Versions Compared

Old Version 5

changes.mady.by.user Klara Minga

Saved on

compared with

New Version Current

changes.mady.by.user Dubravko Penezić

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Kriptiranje tunela certifikatom obavezan je element autentikacije unutar sustava eduroam, a više o autentikacijskim mehanizmima u tom sustavu moguće je pročitati u članku Autentikacijski mehanizmi u eduroamu.

Potrebne informacije u radu s certifikatima

...

Sve navedene datoteke moraju biti odgovarajućeg formata zapisa (uobičajeno se koristi PEM). Više o formatima zapisa certifikata može se pronaći na linku X.509 Certificate_filename_extensions.

Načini dobivanja certifikata

U osnovi postoje dva načina dobivanja certifikata: samopotpisani (selfsigned) certifikat i certifikat izdan od ovlaštenog izdavatelja. Razlika je u činjenici da današnji klijenti u svojim konfiguracijskim datotekama sa sobom nose vršne certifikate od ovlaštenih izdavatelja certifikata, dok se kod samopotpisanih certifikata vršni samogenerirani CA certifikat mora na neki način postaviti u konfiguraciju klijenta jer se u suprotnom javlja greška o mogućoj zlouporabi. Također, zbog sigurnosnih i organizacijskih razloga, certifikati koji su potpisani od ovlaštenih izdavatelja imaju veću sigurnosnu vrijednost te se preporučaju u većini slučajeva.

Pri primjeni samopotpisanih certifikata nužno je da vršni CA certifikat bude slobodno dostupan korisnicima kako bi ga mogli prenijeti u svoje klijente.

Postupak izrade samoptpisanog certifikata moguće je pronaći na linku Creating Certificate Authorities and self-signed SSL certificates.

Postupak dobivanja certifikata od ovlaštenog izdavatelja može se razlikovati od izdavatelja do izdavatelja, no u osnovi se svodi na:

  1. stvaranje privatnog ključa;
  2. stvaranje zahtjeva za certifikatom;
  3. podnošenje zahtjeva za certifikatom;
  4. dobivanje certifikata pod pred definiranim uvjetima;
  5. postavljanje certifikata;

Za akademsku zajednicu u Hrvatskoj dostupni su certifikati ovlaštenog izdavatelja koji se mogu zatražiti na linku Poslužiteljski certifikati.

Na gore navedenom linku opisan je i način stvaranja zahtjeva za certifikatom te njegovo unošenje u konfiguraciju. Također je opisan i postupak dobivanja certifikata, kao i uvjeti pod kojima se isti mogu zatražiti, odnosno dobiti.

Implementacija certifikata u FreeRADIUS poslužitelj

Po dobivanju certifikata potrebno je ažurirati eap područje unutar konfiguracijske datoteke (uobičajeno se to područje nalazi u zasebnoj datoteci eap.conf). S obzirom da je proces uspostave tunela, kako je objašnjeno na početku, jednak za EAP-TLS i EAP-TTLS, dodavanje certifikata se obavlja samo u podpodručju tls.

Prvo je potrebno provjeriti sljedeće postavke:

Code Block
certdir = ${confdir}/certs
cadir = ${confdir}/certs

Te nam postavke govore u kojem direktoriju FreeRADIUS poslužitelj očekuje potrebne datoteke s certifikatima. Kako bi osigurali ispravan rad s certifikatima, u te direktorije treba postaviti certifikate kako bi bili dostupni pri pokretanju poslužitelja.

Potom je potrebno podesiti sljedeće postavke:

Code Block
private_key_password = TyfKNYA5Lz
private_key_file = ${certdir}/key-srv.pem
certificate_file = ${certdir}/cert-srv.pem

Nakon promjene konfiguracije potrebno je restartati FreeRADIUS poslužitelj.

U slučaju instalacije FreeRADIUS poslužitelja nekim od paketnih sustava, uobičajeno je da se automatski generira samopotpisani certifikat te se isti automatski upisuje u samu konfiguraciju. Kod tako generiranog certifikata u direktoriju /etc/freeradius/certs nalazi se root CA certifikat (datoteka naziva root.der) koji mora biti slobodno dostupan korisnicima.

Provjera certifikata RADIUS poslužitelja na strani klijenta

...