Re: Renouvellement des certificats dans Freeradius

[didier gaumet]

Le lundi 09 mai 2022 à 16:08 +0200, Olivier a écrit :
> Bonjour,
> 
> Je cherche à mettre en place EAP PEAP-MSCHAPv2 avec certificat
> auto-signé sur un réseau WiFi en évolution du système précédent qui
> utilisait aussi PEAP-MSCHAPv2, mais sans certificat.
> 
> L'ajout des certificats est fait pour complaire à Android 11 qui
> interdit le PEAP-MSCHAPv2 sans certificat.
> 
> Je précise que je n'ai aucun contrôle sur les appareils WiFi se
> connectant au réseau.
> Il s'agit en majorité de smartphones Android, mais il y a aussi
> beaucoup de PC portables sous Win10 et d'appareils divers (iOS, ...).
> 
> J'imagine pouvoir diffuser largement (site web public, signature de
> courriel, ...) un certificat racine ca.der à longue durée de vie, et
> que les utilisateurs devront "importer"  sur leur machine avant de se
> connecter.
> 
> 1. Connaissez-vous un système d'exploitation refusant d'accepter des
> certificats racine auto-signés de trop longue durée ?
> 
> 2. Comment avec Freeradius (sur Bullseye) renouveler en douceur des
> certificats ? Par "en douceur", je sous-entend qu'il est acceptable
> qu'un utilisateur soit de temps en temps alerté par un message
> d'avertissement mais je souhaite éviter qu'il perde l'accès au WiFi.
> 
> Slts
> 
> 

Bon, alors là j'y connais encore moins que rien ;-)

Y a un laïus sur la compatibilité des certificats avec les OS ici:
https://wiki.freeradius.org/guide/Certificate-Compatibility
En gros, faut respecter certaines précautions avec Windows et pour le reste pas 
de pb. Par contre j'ai lu sur internet que dans certains cas il y a des 
blocages de sécurité pour les certificats de plus d'un an de durée de vie.

Y a un petit topo ici:
https://www.agix.com.au/freeradius-certificate-has-expired-solution/
sur le renouvellement des certificats sous CentOS, mais je ne sais pas comment 
ça se passe côté clients

D'après le lien ci-dessous et d'autres, c'est le fichier 
/etc/raddb/cert/Server.cnf qui détermine la durée de vie des certificats et des 
listes de révocation (CRL) par les variables default_days et default_crl_days:
https://serverfault.com/questions/629003/freeradius-certificate-is-going-to-expired

Pas la peine de me demander des éclaircissements, je serais bien incapable de 
te les donner :-)

Renouvellement des certificats dans Freeradius

[Olivier]

Bonjour,

Je cherche à mettre en place EAP PEAP-MSCHAPv2 avec certificat
auto-signé sur un réseau WiFi en évolution du système précédent qui
utilisait aussi PEAP-MSCHAPv2, mais sans certificat.

L'ajout des certificats est fait pour complaire à Android 11 qui
interdit le PEAP-MSCHAPv2 sans certificat.

Je précise que je n'ai aucun contrôle sur les appareils WiFi se
connectant au réseau.
Il s'agit en majorité de smartphones Android, mais il y a aussi
beaucoup de PC portables sous Win10 et d'appareils divers (iOS, ...).

J'imagine pouvoir diffuser largement (site web public, signature de
courriel, ...) un certificat racine ca.der à longue durée de vie, et
que les utilisateurs devront "importer"  sur leur machine avant de se
connecter.

1. Connaissez-vous un système d'exploitation refusant d'accepter des
certificats racine auto-signés de trop longue durée ?

2. Comment avec Freeradius (sur Bullseye) renouveler en douceur des
certificats ? Par "en douceur", je sous-entend qu'il est acceptable
qu'un utilisateur soit de temps en temps alerté par un message
d'avertissement mais je souhaite éviter qu'il perde l'accès au WiFi.

Slts