17.3. Exigences en matière de certificat par FreeRADIUS
Pour un service FreeRADIUS sécurisé, vous avez besoin de certificats TLS pour différentes raisons :
Un certificat de serveur TLS pour les connexions cryptées au serveur. Utilisez une autorité de certification (CA) de confiance pour émettre le certificat.
Le certificat du serveur requiert que le champ "extended key usage" (EKU) soit défini sur
TLS Web Server Authentication
.Certificats clients émis par la même autorité de certification pour le protocole d'authentification étendu de sécurité de la couche transport (EAP-TLS). EAP-TLS fournit une authentification basée sur un certificat et est activé par défaut.
Les certificats des clients doivent avoir leur champ EKU réglé sur
TLS Web Client Authentication
.
Pour sécuriser la connexion, utilisez l'autorité de certification de votre entreprise ou créez votre propre autorité de certification pour émettre des certificats pour FreeRADIUS. Si vous utilisez une autorité de certification publique, vous l'autorisez à authentifier les utilisateurs et à émettre des certificats clients pour EAP-TLS.