.
From the comments in mods-available/eap:
# This file should contain the server certificate,
# followed by intermediate certificates, in order.
# i.e. If we have a server certificate signed by CA1,
# which is signed by CA2, which is signed by a root
# CA, then the "certificate_file" should contain
# server.pem, followed by CA1.pem, followed by
# CA2.pem.
Czy ktoś mnie może wskazać drogę do budowania takiego drzewa certów z domenami i informacjami (chodzi i o format i skladnię) akceptowalnymi dla Androida i Windowsa?
Tutaj ktoś napisał, że Mu się udało, ale sposobu nie opisał.
https://lists.freeradius.org/pipermail/freeradius-u … r/096906.html
W logu Radiusa stoi jak byk:
2023 May 5 17:27:55 Routerek hostapd: wlan0: STA 9a:7e:fe:1f:3e:41 IEEE 802.11: authenticated
2023 May 5 17:27:55 Routerek hostapd: wlan0: STA 9a:7e:fe:1f:3e:41 IEEE 802.11: associated (aid 1)
2023 May 5 17:27:55 Routerek hostapd: wlan0: CTRL-EVENT-EAP-STARTED 9a:7e:fe:1f:3e:41
2023 May 5 17:27:55 Routerek hostapd: wlan0: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=1
2023 May 5 17:27:56 Routerek radiusd[6994]: (41) eap_ttls: ERROR: TLS Alert read:fatal:unknown CA
2023 May 5 17:27:56 Routerek hostapd: wlan0: CTRL-EVENT-EAP-FAILURE2 9a:7e:fe:1f:3e:41
2023 May 5 17:27:56 Routerek hostapd: wlan0: STA 9a:7e:fe:1f:3e:41 IEEE 802.1X: authentication failed - EAP type: 21 (TTLS)
2023 May 5 17:28:01 Routerek hostapd: wlan0: STA 9a:7e:fe:1f:3e:41 IEEE 802.11: deauthenticated due to local deauth request
2023 May 5 17:28:01 Routerek hostapd: wlan0: STA fe:51:9e:04:96:d6 IEEE 802.11: authenticated
2023 May 5 17:28:01 Routerek hostapd: wlan0: STA fe:51:9e:04:96:d6 IEEE 802.11: associated (aid 1)
2023 May 5 17:28:01 Routerek hostapd: wlan0: CTRL-EVENT-EAP-STARTED fe:51:9e:04:96:d6
2023 May 5 17:28:01 Routerek hostapd: wlan0: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=1
2023 May 5 17:28:02 Routerek radiusd[6994]: (47) eap_ttls: ERROR: TLS Alert read:fatal:unknown CA
2023 May 5 17:28:02 Routerek hostapd: wlan0: CTRL-EVENT-EAP-FAILURE2 fe:51:9e:04:96:d6
2023 May 5 17:28:02 Routerek hostapd: wlan0: STA fe:51:9e:04:96:d6 IEEE 802.1X: authentication failed - EAP type: 21 (TTLS)
2023 May 5 17:28:07 Routerek hostapd: wlan0: STA fe:51:9e:04:96:d6 IEEE 802.11: deauthenticated due to local deauth request
Pozdro
Ostatnio edytowany przez Jacekalex (2023-05-05 17:37:32)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#2 2023-05-06 20:38:37
rulezdc - Członek DUG
- rulezdc
- Członek DUG
- Skąd: Tarnowskie Góry
- Zarejestrowany: 2007-05-22
Re: Certyfikat CA do Radiusa?
hmm radiusem sie nie bawilem, ale moze co do certyfiaktow to moze potzrebny jest caly czain w cercie, czyli cert klienta i cert CA.
Abo zrobic cert CA, potem intermediate CA i dopiero podpsac nim cert dla klienta.
Swego czasu mialem problem z certami dla ipseca na mikrotiku, okazlo sie ze w sanie moze byc tylko jeden wpis a wlogach nic nie bylo.
Offline