オレオレ証明書の作り方-2019年版 (3)

| コメント(0) | トラックバック(0)

y2blog - LeopardサーバのRADIUS #7 : WindowsXP標準サプリカントへの対応から。

FreeRadiusにてEAP-TLS or EAP-PEAP認証サーバを構築し、WindowsXP以降の標準サプリカントにて利用する場合には、証明書にあるextensionが含まれている必要がある。

通常のサーバ証明書の作成手順で署名要求書まで作成する。

CAの署名時に(gentoo Linuxの場合、/etc/raddb/certs/以下にある)xpextensionsファイルを利用する。
以下、引用。


 サーバの署名要求 (CSR) とクライアントの署名要求を作成する所までは今までと同じです.異なるのはCAによる署名手続きです.サーバの場合とクライアントの場合で組み込む extension が異なります.extensionの定義ファイル "xpextension" の内容は次のようになっています.

#
#  For use with the 'CA.all' script.
#
[ xpclient_ext]
extendedKeyUsage = 1.3.6.1.5.5.7.3.2

[ xpserver_ext]
extendedKeyUsage = 1.3.6.1.5.5.7.3.1
サーバ用のコマンド例
#openssl ca  -policy policy_anything -out newcert.pem -extensions xpserver_ext -extfile xpextensions \
-infiles newreq.pem -config openssl.cnf
クライアント用のコマンド例
#openssl ca  -policy policy_anything -out newcert.pem -extensions xpclient_ext -extfile xpextensions \
-infiles newreq.pem -condig openssl.cnf

以上。
 

Enhanced by Zemanta

トラックバック(0)

トラックバックURL: https://www.bunbun-etcetera.net/cgi-bin/mt/mt-tb.cgi/150

コメントする