35.3. FreeRADIUS 的证书要求
对于安全的 FreeRADIUS 服务,您需要 TLS 证书来满足不同的目的:
用于加密连接到服务器的 TLS 服务器证书。使用信任的证书颁发机构(CA)来发布证书。
服务器证书要求将扩展密钥使用(EKU)字段设为
TLS Web Server Authentication
。由同一 CA 为扩展身份验证协议传输层安全(EAP-TLS)发布的客户端证书。EAP-TLS 提供基于证书的身份验证,并默认启用。
客户端证书需要其 EKU 字段设为
TLS Web Client Authentication
。
警告
要安全连接,请使用您公司的 CA 或创建自己的 CA 来为 FreeRADIUS 发布证书。如果使用公共 CA,则您允许其验证用户,并为 EAP-TLS 发布客户端证书。