[gelöst] FreeRadius Problem mit Zertifikaten

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Alternativende
Beiträge: 2090
Registriert: 07.07.2006 18:32:05

[gelöst] FreeRadius Problem mit Zertifikaten

Beitrag von Alternativende » 27.09.2021 11:20:00

Hallo zusammen,
wir betreiben hier an einem Standort einen kleinen FreeRadius-Server mit Debian (Buster) und haben nun das Problem das Android 11 Clients auf die Installation des CA-Zertifikats bestehen um eine Verbindung aufzubauen. Bisher habe ich das noch nicht benutzt und die Zertifikatsfrage ignoriert.

Nun habe ich nach folgender Anleitung die server.conf und die client.cnf bearbeitet und anschließend mit make die Zertifikate erstellt. Die ca.pem habe ich anschließend auf das Handy kopiert und es als WLAN-Zertifikat installiert. Als Namen habe ich die SSID des WLANs gewählt, ebenso bei Domain. Der SSID-Name steht auch als CN im Zertifikat.

Beim anschließenden Versuch mich mit dem WLAN zu verbinden erhalte ich aber nun immer folgende Fehlermeldung:

Code: Alles auswählen

Mon Sep 27 11:05:39 2021 : ERROR: (246) eap_peap: ERROR: TLS Alert read:fatal:unknown CA
Mon Sep 27 11:05:39 2021 : Auth: (246) Login incorrect (eap_peap: TLS Alert read:fatal:unknown CA): [user/<via Auth-Type = eap>] (from client AP-R035-02 port 5 cli 84-XX-BF-94-EC-DE)
Hier mal meine mods-enabled/eap:

https://nopaste.debianforum.de/41480


Und ein run mit freeradius -X
https://nopaste.debianforum.de/41481

Edit 3:
Die Werte in den Zeilen 710 und 711 habe ich nicht geändert. Zum Einen weil ich mir nicht sicher bin welche Zertifikate ich da angeben muss und zum Anderen weiß ich nicht ob die notwendig sind.

Ich bin etwas ratlos. An einem größeren Netz das ebenfalls mit Debian läuft, aber von einem Dienstleister betrieben wird funktioniert es nach einbinden des entsprechenden CA´s, bei mir haut es partout nicht hin.

Bin über jede Hilfe sehr dankbar.

Beste Grüße!

Edit:
Und hier meine radiusd.conf

https://nopaste.debianforum.de/41482


Edit2:
Ich versuche mich übrigens mit PEAP und MSCHAPv2 zu verbinden.
Zuletzt geändert von Alternativende am 29.09.2021 17:30:24, insgesamt 1-mal geändert.

Alternativende
Beiträge: 2090
Registriert: 07.07.2006 18:32:05

Re: FreeRadius Problem mit Zertifikaten

Beitrag von Alternativende » 27.09.2021 15:29:30

Mir ist soeben aufgefallen das die Dateien im certs Ordner root gehören und nicht freerad

Ist das in Ordnung so?

