作者 主題: EAP-TTLS認證問題請教  (閱讀 5085 次)

0 會員 與 1 訪客 正在閱讀本文。

dadai

  • 可愛的小學生
  • *
  • 文章數: 17
    • 檢視個人資料
EAP-TTLS認證問題請教
« 於: 2007-11-09 21:04 »
各位好

我目前在著手架設802.1X的認證環境
目前卡在認證這個部份

因為使用EAP-TTLS
在wpa_supplicant 裡面一定要設定 ca_cert
可是我無法理解 ca.pem這個檔案到底是從哪邊跑出來的

我在網路上找了一些資料
在RADIUS Server端利用下列步驟產生pem
# openssl genrsa 1024 > host.key
# openssl req -new -x509 -nodes -days 365 -key host.key > host.cert
# cp host.cert /usr/local/etc/raddb/certs/demoCA/cacert.pem

接下來
我將產生的host.cert複製到host端 /etc/certs
並且改名為ca.pem

我在host端執行wpa_supplicant -i ath0 -c eap-ttls.conf
出現下列錯誤訊息
TLS: Certificate verification failed, error 20 (unable to get local issuer
certificate) depth 0 for '/C=CA/ST=Province/L=Some
City/O=Organization/OU=localhost/CN=root
certificate/emailAddress=root@example.com'
SSL: SSL3 alert: write (local SSL3 detected an error):fatal:unknown CA
OpenSSL: tls_connection_handshake - SSL_connect error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
CTRL-EVENT-EAP-FAILURE EAP authentication failed

我利用 openssl verify -issuer_checks "file" 來檢查我的pem檔
在RADIUS Server端和host端的結果都一樣:
ca.pem: /C=TW/ST=Taiwan/L=Chiayi/O=CN/CN=dadai/emailAddress=testuser at example.org
error 18 at 0 depth lookup:self signed certificate
OK

請問我遇到的什麼問題?
我該如何解決
才能夠正常的使用EAP-TTLS來進行802.1X的認證?

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
EAP-TTLS認證問題請教
« 回覆 #1 於: 2007-11-12 17:05 »
引用

我在host端執行wpa_supplicant -i ath0 -c eap-ttls.conf
出現下列錯誤訊息
TLS: Certificate verification failed, error 20 (unable to get local issuer
certificate) depth 0 for '/C=CA/ST=Province/L=Some
City/O=Organization/OU=localhost/CN=root
certificate/emailAddress=root@example.com'
SSL: SSL3 alert: write (local SSL3 detected an error):fatal:unknown CA
OpenSSL: tls_connection_handshake - SSL_connect error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
CTRL-EVENT-EAP-FAILURE EAP authentication failed

我個人不知道 linux client 的 wpa 怎麼弄, 但一般在 Windows 端
需要另外以 cakey 產生不同 user 的憑證檔 (就您的狀況來看 365 天實在太短), 使用者 import 後設好相關的無線設定好方可使用

dadai

  • 可愛的小學生
  • *
  • 文章數: 17
    • 檢視個人資料
EAP-TTLS認證問題請教
« 回覆 #2 於: 2007-11-13 09:48 »
謝謝你的意見
我再試試看好了

順便請教一下
windows上得cakey是如何產生的??

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
EAP-TTLS認證問題請教
« 回覆 #3 於: 2007-11-13 10:55 »
引述: "dadai"
謝謝你的意見
我再試試看好了

順便請教一下
windows上得cakey是如何產生的??

cakey 如你的方法
不過 user cert. 就較費事些, 需要幾個連貫的動作