Wiki-Quellcode von Lets Encrypt Zertifikat zum FreeRADIUS-Dienst im logosrv übertragen

Version 9.1 von Jonas Mayer am 2022/05/09 13:35

version	line-number	content
1.1	1	Im Zuge der stärkeren Verbreitung von Android 11 (oder neuer) und des WPA3-Standards ist es nötig, bei RADIUS-gesicherten WLAN-Netzen sauber signierte SSL-Zertifikate am RADIUS-Server einzusetzen, damit die Clients eine Verbindung herstellen können.
	2	Daher wurde ab Puppet-Version 1.5.0 die Möglichkeit implementiert, ein ausgewähltes Let's Encrypt Zertifikat zum FreeRADIUS-Dienst im logosrv zu übertragen. Folgende Anpassungen sind dazu nötig.
	3
9.1	4
	5	==== __Nötige Konfigurationsschritte__ ====
	6
	7
5.1	8	1. (% style="color:#3498db" %)[im puppeteer](%%) Neues Let's Encrypt SSL-Zertifikat per acmetool oder acme.sh beantragen, hierfür einen geeigneten Namen verwenden (z.B. wlan.ShortName.logoip.de oder radius.ShortName.logoip.de). Danach 2x prun ausführen.
1.1	9
5.1	10	2. (% style="color:#3498db" %)[im puppeteer](%%) Folgenden Inhalt in die YAML-Datei /etc/logodidact/hiera/custom.d/ldhost.yaml eintragen bzw. ergänzen (ShortName entsprechend im Codeblock anpassen)
1.1	11
	12	{{code language="bash"}}
	13	# Transfer Let's Encrypt SSL certificate to logosrv (target dir = /etc/freeradius/certs)
	14	ld_legacy::radius::ensure: true
	15	ld_legacy::radius::cn: 'wlan.ShortName.logoip.de'
	16	{{/code}}
	17
5.1	18	3. (% style="color:#3498db" %)[im ldhost](%%) prun ausführen zum Übertragen der Zertifikate
1.1	19
5.1	20	4. (% style="color:#3498db" %)[im logosrv](%%) Konfigurationsdatei des FreeRADIUS-Dienst bearbeiten und darin die Let's Encrypt Zertifikate verknüpfen (einmalige Anpassung, muss manuell vorgenommen werden)
1.1	21
	22	In der vorhandenen Config-Datei /etc/freeradius/eap.conf die entsprechenden drei Parameter anpassen (rot markierte Zeilen)
	23
5.1	24	(% class="box" %)
	25	(((
	26	##tls {
	27	(% style="color:#e74c3c" %) private_key_file = ${certdir}/wlan.ShortName.logoip.de.key (% style="color:#27ae60" %)# ShortName entsprechend anpassen(%%)
	28	(% style="color:#e74c3c" %) certificate_file = ${certdir}/wlan.ShortName.logoip.de.crt (% style="color:#27ae60" %)# ShortName entsprechend anpassen(%%)
	29	(% style="color:#27ae60" %) # If CA_file (below) is not used, then the certificate_file below
1.1	30	# MUST include not only the server certificate, but ALSO all of
	31	# the CA certificates used to sign the server certificate.(%%)
5.1	32	(% style="color:#e74c3c" %) #CA_file = ${cadir}/ca.pem (% style="color:#27ae60" %)# diese Zeile auskommentieren(%%)
	33	}##
	34	)))
1.1	35
5.1	36	Danach den FreeRADIUS-Dienst mit dem Kommando {{box}}/etc/init.d/freeradius restart{{/box}} neustarten.
1.1	37
4.1	38
5.1	39	----
4.1	40
	41
5.1	42	Zur Steigerung der Kompatibilität mit Android 11 / 12 Geräten kann man ein Let's Encrypt Zertifikat per acme.sh Tool beantragen, welches nicht durch zwei Zertifizierungsstellen "cross-signed" wurde.
