Zum Inhalt springen
Zuletzt geändert von Jonas Mayer am 2022/05/17 10:46
Von Version 1.1
bearbeitet von Christian Germann
am 2022/03/11 09:48
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 4.1
bearbeitet von Christian Germann
am 2022/05/06 14:17
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Übergeordnete Seite
... ... @@ -1,1 +1,1 @@
1 -Main.LD Deploy.Puppet-Version.1\.5\.x.WebHome
1 +Main.LD Server.Puppet-Version.1\.5\.x.WebHome
Inhalt
... ... @@ -18,22 +18,56 @@
18 18  
19 19  In der vorhandenen Config-Datei /etc/freeradius/eap.conf die entsprechenden drei Parameter anpassen (rot markierte Zeilen)
20 20  
21 -tls {
22 -(% style="color:#e74c3c" %) private_key_file = ${certdir}/wlan.ShortName.logoip.de.key             #ShortName entsprechend anpassen
23 - certificate_file = ${certdir}/wlan.ShortName.logoip.de.crt             #ShortName entsprechend anpassen(%%)
24 -(% style="color:#2ecc71" %) # If CA_file (below) is not used, then the certificate_file below
25 - # MUST include not only the server certificate, but ALSO all of
26 - # the CA certificates used to sign the server certificate.(%%)
27 - (% style="color:#e74c3c" %)#CA_file = ${cadir}/ca.pem                                             #Zeile auskommentieren(%%)
28 -}
29 -
30 30  (% style="font-family:Courier New,Courier,monospace" %)tls {(%%)
31 -(% style="color:#e74c3c; font-family:Courier New,Courier,monospace" %) private_key_file = ${certdir}/wlan.ShortName.logoip.de.key (% style="color:#27ae60; font-family:Courier New,Courier,monospace" %)#ShortName entsprechend anpassen(%%)
32 -(% style="color:#e74c3c; font-family:Courier New,Courier,monospace" %) certificate_file = ${certdir}/wlan.ShortName.logoip.de.crt (% style="color:#27ae60; font-family:Courier New,Courier,monospace" %)#ShortName entsprechend anpassen(%%)
22 +(% style="color:#e74c3c; font-family:Courier New,Courier,monospace" %) private_key_file = ${certdir}/wlan.ShortName.logoip.de.key             (% style="color:#27ae60; font-family:Courier New,Courier,monospace" %)#ShortName entsprechend anpassen(%%)
23 +(% style="color:#e74c3c; font-family:Courier New,Courier,monospace" %) certificate_file = ${certdir}/wlan.ShortName.logoip.de.crt             (% style="color:#27ae60; font-family:Courier New,Courier,monospace" %)#ShortName entsprechend anpassen(%%)
33 33  (% style="color:#27ae60; font-family:Courier New,Courier,monospace" %) # If CA_file (below) is not used, then the certificate_file below
34 34   # MUST include not only the server certificate, but ALSO all of
35 35   # the CA certificates used to sign the server certificate.(%%)
36 -(% style="color:#e74c3c; font-family:Courier New,Courier,monospace" %) #CA_file = ${cadir}/ca.pem (% style="color:#27ae60; font-family:Courier New,Courier,monospace" %)#Zeile auskommentieren(% style="font-family:Courier New,Courier,monospace" %)
27 +(% style="color:#e74c3c; font-family:Courier New,Courier,monospace" %) #CA_file = ${cadir}/ca.pem                                             (% style="color:#27ae60; font-family:Courier New,Courier,monospace" %)#Zeile auskommentieren(% style="font-family:Courier New,Courier,monospace" %)
28 +}
37 37  
38 38  
39 39  Danach den FreeRADIUS-Dienst mit dem Kommando /etc/init.d/freeradius restart neustarten.
32 +
33 +
34 +zur Steigerung der Kompatibilität mit Android 11 / 12 Geräten kann man ein Let's Encrypt Zertifikat per acme.sh Tool beantragen, welches nicht durch zwei Zertifizierungsstellen "cross-signed" wurde.
35 +
36 +Daür ist folgende Anpassung im puppeteer nötig.
37 +
38 +Ändern Sie die /usr/share/acme.sh/issue wie folgt ab.
39 +
40 +{{code language="yaml"}}
41 +#!/bin/bash
42 +
43 +source /usr/share/acme.sh/sbe.conf
44 +export PATH="${SBE_SCRIPT_DIR}:$PATH"
45 +
46 +domain="$1"
47 +if [ -z "${domain}" ]; then
48 + echo "No domain specified"
49 + exit 1
50 +fi
51 +
52 +"${SBE_SCRIPT_DIR}/acme.sh" \
53 + --issue \
54 + -d "${domain}" \
55 + -w "${SBE_WEBROOT}" \
56 + --fullchain-file "${SBE_PUBLISH}/${domain}.crt" \
57 + --key-file "${SBE_PUBLISH}/${domain}.key" \
58 + --post-hook "${SBE_SCRIPT_DIR}/fix-perm" \
59 + --renew-hook "${SBE_SCRIPT_DIR}/fix-perm" \
60 + --preferred-chain "ISRG Root X1" \
61 + --force
62 +{{/code}}
63 +
64 +Danach wie gewohnt das Zertifikat über sle beantragen.
65 +
66 +
67 +Hier der Unterschied zwischen den Zertifikaten.
68 +
69 +Das neue Zertifikat (oben) würde von einem Android-Gerät akzeptiert werden.
70 +
71 +Das untere Zertifikat entspricht der ursprünglichen Variante, ohne Anpassung.
72 +
73 +[[image:image-20220506141124-1.png]]
image-20220506141124-1.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.cge@sbede
Größe
... ... @@ -1,0 +1,1 @@
1 +92.0 KB
Inhalt