2024年5月17日发(作者:灵音播放器app下载)
FortiGate结合Openssl + freeradius
实现多级CA环境下的无线用户EAP-TLS认证
一、 EAP-TLS简介
简而言之,使用数字证书来保护radius认证,与802.1x结合,可以用数字证书认
证无线上网用户,是最安全的无线认证方法之一。
参考:/wiki/EAP#EAP-TLS
二、 实验环境
如上图所示,使用两台ubuntu linux服务器,Ubuntu-1作为rootca和radius服务
器;Ubuntu-2作为subca。
FortiOS:v4.3.6。
------------------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路52号方正国际大厦12层 电话:
1
三、 安装openssl及freeradius
sudo apt-get install openssl
sudo apt-get install freeradius
四、 openssl环境准备
1. 在ubuntu1和ubuntu2的当前用户文件夹(例如/home/jeff/)下创建openssl工作
数据存放文件夹,例如/home/jeff/certs/。
2. 将附件的设置文件存放在/home/jeff/certs/目录下。注意修改一下配
置文件中的dir路径。
3. 注意事项:Radius服务器端证书的extendedKeyUsage属性必须包含服务器身份
认证(1.3.6.1.5.5.7.3.1);移动设备证书的extendedKeyUsage属性必须包含客
户端身份验证 (1.3.6.1.5.5.7.3.2)。中已经包括相关设置。
五、 在Ubuntu-1上建立根CA(密码:1234)
4. 生成根CA私钥(需要指定Common Name)
cd /home/jeff/certs
openssl req -newkey rsa:1024 -sha1 -config ./ -keyout
-out -days 3650
5. 生成证书,并用私钥签名
openssl x509 -req -in -sha1 -extfile ./ -extensions v3_ca
-signkey -out -days 3650
6. 组合证书与私钥,形成CA根证书
cat >
7. 显示根证书
openssl x509 -text -noout -in
------------------------------------------------------------------------------------------------------------------------------------------------------
北京市海淀区北四环西路52号方正国际大厦12层 电话:
2
发布者:admin,转转请注明出处:http://www.yc00.com/xitong/1715917700a2691661.html
评论列表(0条)