Code: Alles auswählen

:/etc/freeradius/3.0/certs# ls -l
insgesamt 156
-rw-r--r-- 1 root    root    4359 Sep 27 15:23 01.pem
-rw-r--r-- 1 root    root    4353 Sep 27 15:23 02.pem
-rwxrwxrwx 1 freerad freerad 2706 Apr 22  2019 bootstrap
-rw-r----- 1 freerad freerad 1421 Sep 27 15:21 ca.cnf
-rw-r--r-- 1 root    root    1221 Sep 27 15:23 ca.der
-rw-r----- 1 root    root    1854 Sep 27 15:23 ca.key
-rw-r--r-- 1 root    root    1708 Sep 27 15:23 ca.pem
-rw-r----- 1 freerad freerad 1098 Sep 27 12:37 client.cnf
-rw-r--r-- 1 root    root    4353 Sep 27 15:23 client.crt
-rw-r--r-- 1 root    root    1033 Sep 27 15:23 client.csr
-rw-r----- 1 root    root    1854 Sep 27 15:23 client.key
-rw-r----- 1 root    root    2557 Sep 27 15:23 client.p12
-rw-r----- 1 root    root    3632 Sep 27 15:23 client.pem
-rw-r----- 1 freerad freerad  245 Jul 25  2018 dh
-rw-r----- 1 root    root    3632 Sep 27 15:23 ed@lhe.de.pem
-rw-r--r-- 1 root    root     214 Sep 27 15:23 index.txt
-rw-r--r-- 1 root    root      21 Sep 27 15:23 index.txt.attr
-rw-r--r-- 1 root    root      21 Sep 27 15:23 index.txt.attr.old
-rw-r--r-- 1 root    root     108 Sep 27 15:23 index.txt.old
-rw-r--r-- 1 root    root    1131 Apr 22  2019 inner-server.cnf
-rw-r----- 1 freerad freerad 6155 Apr 22  2019 Makefile
-rw-r--r-- 1 root    root     178 Sep 27 15:23 passwords.mk
-rw-r----- 1 freerad freerad 8714 Apr 22  2019 README
-rw-r--r-- 1 root    root       3 Sep 27 15:23 serial
-rw-r--r-- 1 root    root       3 Sep 27 15:23 serial.old
-rw-r----- 1 freerad freerad 1115 Sep 27 15:21 server.cnf
-rw-r--r-- 1 root    root    4359 Sep 27 15:23 server.crt
-rw-r--r-- 1 root    root    1033 Sep 27 15:23 server.csr
-rw-r----- 1 root    root    1854 Sep 27 15:23 server.key
-rw-r----- 1 root    root    2557 Sep 27 15:23 server.p12
-rw-r----- 1 root    root    3638 Sep 27 15:23 server.pem
-rw-r----- 1 freerad freerad  708 Aug 10  2017 xpextensions



slu
Beiträge: 2137
Registriert: 23.02.2005 23:58:47

Re: FreeRadius Problem mit Zertifikaten

Beitrag von slu » 27.09.2021 16:32:08

Alternativende hat geschrieben: ↑ zum Beitrag ↑
27.09.2021 11:20:00
Ich versuche mich übrigens mit PEAP und MSCHAPv2 zu verbinden.
Ich kann nur für EAP-TTLS sprechen und bin in das gleiche Problem mit Android 11 gelaufen.

Bei unseren Nokias hat der die CA immer vergessen (IMHO ein Bug) wenn man die WLAN Einstellungen erneut geöffnet hat.
Wichtig: die Domain muss dem CN vom Radius Zertifikat entsprechen.

Edit:
Wir machen die Zertifikate und den FreeRADIUS auf der pfSense...
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

Alternativende
Beiträge: 2090
Registriert: 07.07.2006 18:32:05

Re: FreeRadius Problem mit Zertifikaten

Beitrag von Alternativende » 29.09.2021 17:30:07

Ich habs hinbekommen. Im Wesentlichen habe ich die mods-enabled/eap angepasst und auf die richtigen Zertifikate zeigen lassen. Im default war das auf snakeoil irgendwas eingestellt. Dann war es noch entscheidend den Hinweis aus der Readme zu beachten und in der ca.cnf und server.cnf unterschiedliche CNs zu verwenden.

Dann bin ich auch noch auf die Dateiberechtigungen reingefallen. Die erzeugten Zertifikate müssen freerad gehören. Vor dem Erzeugen der Zertifikate kann es übrigens auch nicht schaden freeradius vorher zu stoppen :roll:.

Bei den Android Smartphones habe ich dann bei Domain den CN aus der ca.cnf, bzw. ca.pem, genommen. Das Zertifikat habe ich auf dem Endgerät vorsichtshalber auch nach dem CN benannt.

Läuft nun prima.

Antworten