Open Source im professionellen Einsatz
Linux-Magazin 09/2009
441

Zertifikate erzeugen

Einige Distributionen haben ein Makefile im Verzeichnis »/etc/raddb/certs«. Damit bauen sie mittels OpenSSL drei Arten von Zertifikaten: Erstens das einer kleinen CA, die später die Urkunden sowohl für (zweitens) den Server und (drittens) die Clients unterzeichnet. Ist dieses Verzeichnis jedoch wie bei Ubuntu 9.04 leer, bezieht der Admin die Dateien aus dem Github von Free Radius unter »raddb/certs/« [10]. Für jedes Zertifikat kennt das Paket eine Konfigurationsdatei sowie ein steuerndes gemeinsames Makefile. Um ein neues CA-Zertifikat anzulegen, bearbeitet der Admin »ca.cnf«. Den Abschnitt »[certificate_authority]« passt er wie in Listing 2 an. Identische Werte setzt er bei »input_password« und »output_password«.

Listing 2: Auszug aus
ca.cnf

[certificate_authority] 
countryName             = DE
stateOrProvinceName     = Hamburg
localityName            = Hamburg
organizationName        = UebelHacker 
emailAddress            = ca@uebelhacker.de 
commonName              = "UebelHacker Certificate Authority 

Analog editiert der Admin die Sektion »[server]« in »server.cnf«, wählt aber dort einen anderen »commonName«, damit sich die Zertifikate unterscheiden (siehe Listing 3). An der Stelle für das Passwort fügt er das in der »eap.conf« festgelegte »private_key_password« ein. Schließlich erzeugt »make all« neben den CA- und Server-Zertifikaten auch die nötige Diffie-Hellman-Datei »dh« und die »random«-Datei, beides wichtige Bestandteile des Protokoll-Handshake von SSL/TLS.

Listing 3: Auszug aus
server.cnf

[server] 
countryName             = DE
stateOrProvinceName     = Hamburg 
localityName            = Hamburg
organizationName        = UebelHacker
emailAddress            = radius@uebelhacker.de
commonName              = "UebelHacker Radius Server" 

Benutzerzertifikate

Bei EAP-TLS benötigt jedes Gerät ein eigenes Client-Zertifikat, das der Systemverwalter mit der Datei »client.cnf« erzeugt. Das Makefile von Free Radius signiert diese Ausweise jedoch mit dem Server-Zertifikat. Damit stattdessen die CA signiert, ändert der Admin die Zeilen aus Listing 4 im Makefile und achtet auf das führende Tab in Zeile 2. So kann er dem Supplikanten später direkt das CA-Zertifikat mitgeben.

Listing 4: Makefile an CA
anpassen

client.crt: client.csr ca.pem ca.key index.txt serial
         openssl ca -batch -keyfile ca.key -cert ca.pem
   -in client.csr -key $(PASSWORD_CA) -out client.crt
   -extensions xpclient_ext -extfile xpextensions
   -config ./client.cnf

In der Sektion »[client]« legt der »commonName« den Benutzernamen für Berechtigungen und weitere Einstellungen unter Radius fest. Auch dieses Zertifikat schützt ein Passwort, das der Admin in »input_password« und »output_password« setzt:

[client]
countryName         = DE
stateOrProvinceName = Hamburg
localityName        = Hamburg
organizationName    = UebelHacker
emailAddress        = s@uebelhacker.de
commonName          = uebelacker

Anders als für CA und Server muss der Admin hier mehrere Zertifikate ausstellen - für jeden User eins. Da »make client« immer nur eins erzeugt, empfiehlt es sich, diese Aufgabe zu skripten. Die fertigen Zertifikate übergibt er den Benutzern zusammen mit ihrem Passwort und dem CA-Zertifikat auf sicherem Weg, beispielsweise per USB-Stick oder auf einer Smartcard.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Schutz in der Tiefe

    Das Radius-Protokoll dient meist dazu, Benutzer an Dial-in-Systemen zu authentifizieren. In Kombination mit 802.1X schützt Radius aber auch lokale Netze: Anwender und deren Rechner müssen sich erst in tiefen Protokollschichten authentifizieren, bevor der Switch ihren Port freigibt.

  • In eigener Sache: Artikel-Bundle "Netzwerk total" für echte Profis

    Effiziente Netzwerke betreiben ist die Domäne von Linux schlechthin - da macht ihm kein anderes System etwas vor. Offen und pragmatisch, effizient und anpassbar sind seine Tools und Protokolle. Dieser Schwerpunkt widmet sich dem Klassiker und nimmt Neues und Nützliches unter die Lupe.

  • Schutzwall

    Ein internes Netz ohne virenverseuchte oder einbruchsgefährdete Rechner ist die Idealvorstellung der Network Access Control (NAC). Um das zu erreichen, macht sie für die abgeschottete Produktivumgebung einen Zugangstest obligatorisch. Praktisch durchgesetzt hat sich die Idee jedoch noch nicht.

  • In eigener Sache: Großes Security-Bundle bietet 12 Mal Sicherheit

    Das große Security-Bundle mit 52 Seiten enthält die 12 interessantesten, nützlichsten und unterhaltsamsten Artikel über Open-Source-Security aus 14 Monaten Linux-Magazin.

  • Kostenloses Lesefutter aus dem Linux-Magazin 09/2009 "Netzwerk Total"

    Mit Erscheinen von Linux-Magazin 08/2010 sind die Artikel der Linux-Magazin-Ausgabe 09/2009 "Netzwerk total: Neue Sicherheits-, Performance- und HA-Tools für den Admin" in den frei zugänglichen Bereich von Linux-Magazin Online gerückt.

comments powered by Disqus

Ausgabe 09/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.