https://blog.csdn.net/lassewang/article/details/9159543
系统环境:
1) Ubuntu所需环境为Openssl + Freeradius
2) Windows所需环境为WpdPack + Openssl + wpa_supplicant
Ubuntu环境配置步骤:
1) 下载Openssl +Freeradius并安装
sudo apt-get install openssl
sudo apt-get install freeradius
2) 使用openssl制作根证书,radius服务器证书以及一个客户端证书
A. 制作根证书
cd etc/ssl
openssl req -newkey rsa:1024 -md5 -config ./openssl.cnf-keyout rootkey.pem -out rootreq.pem -days 3650
openssl x509 -req -in rootreq.pem -md5 -extfile./openssl.cnf -extensions v3_ca -signkey rootkey.pem -out rootcert.pem -days3650
cat rootcert.pem rootkey.pem > root.pem
制作完成之后,里面的rootcert.pem以及root.pem是我们需要的
B. 制作radius服务器证书
在etc/ssl目录下面,建立一个文件名为xpextensions的文件,并在文件中写入以下内容并保存:
[xpclient_ext]
extendedKeyUsage= 1.3.6.1.5.5.7.3.2
[xpserver_ext]
extendedKeyUsage= 1.3.6.1.5.5.7.3.1
cd etc/ssl
openssl req -newkey rsa:1024 -md5 -config ./openssl.cnf-keyout serverkey.pem -out serverreq.pem -days 365
openssl x509 -req -in serverreq.pem -md5 -extfile xpextensions-extensions xpserver_ext -CA root.pem -CAkey root.pem -CAcreateserial -outservercert.pem -days 365
cat servercert.pem serverkey.pem rootcert.pem >server.pem
制作完成之后,里面的server.pem是我们需要的
C. 制作客户端证书
cd etc/ssl
openssl req -newkey rsa:1024 -md5 -config ./openssl.cnf-keyout clientkey.pem -out clientreq.pem -days 365
openssl x509 -req -in clientreq.pem -md5 -extfilexpextensions -extensions xpclient_ext -CA root.pem -CAkey root.pem-CAcreateserial -out clientcert.pem -days 365
cat clientcert.pem clientkey.pem rootcert.pem >client.pem
制作完成之后,里面的client.pem是我们需要的
相关说明:
- 在制作证书过程中,会需要输入证书密码,测试时我使用的是12345678,如果你使用了别的,请在最后test.txt文件中,也进行相应的修改
- 在证书创建过程中,需要输入一些信息,请按照提示进行输入即可
3) 配置freeradius
A. 配置radius.conf
cd etc/freeradius
vi radius.conf
在配置文件中只修改以下两行(请确保与下面两行完全一致)
$INCLUDE eap.conf
auth = yes
B.将服务器证书server.pem(带私钥)和根CA证书rootcert.pem(不带私钥)复制到freeradius的证书目录下
sudo cp /etc/ssl/server.pem /etc/freeradius/certs/
sudo cp / etc/ssl /rootcert.pem /etc/freeradius/certs/
同时需要修改/etc/freeradius/certs/的权限,否则freeradius不能读取证书
sudo cd /etc/freeradius/certs
sudo chmod -R ug+rwx
C. 配置eap.conf
cd /etc/freeradius
sudo gedit eap.conf
关键语句如下:
eap {
default_eap_type = tls #认证类型:tls
tls {
certdir = ${confdir}/certs #服务器证书目录
cadir = ${confdir}/certs #CA证书目录
private_key_password = abcd #服务器私钥密码
private_key_file = ${certdir}/server.pem #服务器私钥文件
certificate_file = ${certdir}/server.pem #服务器证书文件
CA_file = ${cadir}/rootcert.pem #CA证书文件
}
}
D. 配置client.conf
cd /etc/freeradius
sudo gedit clients.conf
client 192.168.1.99{ #允许访问的客户端IP
secret =12345678 #预共享密钥
shortname =testing #别名
}
E. 配置user.conf
cd /etc/freeradius
testing Cleartext-Password := "password"
F. 重启freeradius服务
service freeradius stop
/usr/sbin/freeradius –Xf