Änderungen von Dokument Lets Encrypt Zertifikat zum FreeRADIUS-Dienst im logosrv übertragen
Zuletzt geändert von Jonas Mayer am 2022/05/17 10:46
Von Version 6.1
bearbeitet von Jonas Mayer
am 2022/05/09 13:28
am 2022/05/09 13:28
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Auf Version 10.1
bearbeitet von Jonas Mayer
am 2022/05/09 13:36
am 2022/05/09 13:36
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Zusammenfassung
-
Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Inhalt
-
... ... @@ -1,7 +1,12 @@ 1 1 Im Zuge der stärkeren Verbreitung von Android 11 (oder neuer) und des WPA3-Standards ist es nötig, bei RADIUS-gesicherten WLAN-Netzen sauber signierte SSL-Zertifikate am RADIUS-Server einzusetzen, damit die Clients eine Verbindung herstellen können. 2 - 3 3 Daher wurde ab Puppet-Version 1.5.0 die Möglichkeit implementiert, ein ausgewähltes Let's Encrypt Zertifikat zum FreeRADIUS-Dienst im logosrv zu übertragen. Folgende Anpassungen sind dazu nötig. 4 4 4 +{{toc start="4" numbered="true"/}} 5 + 6 + 7 +==== __Nötige Konfigurationsschritte__ ==== 8 + 9 + 5 5 **1.** (% style="color:#3498db" %)**[im puppeteer]**(%%) Neues Let's Encrypt SSL-Zertifikat per acmetool oder acme.sh beantragen, hierfür einen geeigneten Namen verwenden (z.B. wlan.ShortName.logoip.de oder radius.ShortName.logoip.de). Danach 2x prun ausführen. 6 6 7 7 **2.** (% style="color:#3498db" %)**[im puppeteer]**(%%) Folgenden Inhalt in die YAML-Datei /etc/logodidact/hiera/custom.d/ldhost.yaml eintragen bzw. ergänzen (ShortName entsprechend im Codeblock anpassen) ... ... @@ -36,6 +36,9 @@ 36 36 ---- 37 37 38 38 44 +==== __Kompatibilität mit Android-Geräten steigern__ ==== 45 + 46 + 39 39 Zur Steigerung der Kompatibilität mit Android 11 / 12 Geräten kann man ein Let's Encrypt Zertifikat per acme.sh Tool beantragen, welches nicht durch zwei Zertifizierungsstellen "cross-signed" wurde. 40 40 41 41 Dafür muss das Zertifikat mit besonderen Optionen beantragt werden. Hierfür zunächst wie üblich zum LXC-Container (% style="color:#3498db" %)**puppeteer**(%%) verbinden und über den Befehl {{box}}sle{{/box}} zum Benutzer (% style="color:#27ae60" %)**le-acme**(%%) wechseln. Jetzt jedoch nicht auf das bekannte Kommando {{box}}issue [domain]{{/box}} für die Beantragung zurückgreifen, sondern stattdessen folgende beiden Kommandos verwenden (entscheidend sind die beiden Optionen in der letzten Zeile): ... ... @@ -50,6 +50,15 @@ 50 50 51 51 52 52 61 +Nachfolgend ein Vergleich des Zertifikats mit der speziell selektierten Zertifizierungsstelle "ISRG Root X1" im Vergleich zum gewöhnlichen Let's Encrypt Zertifikat. 62 + 63 +* Das neue LE-Zertifikat (oberer Teil der Abbildung, (% style="color:#3498db" %)//**Path #1**//(%%)) würde von einem Android-Gerät akzeptiert werden. 64 +* Das Standard LE-Zertifikat (unterer Teil der Abbildung, (% style="color:#3498db" %)//**Path #2**//(%%)) entspricht der ursprünglichen Variante, ohne Anpassung (und gemäß des CA-Datums nicht mehr gültig). 65 + 66 +[[image:image-20220506141124-1.png||class="img-thumbnail"]] 67 + 68 + 69 + 53 53 (% class="box successmessage" %) 54 54 ((( 55 55 **INFO: **Die Einstellung der präferierten Zertifizierungsstelle "ISRG Root X1" wird für dieses Zertifikat bei Verlängerungen auf Domainebene beibehalten. Die Option "Preferred-Chain" wird hierzu im Config-File des Zertfikats vom acme.sh Tool eingespeichert. ... ... @@ -75,15 +75,6 @@ 75 75 root@puppeteer:~ $ sle 76 76 le-acme@puppeteer:~ $ vim ~/config/ca/acme-v02.api.letsencrypt.org/directory/ca.conf 77 77 78 -# Folgende Zeile in zur Konfigurationsdatei hinzufügen zur Verwendung der CA "ISRG Root X 2" für alle künftigen Let's Encrypt Zertifikate79 -DEFAULT_PREFERRED_CHAIN='ISRG Root X 2'95 +# Folgende Zeile in zur Konfigurationsdatei hinzufügen zur Verwendung der CA "ISRG Root X1" für alle künftigen Let's Encrypt Zertifikate 96 +DEFAULT_PREFERRED_CHAIN='ISRG Root X1' 80 80 {{/code}} 81 - 82 - 83 - 84 -Nachfolgend ein Vergleich des Zertifikats mit der speziell selektierten Zertifizierungsstelle "ISRG Root X2" im Vergleich zum gewöhnlichen Let's Encrypt Zertifikat. 85 - 86 -* Das neue LE-Zertifikat (oberer Teil der Abbildung, (% style="color:#3498db" %)//**Path #1**//(%%)) würde von einem Android-Gerät akzeptiert werden. 87 -* Das Standard LE-Zertifikat (unterer Teil der Abbildung, (% style="color:#3498db" %)//**Path #2**//(%%)) entspricht der ursprünglichen Variante, ohne Anpassung (und gemäß des CA-Datums nicht mehr gültig). 88 - 89 -[[image:image-20220506141124-1.png||class="img-thumbnail"]]