1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.FRENCH

  • Renouvellement des certificats dans Freeradius

    From Olivier@21:1/5 to All on Mon May 9 16:10:01 2022
    Bonjour,

    Je cherche à mettre en place EAP PEAP-MSCHAPv2 avec certificat
    auto-signé sur un réseau WiFi en évolution du système précédent qui utilisait aussi PEAP-MSCHAPv2, mais sans certificat.

    L'ajout des certificats est fait pour complaire à Android 11 qui
    interdit le PEAP-MSCHAPv2 sans certificat.

    Je précise que je n'ai aucun contrôle sur les appareils WiFi se
    connectant au réseau.
    Il s'agit en majorité de smartphones Android, mais il y a aussi
    beaucoup de PC portables sous Win10 et d'appareils divers (iOS, ...).

    J'imagine pouvoir diffuser largement (site web public, signature de
    courriel, ...) un certificat racine ca.der à longue durée de vie, et
    que les utilisateurs devront "importer" sur leur machine avant de se connecter.

    1. Connaissez-vous un système d'exploitation refusant d'accepter des certificats racine auto-signés de trop longue durée ?

    2. Comment avec Freeradius (sur Bullseye) renouveler en douceur des
    certificats ? Par "en douceur", je sous-entend qu'il est acceptable
    qu'un utilisateur soit de temps en temps alerté par un message
    d'avertissement mais je souhaite éviter qu'il perde l'accès au WiFi.

    Slts

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From didier gaumet@21:1/5 to All on Mon May 9 19:40:01 2022
    Le lundi 09 mai 2022 à 16:08 +0200, Olivier a écrit :
    Bonjour,

    Je cherche à mettre en place EAP PEAP-MSCHAPv2 avec certificat
    auto-signé sur un réseau WiFi en évolution du système précédent qui utilisait aussi PEAP-MSCHAPv2, mais sans certificat.

    L'ajout des certificats est fait pour complaire à Android 11 qui
    interdit le PEAP-MSCHAPv2 sans certificat.

    Je précise que je n'ai aucun contrôle sur les appareils WiFi se
    connectant au réseau.
    Il s'agit en majorité de smartphones Android, mais il y a aussi
    beaucoup de PC portables sous Win10 et d'appareils divers (iOS, ...).

    J'imagine pouvoir diffuser largement (site web public, signature de
    courriel, ...) un certificat racine ca.der à longue durée de vie, et
    que les utilisateurs devront "importer" sur leur machine avant de se connecter.

    1. Connaissez-vous un système d'exploitation refusant d'accepter des certificats racine auto-signés de trop longue durée ?

    2. Comment avec Freeradius (sur Bullseye) renouveler en douceur des certificats ? Par "en douceur", je sous-entend qu'il est acceptable
    qu'un utilisateur soit de temps en temps alerté par un message d'avertissement mais je souhaite éviter qu'il perde l'accès au WiFi.

    Slts



    Bon, alors là j'y connais encore moins que rien ;-)

    Y a un laïus sur la compatibilité des certificats avec les OS ici: https://wiki.freeradius.org/guide/Certificate-Compatibility
    En gros, faut respecter certaines précautions avec Windows et pour le reste pas de pb. Par contre j'ai lu sur internet que dans certains cas il y a des blocages de sécurité pour les certificats de plus d'un an de durée de vie.

    Y a un petit topo ici: https://www.agix.com.au/freeradius-certificate-has-expired-solution/
    sur le renouvellement des certificats sous CentOS, mais je ne sais pas comment ça se passe côté clients

    D'après le lien ci-dessous et d'autres, c'est le fichier /etc/raddb/cert/Server.cnf qui détermine la durée de vie des certificats et des listes de révocation (CRL) par les variables default_days et default_crl_days:
    https://serverfault.com/questions/629003/freeradius-certificate-is-going-to-expired

    Pas la peine de me demander des éclaircissements, je serais bien incapable de te les donner :-)

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)