Freeradius üzerinde sertifika oluşturulması
Ali Orhun Akkirman
Posted on June 18, 2022
Freeradius üzerinde çeşitli kullanım alanlarında sertifika ihtiyacı olabilmektedir. Bu süreç sırasında Sertifika Otoritesi ayarlarının yapılabilmesi için Freeradius'un kendi içerisinde bunun otomatik yapılabilmesini sağlayacak bir uygulama bulunmakta. Belge süresince CentOS 7 ve benzerleri üzerinde örnekler yapacağımı belirtmek isterim.
Sertifika klasörü
CentOS 7 üzerinde freeradius paketi ile kurulum yaptığınızda freeradius ile ilgili ayarların aşağıdaki klasörde oluştuğunu görebilirsiniz:
/etc/raddb
Bu klasörün içerisinde bir çok farklı işleve yarayan dosya ve klasörler bulunmakta. Bunlardan bir tanesi de "certs" klasörü olarak görülebilir. İlgili klasörün içerisinde varsayılan olarak bir çok örnek dosya da bulunmaktadır. Birazdan yapacağımız işlemler için fazlalık olarak belirlediğimiz dosyaları sileceğiz.
cd /etc/raddb/certs
rm -f *.pem *.der *.csr *.crt *.key *.p12 serial* index.txt* dh random
Bu şekilde daha önce örnek olarak oluşturulmuş ve belki de işimize yaramayacak dosyalar silinebilir.
Sertifikaların oluşturulması
Bu klasör içinde 3 önemli yapılandırma dosyası bulunmakta. Bunlar ca.cnf, server.cnf ve client.cnf dosyalarıdır.
Bu dosyalarda aşağıdaki gibi değişiklikler yapabilirsiniz:
ca.cnf dosyası
ca.cnf dosyası adından da anlaşılacağı gibi sertifika otoritesinin ayarlarını sağlamaktadır. Bu kısımda CA bilgileri ve talep oluşturabilmek için gerekli olan parola değerlerinin düzenlenmesi gerekmektedir.
[ req ]
prompt = no
distinguished_name = certificate_authority
default_bits = 2048
input_password = birbir
output_password = birbir
x509_extensions = v3_ca
[certificate_authority]
countryName = TR
stateOrProvinceName = Ankara
localityName = Cankaya
organizationName = Aciklab
emailAddress = ali@aciklab.lab
commonName = "Aciklab CA"
server.cnf dosyası
server.cnf dosyası da CA'dan oluşturulan sunucu sertifikası diye adlandırılan bir sertifika için gerekli değerleri içermekte.
[ req ]
prompt = no
distinguished_name = server
default_bits = 2048
input_password = birbir
output_password = birbir
[server]
countryName = TR
stateOrProvinceName = Ankara
localityName = Cankaya
organizationName = Aciklab
emailAddress = ali@aciklab.lab
commonName = "Aciklab Radius Server Cert"
client.cnf dosyası
client.cnf dosyası ise bazı durumlarda kullanılmayacak olsa da istemci amaçlı kullanılabilecek ayrı bir sertifika yapılandırma dosyası olarak düşünülebilir ve aşağıdaki gibi düzenlenmesi gerekmektedir.
[ req ]
prompt = no
distinguished_name = client
default_bits = 2048
input_password = birbir
output_password = birbir
[server]
countryName = TR
stateOrProvinceName = Ankara
localityName = Cankaya
organizationName = Aciklab
emailAddress = ali@aciklab.lab
commonName = "Aciklab Client Cert"
Sertifikaların oluşturulması
Yukarıda bahsettiğimiz 3 dosya istenildiği gibi düzenlendikten sonra aynı klasörde bulunan bootstrap dosyası çalıştırılır:
./bootstrap
Bu sayede sistemde bazı anahtarlar ve sertifikalar oluşur. Bunlardan en önemlileri ".pem" dosyalarıdır. Ve bunlardan da ca.pem, server.pem ve client.pem dosyası en çok kullanılacak olanlardır. Bu dosyaların içerisinde hem sertifika hem de anahtar bulunmaktadır.
Ayrıca dh "Diffie-Hellman" adında bir dosya daha bulunmaktadır. Bu dosyaların izinleri çeşitli nedenlerden dolayı 755 olarak apılması gerekebilmektedir. Dolayısıyla aşağıdaki komutla birlikte izinleri düzenlenebilir.
chmod 755 /etc/raddb/certs/*.pem
chmod 755 /etc/raddb/certs/dh
Örnek bir kullanım:
Örnek olarak eap-tls için aşağıdaki gibi paramaterelerle kullanım gerçekleşebilmektedir. Bu da ayrı bir başlık olduğu için detaylandırmıyorum:
private_key_password = birbir
private_key_file = ${certdir}/server.pem
certificate_file = ${certdir}/server.pem
ca_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
ca_path = ${cadir}
Posted on June 18, 2022
Join Our Newsletter. No Spam, Only the good stuff.
Sign up to receive the latest update from our blog.