Autentikacijska i autorizacijska infrastruktura sustava znanosti i visokog obrazovanja u Republici Hrvatskoj
  • Hrvatski
  • English

Upute za upravljanje certifikatom (FreeRADIUS)

Debian Lenny

Debian Squeeze

Debian Jessie

 

Debian Lenny

1) kako naći certifikat:

FreeRADIUS koristi nekoliko parametara za postavljanje sustava certifikata pri korištenju EAP-TTLS komunikacije koji se nalaze u konfiguracijskoj datoteci /etc/freeradius/eap.conf. Potrebni parametri se nalaze u grupi tls i imaju slijedeće oznake :

  • private_key_password - lozinka serverskog ključa;

  • private_key_file - datoteka s serverskim ključem;

  • certificate_file - datoteka s serverskim certifikatom;

Standardna konfiguracija AAI paketa je slijedeća (confdir = /etc/freeradius):

certdir = ${confdir}/certs
private_key_password = 'neki_password'
private_key_file =${certdir}/private/server-key.pem
certificate_file =${certdir}/server-cert.pem

2) kako ga provjeriti:

Sadržaj certifikata je moguće provjeriti slijedećim naredbama ovisno o tome da li se provjerava .pem ili .der format.

openssl x509 -in putanja_i_ime_certifikata.pem -noout -text

openssl x509 -in putanja_i_ime_certifikata.der -inform der -text -noout

3) kako ga izgenerirati:

U slučaju korištenja freeradius-aai paketa za Debian Lenny distribuciju, korištenja osnovnog certifiikata ili certifikata izdanog od CARNet TSC potrebno je zamjeniti postojeću konfiguraciju certifikata s novom strukturom certifikata. To je najlakše učiniti sa skriptom za izradu certifikata dostupnom u komprimiranoj arhivi certs-admin.tar.gz

Nakon raspakiravanja komprimirane arhive s ovlastima root korisnika u direktoriju /etc/freeradius/certs/ naredbom :

shell> gunzip -c certs-admin.tar.gz | tar xvf -

potrebno je obaviti konfiguriranje editiranjem postavki u datoteci cert-admin i to :

COUNTRY="HR"
PROVINCE="grad"
CITY="grad"
ORGANIZATION="skraceni_naziv_institucije"
ORG_UNIT=""
PASSWORD="neki_password"
DOMAIN="realm_iz_AAI_sustava"

Nakon ove promjene potrebno je pokrenuti naredbe:

shell> ./cert-admin -newca

shell> ./cert-admin -newserver

Po izvršenju naredbi potrebno je unjeti islijedece izmjene na odgovarajuća mjesta u konfiguraciji :

certdir = ${confdir}/certs
private_key_password = 'neki_password'
private_key_file =${certdir}/fRcerts/private/server-key.pem
certificate_file =${certdir}/fRcerts/server-cert.pem

Po unešenim izmjenama potrebno je restartati FreeRADIUS programsko rješenje.

CN polje od certifikata koji koristi RADIUS server je freeradius.AAI_realm (npr. freeradius.srce.hr), a sama datoteka s CA root certifkatom u .der formatu se nalazi na putanji /etc/freeradius/certs/fRcerts/cacert.der

Debian Squeeze

1) kako naći certifikat:

FreeRADIUS koristi nekoliko parametara za postavljanje sustava certifikata pri korištenju EAP-TTLS komunikacije koji se nalaze u konfiguracijskoj datoteci /etc/freeradius/modules/eap-aai. Potrebni parametri se nalaze u grupi tls i imaju slijedeće oznake :

  • private_key_password - lozinka serverskog ključa

  • private_key_file - datoteka s serverskim ključem

  • certificate_file - datoteka s serverskim certifikatom

Standardna konfiguracija AAI paketa je slijedeća (confdir = /etc/freeradius/):

certdir = ${confdir}/certs
private_key_password = 'neki_password'
private_key_file =${certdir}/fRcerts/private/server-key.pem
certificate_file =${certdir}/fRcerts/server-cert.pem

CN polje od certifikata koji koristi RADIUS server je freeradius.AAI_realm (npr. freeradius.srce.hr), a sama datoteka s CA root certifkatom u .der formatu se nalazi na putanji /etc/freeradius/certs/fRcerts/cacert.der

2) kako ga provjeriti:

Sadržaj certifikata je moguće provjeriti slijedećim naredbama ovisno o tome da li se provjerava .pem ili .der format.

openssl x509 -in putanja_i_ime_certifikata.pem -noout -text
openssl x509 -in putanja_i_ime_certifikata.der -inform der -text -noout

3) kako ga izgenerirati:

U slučaju da je potrebno zamjeniti postojeći certifikat, isto se može učiniti ili korištenjem reconfigure opcije prilikom instalacije paketa ili sa skriptom za izradu certifikata dostupnom u komprimiranoj arhivi certs-admin.tar.gz

Nakon raspakiravanja komprimirane arhive s ovlastima root korisnika u direktoriju /etc/freeradius/certs/ naredbom:

shell> gunzip -c certs-admin.tar.gz | tar xvf -

potrebno je obaviti konfiguriranje editiranjem postavki u datoteci cert-admin i to:

COUNTRY="HR"
PROVINCE="grad"
CITY="grad"
ORGANIZATION="skraceni_naziv_institucije"
ORG_UNIT=""
PASSWORD="neki_password"
DOMAIN="realm_iz_AAI_sustava"


Nakon ove promjene potrebno je pokrenuti naredbe:

shell> ./cert-admin -newca
shell> ./cert-admin -newserver

Po izvršenju naredbi potrebno je unijeti izmjene na odgovarajuća mjesta u konfiguraciji (vidi korak 1), te restartati RADIUS programsko rješenje.

