FortiGate结合Openssl + freeradius
实现多级CA环境下的无线用户EAP-TLS
认证
泛怎么组词一、EAP-TLS简介
简而言之,使用数字证书来保护radius认证,与802.1x结合,可以用数字证书认证无线上网用户,是最安全的无线认证方法之一。
参考:/wiki/EAP#EAP-TLS
二、实验环境
如上图所示,使用两台ubuntu linux服务器,Ubuntu-1作为rootca和radius服务器;Ubuntu-2作为subca。
FortiOS:v4.3.6。
------------------------------------------------------------------------------------------------------------------------------------------------------
三、安装openssl及freeradius
sudo apt-get install openssl
sudo apt-get install freeradius
四、openssl环境准备
1. 在ubuntu1和ubuntu2的当前用户文件夹(例如/home/jeff/)下创建openssl工作
数据存放文件夹,例如/home/jeff/certs/。
2. 将附件的设置文件myopensslf存放在/home/jeff/certs/目录下。注意修改一下配
置文件中的dir路径。
刺激战场火箭少女myopensslf
3. 注意事项:Radius服务器端证书的extendedKeyUsage属性必须包含服务器身份
认证(1.3.6.1.5.5.7.3.1);移动设备证书的extendedKeyUsage属性必须包含客户端身份验证(1.3.6.1.5.5.7.3.2)。myopensslf中已经包括相关设置。
五、在Ubuntu-1上建立根CA(密码:1234)
4. 生成根CA私钥(需要指定Common Name)
cd /home/jeff/certs
openssl req -newkey rsa:1024 -sha1 -config ./myopensslf -keyout rootkey.pem
-out rootreq.pem -days 3650
5. 生成证书,并用私钥签名
openssl x509 -req -in rootreq.pem -sha1 -extfile ./myopensslf -extensions v3_ca -signkey rootkey.pem -out rootcert.pem -days 3650
6. 组合证书与私钥,形成CA根证书
cat rootcert.pem rootkey.pem > root.pem
7. 显示根证书
openssl x509 -text -noout -in root.pem
-
-----------------------------------------------------------------------------------------------------------------------------------------------------
六、在Ubuntu-2上建立二级CA(密码:5678)
8. 在Ubuntu-2上创建二级CA私钥(需要指定Common Name)
cd /home/jeff/certs
openssl req -newkey rsa:1024 -sha1 -config ./myopensslf -keyout subcakey.pem -out subcareq.pem -days 3650
9. 将subcakey.pem复制到Ubuntu-1上,生成二级CA证书,并用根CA证书签名
openssl x509 -req -in subcareq.pem -sha1 -extfile ./myopensslf -extensions v3_ca -CA root.pem -CAkey root.pem -CAcreateserial -out subcacert.pem -days 3650
10. 将subcacert.pem和rootcert.pem复制回Ubuntu-2上,组合二级CA证书与二级
CA私钥,形成二级CA证书
cat subcacert.pem subcakey.pem rootcert.pem > subca.pem深圳有哪些好玩的地方景点
11. 显示二级CA证书
openssl x509 -text -noout -in subca.pem
七、在Ubuntu-1上,使用根CA为openradius颁发服务
器证书(密码:abcd)
12. 创建服务器证书私钥(需要指定Common Name)
openssl req -newkey rsa:1024 -sha1 -config ./myopensslf -keyout serverkey.pem -out serverreq.pem -days 365
13. 创建服务器证书,并签名
节俭的名言openssl x509 -req -in serverreq.pem -sha1 -extfile ./myopensslf -extensions server_cert -CA root.pem -CAkey root.pem -CAcreateserial -out
servercert.pem -days 365
14. 组合私钥与证书,形成服务器证书
cat servercert.pem serverkey.pem rootcert.pem > server.pem
15. 显示服务器证书
openssl x509 -text -noout -in server.pem
------------------------------------------------------------------------------------------------------------------------------------------------------
八、在Ubuntu-2上,使用二级CA为Wifi客户端颁发证
书(密码:efgh)
16. 创建客户端证书私钥(需要指定Common Name)
openssl req -newkey rsa:1024 -sha1 -config ./myopensslf -keyout clientkey.pem -out clientreq.pem -days 365
17. 创建客户端证书,并签名
openssl x509 -req -in clientreq.pem -sha1 -extfile ./myopensslf -extensions
client_cert -CA subca.pem -CAkey subca.pem -CAcreateserial -out
clientcert.pem -days 365
18. 组合私钥与证书,形成客户端证书
cat clientcert.pem clientkey.pem subcacert.pem rootcert.pem > client.pem
19. 显示客户端证书
openssl x509 -text -noout -in client.pem
20. *.pem的证书是BASE64形式的,要转成PKCS12才能装到Windows上。转换命
令如下(需要设置导出密码,为xyz):
openssl pkcs12 -export -in clientcert.pem -inkey clientkey.pem -out client.pfx
21. 将client.pfx复制到Windows PC上,导入IE浏览器的个人证书区。注意导入密码
是xyz
九、配置freeradius(Ubuntu-1)
22. 配置f
cd /etc/freeradius
sudo f
1)确认eap没有被注释掉
$f
2)修改log段,启用认证日志
auth = yes
23. 将服务器证书server.pem(带私钥)和根CA证书rootcert.pem(不带私钥)复制
到freeradius的证书目录下
sudo cp /home/jeff/certs/server.pem /etc/freeradius/certs/
------------------------------------------------------------------------------------------------------------------------------------------------------
sudo cp /home/jeff/certs/rootcert.pem /etc/freeradius/certs/
需要修改/etc/freeradius/certs/的权限,否则freeradius不能读取证书
sudo cd /etc/freeradius/certs
sudo chmod -R ug+rwx .
24. 配置f,启用eap-tls
cd /etc/freeradius
sudo f
关键语句如下:
eap {
default_eap_type = tls #认证类型:tls
tls {
certdir = ${confdir}/certs #服务器证书目录
cadir = ${confdir}/certs #CA证书目录九阴真经轻功怎么获得
private_key_password = abcd #服务器私钥密码
private_key_file = ${certdir}/server.pem #服务器私钥文件
certificate_file = ${certdir}/server.pem #服务器证书文件
CA_file = ${cadir}/rootcert.pem #CA证书文件
}
}
25. 配置f
cd /etc/freeradius
sudo f
client 192.168.1.99{ #FortiGate地址secret =123456 #预共享密钥
shortname =fortigate #别名
}
26. 重启freeradius服务
sudo service freeradius restart
云南高考成绩什么时候出------------------------------------------------------------------------------------------------------------------------------------------------------
十、配置FortiGate
27. 配置Radius服务器
28. 配置SSID,设置为WPA/WPA2-Enterprise安全模式
------------------------------------------------------------------------------------------------------------------------------------------------------
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论