4.1	43
5.1	44	Dafür muss das Zertifikat mit besonderen Optionen beantragt werden. Hierfür zunächst wie üblich zum LXC-Container (% style="color:#3498db" %)puppeteer(%%) verbinden und über den Befehl {{box}}sle{{/box}} zum Benutzer (% style="color:#27ae60" %)le-acme(%%) wechseln. Jetzt jedoch nicht auf das bekannte Kommando {{box}}issue [domain]{{/box}} für die Beantragung zurückgreifen, sondern stattdessen folgende beiden Kommandos verwenden (entscheidend sind die beiden Optionen in der letzten Zeile):
4.1	45
5.1	46	{{code language="bash"}}
	47	DOMAIN=wlan.ShortName.logoip.de # ShortName entsprechend anpassen
4.1	48
5.1	49	acme.sh --issue -d "$DOMAIN" -w "/var/www" --fullchain-file "/data/le/certs/$DOMAIN.crt" \
	50	--key-file "/data/le/certs/$DOMAIN.key" --post-hook "/usr/share/acme.sh/fix-perm" --renew-hook "/usr/share/acme.sh/fix-perm" \
	51	--preferred-chain "ISRG Root X1" --force
	52	{{/code}}
4.1	53
	54
5.1	55
8.1	56	Nachfolgend ein Vergleich des Zertifikats mit der speziell selektierten Zertifizierungsstelle "ISRG Root X1" im Vergleich zum gewöhnlichen Let's Encrypt Zertifikat.
7.1	57
	58	* Das neue LE-Zertifikat (oberer Teil der Abbildung, (% style="color:#3498db" %)//Path #1//(%%)) würde von einem Android-Gerät akzeptiert werden.
	59	* Das Standard LE-Zertifikat (unterer Teil der Abbildung, (% style="color:#3498db" %)//Path #2//(%%)) entspricht der ursprünglichen Variante, ohne Anpassung (und gemäß des CA-Datums nicht mehr gültig).
	60
	61	[[image:image-20220506141124-1.png\|\|class="img-thumbnail"]]
	62
	63
	64
5.1	65	(% class="box successmessage" %)
	66	(((
	67	INFO: Die Einstellung der präferierten Zertifizierungsstelle "ISRG Root X1" wird für dieses Zertifikat bei Verlängerungen auf Domainebene beibehalten. Die Option "Preferred-Chain" wird hierzu im Config-File des Zertfikats vom acme.sh Tool eingespeichert.
	68	)))
	69
	70	{{code language="bash"}}
	71	root@ldhost:~ $ ssh puppeteer
	72	root@puppeteer:~ $ cat /data/le/acme.sh/certs/wlan.ShortName.logoip.de/wlan.ShortName.logoip.de.conf
	73
	74	#[...]
	75	Le_Preferred_Chain='__ACME_BASE64__START_SVNSRyBSb290IFgx__ACME_BASE64__END_'
	76
	77	# Hinweis: der eingespeicherte Base64-kodierte Wert entspricht hier "ISRG Root X1"
	78	root@puppeteer:~ $ echo -n "ISRG Root X1" \| base64
	79	SVNSRyBSb290IFgx
4.1	80	{{/code}}
	81
	82
5.1	83	Ab Version 3.0.1 des Tools acme.sh kann die bevorzugte Zertifizierungsstelle auch als feste Voreinstellung eingespeichert werden. Dazu im Kontext des Benutzers (% style="color:#27ae60" %)le-acme(%%) folgende Konfigurationsdatei anpassen:
4.1	84
5.1	85	{{code language="bash"}}
	86	root@ldhost:~ $ ssh puppeteer
	87	root@puppeteer:~ $ sle
	88	le-acme@puppeteer:~ $ vim ~/config/ca/acme-v02.api.letsencrypt.org/directory/ca.conf
4.1	89
8.1	90	# Folgende Zeile in zur Konfigurationsdatei hinzufügen zur Verwendung der CA "ISRG Root X1" für alle künftigen Let's Encrypt Zertifikate
	91	DEFAULT_PREFERRED_CHAIN='ISRG Root X1'
5.1	92	{{/code}}