Renouvellement des certificats dans Freeradius

1 réponse
Avatar
Olivier
Bonjour,

Je cherche Í  mettre en place EAP PEAP-MSCHAPv2 avec certificat
auto-signé sur un réseau WiFi en évolution du système précédent qui
utilisait aussi PEAP-MSCHAPv2, mais sans certificat.

L'ajout des certificats est fait pour complaire Í  Android 11 qui
interdit le PEAP-MSCHAPv2 sans certificat.

Je précise que je n'ai aucun contrÍ´le sur les appareils WiFi se
connectant au réseau.
Il s'agit en majorité de smartphones Android, mais il y a aussi
beaucoup de PC portables sous Win10 et d'appareils divers (iOS, ...).

J'imagine pouvoir diffuser largement (site web public, signature de
courriel, ...) un certificat racine ca.der Í  longue durée de vie, et
que les utilisateurs devront "importer" sur leur machine avant de se
connecter.

1. Connaissez-vous un système d'exploitation refusant d'accepter des
certificats racine auto-signés de trop longue durée ?

2. Comment avec Freeradius (sur Bullseye) renouveler en douceur des
certificats ? Par "en douceur", je sous-entend qu'il est acceptable
qu'un utilisateur soit de temps en temps alerté par un message
d'avertissement mais je souhaite éviter qu'il perde l'accès au WiFi.

Slts

1 réponse

Avatar
didier gaumet
Le lundi 09 mai 2022 Í  16:08 +0200, Olivier a écrit :
Bonjour,
Je cherche Í  mettre en place EAP PEAP-MSCHAPv2 avec certificat
auto-signé sur un réseau WiFi en évolution du système précédent qui
utilisait aussi PEAP-MSCHAPv2, mais sans certificat.
L'ajout des certificats est fait pour complaire Í  Android 11 qui
interdit le PEAP-MSCHAPv2 sans certificat.
Je précise que je n'ai aucun contrÍ´le sur les appareils WiFi se
connectant au réseau.
Il s'agit en majorité de smartphones Android, mais il y a aussi
beaucoup de PC portables sous Win10 et d'appareils divers (iOS, ...).
J'imagine pouvoir diffuser largement (site web public, signature de
courriel, ...) un certificat racine ca.der Í  longue durée de vie, et
que les utilisateurs devront "importer" sur leur machine avant de se
connecter.
1. Connaissez-vous un système d'exploitation refusant d'accepter des
certificats racine auto-signés de trop longue durée ?
2. Comment avec Freeradius (sur Bullseye) renouveler en douceur des
certificats ? Par "en douceur", je sous-entend qu'il est acceptable
qu'un utilisateur soit de temps en temps alerté par un message
d'avertissement mais je souhaite éviter qu'il perde l'accès au WiFi.
Slts

Bon, alors lÍ  j'y connais encore moins que rien ;-)
Y a un laͯus sur la compatibilité des certificats avec les OS ici:
https://wiki.freeradius.org/guide/Certificate-Compatibility
En gros, faut respecter certaines précautions avec Windows et pour le reste pas de pb. Par contre j'ai lu sur internet que dans certains cas il y a des blocages de sécurité pour les certificats de plus d'un an de durée de vie.
Y a un petit topo ici:
https://www.agix.com.au/freeradius-certificate-has-expired-solution/
sur le renouvellement des certificats sous CentOS, mais je ne sais pas comment ça se passe cÍ´té clients
D'après le lien ci-dessous et d'autres, c'est le fichier /etc/raddb/cert/Server.cnf qui détermine la durée de vie des certificats et des listes de révocation (CRL) par les variables default_days et default_crl_days:
https://serverfault.com/questions/629003/freeradius-certificate-is-going-to-expired
Pas la peine de me demander des éclaircissements, je serais bien incapable de te les donner :-)