Freeradius üzerinde çeşitli kullanım alanlarında sertifika ihtiyacı olabilmektedir. Bu süreç sırasında Sertifika Otoritesi ayarlarının yapılabilmesi için Freeradius’un kendi içerisinde bunun otomatik yapılabilmesini sağlayacak bir uygulama bulunmakta. Belge süresince CentOS 7 ve benzerleri üzerinde örnekler yapacağımı belirtmek isterim.
CentOS 7 üzerinde freeradius paketi ile kurulum yaptığınızda freeradius ile ilgili ayarların aşağıdaki klasörde oluştuğunu görebilirsiniz:
/and so on/raddb
Bu klasörün içerisinde bir çok farklı işleve yarayan dosya ve klasörler bulunmakta. Bunlardan bir tanesi de “certs” klasörü olarak görülebilir. İlgili klasörün içerisinde varsayılan olarak bir çok örnek dosya da bulunmaktadır. Birazdan yapacağımız işlemler için fazlalık olarak belirlediğimiz dosyaları sileceğiz.
cd /and so on/raddb/certs
rm -f *.pem *.der *.csr *.crt *.key *.p12 serial* index.txt* dh random
Bu şekilde daha önce örnek olarak oluşturulmuş ve belki de işimize yaramayacak dosyalar silinebilir.
Bu klasör içinde 3 önemli yapılandırma dosyası bulunmakta. Bunlar ca.cnf, server.cnf ve shopper.cnf dosyalarıdır.
Bu dosyalarda aşağıdaki gibi değişiklikler yapabilirsiniz:
ca.cnf dosyası
ca.cnf dosyası adından da anlaşılacağı gibi sertifika otoritesinin ayarlarını sağlamaktadır. Bu kısımda CA bilgileri ve talep oluşturabilmek için gerekli olan parola değerlerinin düzenlenmesi gerekmektedir.
[ req ]
immediate = no
distinguished_name = certificate_authority
default_bits = 2048
input_password = birbir
output_password = birbir
x509_extensions = v3_ca
[certificate_authority]
countryName = TR
stateOrProvinceName = Ankara
localityName = Cankaya
organizationName = Aciklab
emailAddress = ali@aciklab.lab
commonName = "Aciklab CA"
server.cnf dosyası
server.cnf dosyası da CA’dan oluşturulan sunucu sertifikası diye adlandırılan bir sertifika için gerekli değerleri içermekte.
[ req ]
immediate = no
distinguished_name = server
default_bits = 2048
input_password = birbir
output_password = birbir
[server]
countryName = TR
stateOrProvinceName = Ankara
localityName = Cankaya
organizationName = Aciklab
emailAddress = ali@aciklab.lab
commonName = "Aciklab Radius Server Cert"
shopper.cnf dosyası
shopper.cnf dosyası ise bazı durumlarda kullanılmayacak olsa da istemci amaçlı kullanılabilecek ayrı bir sertifika yapılandırma dosyası olarak düşünülebilir ve aşağıdaki gibi düzenlenmesi gerekmektedir.
[ req ]
immediate = no
distinguished_name = shopper
default_bits = 2048
input_password = birbir
output_password = birbir
[server]
countryName = TR
stateOrProvinceName = Ankara
localityName = Cankaya
organizationName = Aciklab
emailAddress = ali@aciklab.lab
commonName = "Aciklab Shopper Cert"
Yukarıda bahsettiğimiz 3 dosya istenildiği gibi düzenlendikten sonra aynı klasörde bulunan bootstrap dosyası çalıştırılır:
./bootstrap
Bu sayede sistemde bazı anahtarlar ve sertifikalar oluşur. Bunlardan en önemlileri “.pem” dosyalarıdır. Ve bunlardan da ca.pem, server.pem ve shopper.pem dosyası en çok kullanılacak olanlardır. Bu dosyaların içerisinde hem sertifika hem de anahtar bulunmaktadır.
Ayrıca dh “Diffie-Hellman” bir dosya daha bulunmaktadır. Bu dosyaların izinleri çeşitli nedenlerden dolayı 755 olarak apılması gerekebilmektedir. Dolayısıyla aşağıdaki komutla birlikte izinleri düzenlenebilir.
chmod 755 /and so on/raddb/certs/*.pem
Örnek olarak eap-tls için aşağıdaki gibi paramaterelerle kullanım gerçekleşebilmektedir. Bu da ayrı bir başlık olduğu için detaylandırmıyorum:
private_key_password = birbir
private_key_file = ${certdir}/server.pem
certificate_file = ${certdir}/server.pem
ca_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
ca_path = ${cadir}