Zum Inhalt springen
Zuletzt geändert von Jonas Mayer am 2022/05/17 10:46
Von Version 12.1
bearbeitet von Jonas Mayer
am 2022/05/09 16:35
Änderungskommentar: Neuen Anhang android-wlan.jpg hochladen
Auf Version 6.1
bearbeitet von Jonas Mayer
am 2022/05/09 13:28
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,12 +1,7 @@
1 1  Im Zuge der stärkeren Verbreitung von Android 11 (oder neuer) und des WPA3-Standards ist es nötig, bei RADIUS-gesicherten WLAN-Netzen sauber signierte SSL-Zertifikate am RADIUS-Server einzusetzen, damit die Clients eine Verbindung herstellen können.
2 +
2 2  Daher wurde ab Puppet-Version 1.5.0 die Möglichkeit implementiert, ein ausgewähltes Let's Encrypt Zertifikat zum FreeRADIUS-Dienst im logosrv zu übertragen. Folgende Anpassungen sind dazu nötig.
3 3  
4 -{{toc start="4" numbered="true"/}}
5 -
6 -
7 -==== __Nötige Konfigurationsschritte__ ====
8 -
9 -
10 10  **1.** (% style="color:#3498db" %)**[im puppeteer]**(%%) Neues Let's Encrypt SSL-Zertifikat per acmetool oder acme.sh beantragen, hierfür einen geeigneten Namen verwenden (z.B. wlan.ShortName.logoip.de oder radius.ShortName.logoip.de). Danach 2x prun ausführen.
11 11  
12 12  **2.** (% style="color:#3498db" %)**[im puppeteer]**(%%) Folgenden Inhalt in die YAML-Datei /etc/logodidact/hiera/custom.d/ldhost.yaml eintragen bzw. ergänzen (ShortName entsprechend im Codeblock anpassen)
... ... @@ -41,9 +41,6 @@
41 41  ----
42 42  
43 43  
44 -==== __Kompatibilität mit Android-Geräten steigern__ ====
45 -
46 -
47 47  Zur Steigerung der Kompatibilität mit Android 11 / 12 Geräten kann man ein Let's Encrypt Zertifikat per acme.sh Tool beantragen, welches nicht durch zwei Zertifizierungsstellen "cross-signed" wurde.
48 48  
49 49  Dafür muss das Zertifikat mit besonderen Optionen beantragt werden. Hierfür zunächst wie üblich zum LXC-Container (% style="color:#3498db" %)**puppeteer**(%%) verbinden und über den Befehl {{box}}sle{{/box}}  zum Benutzer (% style="color:#27ae60" %)**le-acme**(%%) wechseln. Jetzt jedoch nicht auf das bekannte Kommando {{box}}issue [domain]{{/box}} für die Beantragung zurückgreifen, sondern stattdessen folgende beiden Kommandos verwenden (entscheidend sind die beiden Optionen in der letzten Zeile):
... ... @@ -58,15 +58,6 @@
58 58  
59 59  
60 60  
61 -Nachfolgend ein Vergleich des Zertifikats mit der speziell selektierten Zertifizierungsstelle "ISRG Root X1" im Vergleich zum gewöhnlichen Let's Encrypt Zertifikat.
62 -
63 -* Das neue LE-Zertifikat (oberer Teil der Abbildung, (% style="color:#3498db" %)//**Path #1**//(%%)) würde von einem Android-Gerät akzeptiert werden.
64 -* Das Standard LE-Zertifikat (unterer Teil der Abbildung, (% style="color:#3498db" %)//**Path #2**//(%%)) entspricht der ursprünglichen Variante, ohne Anpassung (und gemäß des CA-Datums nicht mehr gültig).
65 -
66 -[[image:image-20220506141124-1.png||class="img-thumbnail"]]
67 -
68 -
69 -
70 70  (% class="box successmessage" %)
71 71  (((
72 72  **INFO: **Die Einstellung der präferierten Zertifizierungsstelle "ISRG Root X1" wird für dieses Zertifikat bei Verlängerungen auf Domainebene beibehalten. Die Option "Preferred-Chain" wird hierzu im Config-File des Zertfikats vom acme.sh Tool eingespeichert.
... ... @@ -92,6 +92,15 @@
92 92  root@puppeteer:~ $ sle
93 93  le-acme@puppeteer:~ $ vim ~/config/ca/acme-v02.api.letsencrypt.org/directory/ca.conf
94 94  
95 -# Folgende Zeile in zur Konfigurationsdatei hinzufügen zur Verwendung der CA "ISRG Root X1" für alle künftigen Let's Encrypt Zertifikate
96 -DEFAULT_PREFERRED_CHAIN='ISRG Root X1'
78 +# Folgende Zeile in zur Konfigurationsdatei hinzufügen zur Verwendung der CA "ISRG Root X2" für alle künftigen Let's Encrypt Zertifikate
79 +DEFAULT_PREFERRED_CHAIN='ISRG Root X2'
97 97  {{/code}}
81 +
82 +
83 +
84 +Nachfolgend ein Vergleich des Zertifikats mit der speziell selektierten Zertifizierungsstelle "ISRG Root X2" im Vergleich zum gewöhnlichen Let's Encrypt Zertifikat.
85 +
86 +* Das neue LE-Zertifikat (oberer Teil der Abbildung, (% style="color:#3498db" %)//**Path #1**//(%%)) würde von einem Android-Gerät akzeptiert werden.
87 +* Das Standard LE-Zertifikat (unterer Teil der Abbildung, (% style="color:#3498db" %)//**Path #2**//(%%)) entspricht der ursprünglichen Variante, ohne Anpassung (und gemäß des CA-Datums nicht mehr gültig).
88 +
89 +[[image:image-20220506141124-1.png||class="img-thumbnail"]]
android-wlan.jpg
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.jonasmayer@sbede
Größe
... ... @@ -1,1 +1,0 @@
1 -58.5 KB
Inhalt