web-dev-qa-db-ja.com

RADIUSサーバーが正しい証明書を送信していますか?

RADIUSサーバーが使用しているTLS(SSL)証明書を確認して、正しい証明書とチェーンを送信していることを確認するにはどうすればよいですか?

RADIUSサーバーで802.1x認証を実装していますが、 一部のサプリカント(クライアント)での証明書の受け入れの問題 があります。証明書が送信されるのを見たいです。 openssl s_clientを使用してTCP TLSトラフィックをデバッグする方法と同様の簡単な方法でサーバー。

2
Jan Fabry

eapol_testパッケージ の一部である wpa_supplicant を使用できます。ソースコードをダウンロードし、make eapol_testでコンパイルする必要があります(デフォルトではビルドされていません)。少なくともLinux、Windows、Mac OS Xで動作するはずです(あまり宣伝されていませんが、コンパイルして後者で使用できます)。

構成ファイルを作成し( ここにいくつかの例 、しかしすべてのオプションの概要を見つけることができなかった、私は src/eap_peer/eap_config.h いくつかが含まれていると思う)、そして実行するツール:

./eapol_test -c <config file> -s <shared secret> -a <ip address of radius server>

すべての出力で、TLS証明書が通過するのがわかりますが、-oオプションを渡すことでファイルにダンプすることもできます。

-o<server cert file> = Write received server certificate
                       chain to the specified file

構成ファイルでca_certオプションを指定すると、プログラムは送信されたチェーンの検証も行い、検証結果がプログラムの出力に表示されます(証明書がダンプされたファイルではありません)。

その後、 rad_eap_testラッパー を使用することもできます。これは、Nagiosと互換性のあるステータス出力を返します。

2
Jan Fabry