小贝子编程

freeradi3.0 mod eap配置问题



我使用的是freeradius v.3.0.26,并配置了eap模块,用于eap-tls身份验证。

我安装了eapol_test包来检查是否一切正常。

一切看起来都很好,但是如果我在我的eap配置文件中使用tls1.3 (mod -enabled/eap):

tls_min_version = "1.3"
tls_max_version = "1.3"

服务器返回错误消息…

客户端试图通过tls 1.3连接,但服务器返回"tls 1.2警告,致命protocol_version":

Sun Dec 11 15:23:20 2022 : Debug: (1) eap_tls: (TLS) recv TLS 1.3 Handshake, ClientHello
Sun Dec 11 15:23:20 2022 : Debug: (1) eap_tls: (TLS) send TLS 1.2 Alert, fatal protocol_version
Sun Dec 11 15:23:20 2022 : ERROR: (1) eap_tls: (TLS) Alert write:fatal:protocol version
Sun Dec 11 15:23:20 2022 : ERROR: (1) eap_tls: (TLS) Server : Error in error
Sun Dec 11 15:23:20 2022 : ERROR: (1) eap_tls: (TLS) Failed reading from OpenSSL: ../ssl/statem/statem_srvr.c[1657]:error:0A000102:SSL routines::unsupported protocol
Sun Dec 11 15:23:20 2022 : ERROR: (1) eap_tls: (TLS) System call (I/O) error (-1)
Sun Dec 11 15:23:20 2022 : ERROR: (1) eap_tls: (TLS) EAP Receive handshake failed during operation
Sun Dec 11 15:23:20 2022 : ERROR: (1) eap_tls: [eaptls process] = fail
Sun Dec 11 15:23:20 2022 : ERROR: (1) eap: Failed continuing EAP TLS (13) session.  EAP sub-module failed

当我尝试通过一个真正的无线客户端连接时也会发生同样的情况,所以eapol_test…

一旦我设置了以下选项:

tls_min_version = "1.2"
tls_max_version = "1.3"

身份验证工作,但随后使用tls 1.2。

是否可以使用自由半径与eap tls 1.3?

下一件我不明白的是连接时的一些警告信息:

Sun Dec 11 15:02:50 2022 : Warning: Certificate chain - 2 cert(s) untrusted
Sun Dec 11 15:02:50 2022 : Warning: (TLS) untrusted certificate with depth [2] subject name ....CN=ROOT CA.......
Sun Dec 11 15:02:50 2022 : Warning: (TLS) untrusted certificate with depth [1] subject name ....CN=Intermediate CA.......
Sun Dec 11 15:02:50 2022 : Warning: (TLS) untrusted certificate with depth [0] subject name ....CN=Client Cert.......

我已经阅读了eap配置中的提示并配置了它:

private_key_password = XXXXXX
private_key_file = /etc/freeradius/3.0/certs/radius-server.key
certificate_file = /etc/freeradius/3.0/certs/radius-server.pem
ca_file = /etc/freeradius/3.0/certs/ca.cert.crt
auto_chain = yes
ca_path = ${cadir}

radius服务器。Pem =只包含服务器证书

ca.cert。CRT只包含根ca

连接和认证工作,但我不理解警告消息,因为客户端也发送了完整的链

用于EAP的TLS 1.3非常新-它在最近几个月才标准化。您需要最新的FreeRADIUS版本和最新的wpa_supplicant(甚至可能是未发布的开发版本)才能使其工作。

几乎不可能在任何设备上工作,因为它们可能没有运行最新的wpa_supplicant版本。

如果配置正确,可以与FreeRADIUS和wpa_supplicant一起工作。默认值仍然是1.2,因为它是最兼容的。您需要在FreeRADIUS中设置tls_max_version = "1.3",并在wpa_supplicant配置中设置phase1="tls_disable_tlsv1_3=0"。可能需要其他选项来强制它工作。

请注意,FreeRADIUS调试输出有时仍然会在一些调试消息中报告TLS 1.2;这是TLS工作方式的副作用,并且是不可避免的。

总结- EAP的TLS 1.2再坚持一年左右,直到更新的软件发布,除非你想痛苦。

相关内容

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium