17.4. Création d'un ensemble de certificats sur un serveur FreeRADIUS à des fins de test
À des fins de test, le paquet freeradius
installe des scripts et des fichiers de configuration dans le répertoire /etc/raddb/certs/
afin de créer votre propre autorité de certification (AC) et d'émettre des certificats.
Si vous utilisez la configuration par défaut, les certificats générés par ces scripts expirent au bout de 60 jours et les clés utilisent un mot de passe peu sûr (quel qu'il soit). Vous pouvez toutefois personnaliser la configuration de l'autorité de certification, du serveur et du client.
Une fois la procédure effectuée, les fichiers suivants, dont vous aurez besoin dans la suite de cette documentation, sont créés :
-
/etc/raddb/certs/ca.pem
: Certificat CA -
/etc/raddb/certs/server.key
: Clé privée du certificat du serveur -
/etc/raddb/certs/server.pem
: Certificat du serveur -
/etc/raddb/certs/client.key
: Clé privée du certificat du client -
/etc/raddb/certs/client.pem
: Certificat du client
Conditions préalables
-
Vous avez installé le paquetage
freeradius
.
Procédure
Allez dans le répertoire
/etc/raddb/certs/
:# cd /etc/raddb/certs/
Facultatif : Personnalisez la configuration de l'autorité de certification dans le fichier
/etc/raddb/certs/ca.cnf
:... [ req ] default_bits = 2048 input_password = ca_password output_password = ca_password ... [certificate_authority] countryName = US stateOrProvinceName = North Carolina localityName = Raleigh organizationName = Example Inc. emailAddress = admin@example.org commonName = "Example Certificate Authority" ...
Optionnel : Personnalisez la configuration du serveur dans le fichier
/etc/raddb/certs/server.cnf
: :... [ CA_default ] default_days = 730 ... [ req ] distinguished_name = server default_bits = 2048 input_password = key_password output_password = key_password ... [server] countryName = US stateOrProvinceName = North Carolina localityName = Raleigh organizationName = Example Inc. emailAddress = admin@example.org commonName = "Example Server Certificate" ...
Facultatif : Personnaliser la configuration du client dans le fichier
/etc/raddb/certs/client.cnf
: :... [ CA_default ] default_days = 365 ... [ req ] distinguished_name = client default_bits = 2048 input_password = password_on_private_key output_password = password_on_private_key ... [client] countryName = US stateOrProvinceName = North Carolina localityName = Raleigh organizationName = Example Inc. emailAddress = user@example.org commonName = user@example.org ...
Créer les certificats :
# make all
Modifier le groupe du fichier
/etc/raddb/certs/server.pem
enradiusd
:# chgrp radiusd /etc/raddb/certs/server.pem
Ressources supplémentaires
-
/etc/raddb/certs/README.md