在 Google 上搜索任何涉及 RADIUS 配置的内容都很困难,因为许多术语混杂在一起,导致搜索结果毫无用处,所以......
我有一台 RADIUS 服务器,它使用由私人 CA 签名的证书提供基于 EAP-TTLS 的通信,我拥有该证书的公钥和私钥。我已将此服务器配置为接受来自给定 IP 地址的请求。
如何在盒子上正确安装公共 CA 密钥,以便:
该盒子将使用它来验证 RADIUS 服务器是否是它所说的那个服务器
通信已加密
该盒子不会信任任何其他根 CA 来对登录到盒子的用户进行身份验证
答案1
实际上取决于您的客户端是否是基于 RedHat、Debian 还是 Arch 的发行版。
如何颁发证书取决于 CA 所处的操作系统。
要在基于 CentOS、Fedora 或 RedHat 的系统上导入 CA 服务器的证书,请将证书复制到/etc/pki/ca-trust/source/anchors/,然后运行sudo update-ca-trust命令。
对于基于 Debian 的系统,复制您的 CA 公钥然后/usr/local/share/ca-certificates/运行该sudo update-ca-certificates命令。
这解决了您的大部分问题。接下来,您需要向每个客户端颁发机器证书。在 Linux 上,这通常是通过使用 OpenSSL 生成证书签名请求 (CSR) 来完成的。然后,您从私有 CA 签署这些请求。将签名的证书复制并安装回客户端。现在,CA 信任客户端,客户端也信任 CA。
了解更多信息读这个。
答案2
您需要一个客户端来在 Linux 中对类似 wpa 请求者进行身份验证。
https://help.ubuntu.com/community/Network802.1xAuthentication