Certificados Digitales
Debido a que al habilitar cualquier método EAP por defecto habilitará el método EAP-TLS, por esta razón no es recomendable utilizar certificados digitales emitidos por las principales Autoridades Certificadoras conocidas debido a que cualquier usuario podría conectarse a su red con un certificado emitido por ellas.
En la presente guía se explica como utilizar el script de creación de certificados digitales autofirmados y compatible con sistemas operativos Microsoft Windows.
1. Edite el archivo /etc/raddb/certs/ca.cnf como sigue
#: vim ca.cnf
[ req ] prompt = no distinguished_name = certificate_authority default_bits = 2048 input_password = changeme output_password = changeme x509_extensions = v3_ca [certificate_authority] countryName = CO stateOrProvinceName = Departamento localityName = Ciudad organizationName = Nombre de la Institucion emailAddress = mail@domain commonName = "Institucion Certificate Authority"
2. Edite el archivo /etc/raddb/certs/server.cnf como sigue
#: vim server.cnf
[ req ] prompt = no distinguished_name = server default_bits = 2048 input_password = changeme output_password = changeme [server] countryName = CO stateOrProvinceName = Departamento localityName = Ciudad organizationName = Nombre de la Institucion emailAddress = mail@domain commonName = radius.example.com
3. Creación de los Certificados Digitales
Utilice el script para la creación de los certificados digitales con el siguiente comando
#: ./bootstrap
4. Dar permisos de lectura al usuario que ejecuta el servicio de freeradius
#: chown -R radius:radius /etc/raddb/certs/
5. Editar el archivo /etc/raddb/mods-enabled/eap
Modificar el campo “private_key_password
” con el valor del campo “output password
” del archivo /etc/raddb/certs/server.cnf
eap { default_eap_type = peap timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no tls-config tls-common { certdir = ${confdir}/certs cadir = ${confdir}/certs private_key_password = changeme_out
Guardar los cambios y cerrar.