Hallo Holger,
ich schreibs mal hier rein:
Grundlage ist immer ein privater Schlüssel:
openssl genrsa -out radius-key.pem 4096
Hier macht es Sinn ein Password zuvergeben, welches der radius beim Start in der eap.conf unter /mods-enabled abfragt.
Auf Grundlage des eben erstellten Schlüssels wird ein neuer Zertifikatsantrag erstellt:
openssl req -new -key radius-key.pem -out radius.csr -sha512
Country Name (2 letter code) [AU]: DE
State or Province Name (full name) [Some-State]: Baden-Wuerttemberg
Locality Name (eg, city) []: Stuttgart
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Musterschule
Organizational Unit Name (eg, section) []: EDV
Common Name (e.g. server FQDN or YOUR name) []:radius.linuxmuster.lan
ACHTUNG!! Hier ist es wichtig UNBEDINGT eine sinnvolle Domain zu verwenden. Weil diese Domain von den Nutzern bei der WLAN-Konfiguration angegeben sein muss. Ein Kurzname funktioniert hier nicht mehr.
Email Address []: admin@linuxmuster.lan
Please enter the following ‚extra‘ attributes
to be sent with your certificate request
A challenge password []:whatever
An optional company name []:MS Stuttgart
Mit folgendem Befehl wird das Zertifikat „radius.pem“ ausgestellt und über die ca signiert, das 365 Tage lang gültig ist:
openssl x509 -req -in radius.csr -CA /etc/linuxmuster/ssl/cacert.pem -CAkey /etc/linuxmuster/ssl/cakey.pem -CAcreateserial -out radius.pem -days 365 -sha512
Zur Generierung benötigt man ebenfalls das Kennwort für den cakey!! (steht in /etc/linuxmuster/.secret/cakey)
Viele Grüße
Thomas