4) kako vratiti promjenjeni certifikat:

Struktura s potrebnim certifikatima se nalazi u direktriju fRcerts , čiju siguronosnu kopiju treba vratiti u u direktorij /etc/freeradius/certs/.

Nakon ovog koraka potrebno je vratiti i eap-aai datoteku, čiju sigornosnu kopiju treba vratiti u direktorij /etc/freeradius/modules/. U ovoj datoteci se nalazi lozinka za pristup certifikatu.

Nakon toga je potrebno restartati FreeRADIUS servis.

Po obavljenom vraćanju sustava certifikata potrebno je lozinku koja se nalazi u datoteci /etc/freeradius/modules/eap-aai grupa tls u atributu private_key_password unijeti u kofiguraciju Debian sustava paketa slijedećom naredbom (tekst PASSWORD, potrebno je zamjeniti vrijednošću lozinke):

# echo "set aai/eap-password PASSWORD" | debconf-communicate

Prilikom korištenja FreeRADIUS-AAI Debian paketa, u slučaju da je potrebna rekonfiguracija, siguronosne kopije gornjih datoteka moguće je pronaći na:
 

/etc/freeradius/certs/fRcerts za fRcerts strukturu

/var/backups/freeradius/ za eap-aai datoteku.

Debian Jessie

1) kako naći certifikat:

FreeRADIUS koristi nekoliko parametara za postavljanje sustava certifikata pri korištenju EAP-TTLS komunikacije koji se nalaze u konfiguracijskoj datoteci /etc/freeradius/modules/eap-aai. Potrebni parametri se nalaze u grupi tls i imaju slijedeće oznake :

  • private_key_password - lozinka serverskog ključa

  • private_key_file - datoteka s serverskim ključem

  • certificate_file - datoteka s serverskim certifikatom

Standardna konfiguracija AAI paketa je slijedeća (confdir = /etc/freeradius/):

certdir = ${confdir}/certs
private_key_password = 'neki_password'
private_key_file =${certdir}/fRcerts/private/server-key.pem
certificate_file =${certdir}/fRcerts/server-cert.pem

CN polje od certifikata koji koristi RADIUS server je freeradius.AAI_realm (npr. freeradius.srce.hr), a sama datoteka s CA root certifkatom u .der formatu se nalazi na putanji /etc/freeradius/certs/fRcerts/cacert.der

2) kako ga provjeriti:

Sadržaj certifikata je moguće provjeriti slijedećim naredbama ovisno o tome da li se provjerava .pem ili .der format.

openssl x509 -in putanja_i_ime_certifikata.pem -noout -text
openssl x509 -in putanja_i_ime_certifikata.der -inform der -text -noout

3) kako ga izgenerirati:

U slučaju da je potrebno zamjeniti postojeći certifikat, isto se može učiniti ili korištenjem reconfigure opcije prilikom instalacije paketa ili sa skriptom za izradu certifikata dostupnom u komprimiranoj arhivi certs-admin.tar.gz

Nakon raspakiravanja komprimirane arhive s ovlastima root korisnika u direktoriju /etc/freeradius/certs/ naredbom:

shell> gunzip -c certs-admin.tar.gz | tar xvf -

potrebno je obaviti konfiguriranje editiranjem postavki u datoteci cert-admin i to:

COUNTRY="HR"
PROVINCE="grad"
CITY="grad"
ORGANIZATION="skraceni_naziv_institucije"
ORG_UNIT=""
PASSWORD="neki_password"
DOMAIN="realm_iz_AAI_sustava"


Nakon ove promjene potrebno je pokrenuti naredbe:

shell> ./cert-admin -newca
shell> ./cert-admin -newserver

Po izvršenju naredbi potrebno je unijeti izmjene na odgovarajuća mjesta u konfiguraciji (vidi korak 1), te restartati RADIUS programsko rješenje.

4) kako vratiti promjenjeni certifikat:

Struktura s potrebnim certifikatima se nalazi u direktriju fRcerts , čiju siguronosnu kopiju treba vratiti u u direktorij /etc/freeradius/certs/.

Nakon ovog koraka potrebno je vratiti i eap-aai datoteku, čiju sigornosnu kopiju treba vratiti u direktorij /etc/freeradius/modules/. U ovoj datoteci se nalazi lozinka za pristup certifikatu.

Nakon toga je potrebno restartati FreeRADIUS servis.

Po obavljenom vraćanju sustava certifikata potrebno je lozinku koja se nalazi u datoteci /etc/freeradius/modules/eap-aai grupa tls u atributu private_key_password unijeti u kofiguraciju Debian sustava paketa slijedećom naredbom (tekst PASSWORD, potrebno je zamjeniti vrijednošću lozinke):

# echo "set aai/eap-password PASSWORD" | debconf-communicate

Prilikom korištenja FreeRADIUS-AAI Debian paketa, u slučaju da je potrebna rekonfiguracija, siguronosne kopije gornjih datoteka moguće je pronaći na:
 

/etc/freeradius/certs/fRcerts za fRcerts strukturu

/var/backups/freeradius/ za eap-aai datoteku.