Arriba
Logo

Certificados Digitales

Debido a que al habilitar cualquier método EAP por defecto habilitará el método EAP-TLS, por esta razón no es recomendable utilizar certificados digitales emitidos por las principales Autoridades Certificadoras conocidas debido a que cualquier usuario podría conectarse a su red con un certificado emitido por ellas.

En la presente guía se explica como utilizar el script de creación de certificados digitales autofirmados y compatible con sistemas operativos Microsoft Windows.

1. Edite el archivo /etc/raddb/certs/ca.cnf como sigue
#: vim ca.cnf
[ req ]
prompt                  = no
distinguished_name      = certificate_authority
default_bits            = 2048
input_password          = changeme
output_password         = changeme
x509_extensions         = v3_ca

[certificate_authority]
countryName             = CO
stateOrProvinceName     = Departamento
localityName            = Ciudad
organizationName        = Nombre de la Institucion
emailAddress            = mail@domain
commonName              = "Institucion Certificate Authority"


2. Edite el archivo /etc/raddb/certs/server.cnf como sigue

 

#: vim server.cnf
[ req ]
prompt                 	= no
distinguished_name     	= server
default_bits           	= 2048
input_password         	= changeme
output_password        	= changeme

[server]
countryName            	= CO
stateOrProvinceName    	= Departamento
localityName           	= Ciudad
organizationName       	= Nombre de la Institucion
emailAddress           	= mail@domain
commonName             	= radius.example.com

3. Creación de los Certificados Digitales

Utilice el script para la creación de los certificados digitales con el siguiente comando

#: ./bootstrap
4. Dar permisos de lectura al usuario que ejecuta el servicio de freeradius
#: chown -R radius:radius /etc/raddb/certs/
5. Editar el archivo /etc/raddb/mods-enabled/eap

Modificar el campo “private_key_password” con el valor del campo “output password” del archivo /etc/raddb/certs/server.cnf

eap {
        default_eap_type = peap
        timer_expire     = 60
        ignore_unknown_eap_types = no
        cisco_accounting_username_bug = no

        tls-config tls-common {
                certdir = ${confdir}/certs
                cadir = ${confdir}/certs
                private_key_password = changeme_out

Guardar los cambios y cerrar.

Compartir este artículo

Leer más