y2blog - LeopardサーバのRADIUS #7 : WindowsXP標準サプリカントへの対応から。
FreeRadiusにてEAP-TLS or EAP-PEAP認証サーバを構築し、WindowsXP以降の標準サプリカントにて利用する場合には、証明書にあるextensionが含まれている必要がある。
通常のサーバ証明書の作成手順で署名要求書まで作成する。
CAの署名時に(gentoo Linuxの場合、/etc/raddb/certs/以下にある)xpextensionsファイルを利用する。
以下、引用。
サーバの署名要求 (CSR) とクライアントの署名要求を作成する所までは今までと同じです.異なるのはCAによる署名手続きです.サーバの場合とクライアントの場合で組み込む extension が異なります.extensionの定義ファイル "xpextension" の内容は次のようになっています.
# # For use with the 'CA.all' script. # [ xpclient_ext] extendedKeyUsage = 1.3.6.1.5.5.7.3.2 [ xpserver_ext] extendedKeyUsage = 1.3.6.1.5.5.7.3.1
サーバ用のコマンド例
#openssl ca -policy policy_anything -out newcert.pem -extensions xpserver_ext -extfile xpextensions \
-infiles newreq.pem -config openssl.cnf
クライアント用のコマンド例
#openssl ca -policy policy_anything -out newcert.pem -extensions xpclient_ext -extfile xpextensions \
-infiles newreq.pem -condig openssl.cnf
以上。
2023年現在のクライアント証明書の作成コマンド
openssl req -new -out user.csr -keyout user.key -config ./freeradius-client.cnf
openssl ca -keyfile private/ca_key.pem -cert RootCA_cert.pem -in user.csr -out user.crt -extensions xpclient_ext -extfile xpextensions -config freeradius-client.cnf
openssl pkcs12 -export -in user.crt -inkey user.key -out user.p12
コメントする