unser Wlan mit Unifi Hardware und Authentifizierung am Freeradius Server des Servers funktioniert bisher prima. Nun beschweren sich seit ein paar Tagen manche Kollegen darüber, dass ihre Macbooks oder manche Iphones nicht mehr ins Wlan kommen. Das sieht im Log in /var/log/freeradius dann etwa so aus:
Error: TLS Alert read:warning:close notify
Error: TLS_accept: failed in SSLv3 read client certificate A
Error: rlm_eap: SSL error error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure
Error: SSL: SSL_read failed in a system call (-1), TLS session fails.
Auth: Login incorrect (TLS Alert read:warning:close notify): [xxx] (from client rsrvap01 port 0 cli D4-61-9D-1B-70-EC)
(Bei “xxx” steht der Benutzername. Mit dem selben Account kann sich der Kollege aber mit einem anderen Gerät problemlos anmelden.)
Für mich sieht das so aus als ob das Problem irgendetwas mit den Zertifikaten zu tun hat aber aus Google werde ich gerade nicht schlau und falls jemandem von euch dazu etwas einfällt…
Sind die Zertifikate abgelaufen ? Ich hatte sie vor ziemlich genau einem Jahr erzeugt.
-> Jährlich neu erzeugen ? Dann müsste man sie auch bei allen Geräten neu installieren
Gab es ein Update in iOS oder MacOs welchem unsere Zertifikate bzw. die Verschlüsselung nicht mehr sicher genug sind ?
das scheint auch öfter der Fall zu sein… Bisher habe ich keine Lösung gefunden, die nicht Bastelei mit Zertifikaten auf jedem betroffenen Client erfordern würde. Ich bin mir nicht so ganz sicher ob das wirklich in meinen Tätigkeitsbereich fallen muss. Wenn es mit einmal neuen Zertifikaten auf dem Radiusserver getan ist, dann wäre das etwas anderes.
was ich bisher so gelesen habe, scheint es damit zusammenzuhängen, dass die Zertifikate nicht richtig signiert sind bzw. mit einem zu unsicheren Algorithmus (MD5, SHA-512, …). Das liegt daran, dass der freeradius Server von Ubuntu 12.04 natürlich recht alt ist.
Wir haben jetzt noch keine der Lösungen getestet, aber so könnte man es wahrscheinlich lösen:
das (alte) Server-Zertifikat auf allen betroffenen Geräten importieren und vertrauen
die Server-Zertifikate neu generieren mit einem aktuellen und sicheren Algorithmus signieren
evtl. einen separaten / aktuelleren freeradius-Server aufsetzen, der passende Zertifikate erzeugen kann.
dass es was mit der Schlüssellänge zu tun haben könnte hatte ich auch schon vermutet. Dein Link ist aber richtig gut ! Ich probiere das diese Woche noch und berichte dann hier…
IMHO würde das dann nach sich ziehen dass sich alle Wlan Clients neu anmelden müssten, was nicht weiter schlimm ist. Bei den Win7 Clients müssten dann die neuen Zertifikate installiert werden. Davon habe ich aber gottseidank nur eine überschaubare Anzahl.
ich habe die Zertifikate neu erzeugt. Mit der Anleitung von “OSS Ramblings” bin ich allerdings nicht weiter gekommen denn da stimmen die Pfade usw. nicht mit meiner Installtion überein. Ich bin so vorgegangen:
Verzeichnisse sichern:
/etc/freeradius/certs
/root/certs
In /root/certs die Dateien ca.cnf und server.cnf wie von Zefanja beschrieben ändern:
default_md = sha256 (Die Anleitung scheint nur “sha1” vorzusehen, aber mit sha256 läufts auch durch.)
default_bits = 4096
Zertifikate löschen und neu erzeugen nach der Anleitung in
/root/certs/README
rm -f *.pem *.der *.csr *.crt .key .p12 serial index.txt
und
Abschnitte:
MAKING A ROOT CERTIFICATE
MAKING A SERVER CERTIFICATE
##################################################################
! Beim ersten Versuch, das Server Zertifikat zu erzeugen kam die Fehlermeldung:
unable to load number from .//serial
error while loading serial number
Die Datei “serial” enthält offenbar die Seriennummer des Serverzertifikats und war nicht mehr vorhanden. Ich habe dann von Hand die Datei mit dem Inhalt “01” erzeugt und dann lief die Erstellung des Zertifikats durch.
##################################################################
Neue Zertifikate nach /etc/freeradius/certs kopieren, d.h. alle Dateien ca.* und server.*
Freeradius neu starten.
Win 7 und Android scheinen sich nahtlos mit den neuen Zertifikaten abzufinden, andere Geräte habe ich gerade keine da. Bin mal gespannt was ich am Montag Morgen zu hören kriege