Re: Renouvellement des certificats dans Freeradius

To: debian-user-french@lists.debian.org
Subject: Re: Renouvellement des certificats dans Freeradius
From: didier gaumet <didier.gaumet@gmail.com>
Date: Mon, 9 May 2022 10:15:53 -0700 (PDT)
Message-id: <[🔎] 9c674647-533e-4407-938a-83f1726e8cffn@googlegroups.com>
In-reply-to: <Elcff-el2A-1@gated-at.bofh.it>
References: <[🔎] CAPeT9jgosMk7dmGhQXByuPQUx8kr06PsPq9d4jp4-DNtqcUtBA@mail.gmail.com>

Le lundi 09 mai 2022 à 16:08 +0200, Olivier a écrit :
> Bonjour,
> 
> Je cherche à mettre en place EAP PEAP-MSCHAPv2 avec certificat
> auto-signé sur un réseau WiFi en évolution du système précédent qui
> utilisait aussi PEAP-MSCHAPv2, mais sans certificat.
> 
> L'ajout des certificats est fait pour complaire à Android 11 qui
> interdit le PEAP-MSCHAPv2 sans certificat.
> 
> Je précise que je n'ai aucun contrôle sur les appareils WiFi se
> connectant au réseau.
> Il s'agit en majorité de smartphones Android, mais il y a aussi
> beaucoup de PC portables sous Win10 et d'appareils divers (iOS, ...).
> 
> J'imagine pouvoir diffuser largement (site web public, signature de
> courriel, ...) un certificat racine ca.der à longue durée de vie, et
> que les utilisateurs devront "importer"  sur leur machine avant de se
> connecter.
> 
> 1. Connaissez-vous un système d'exploitation refusant d'accepter des
> certificats racine auto-signés de trop longue durée ?
> 
> 2. Comment avec Freeradius (sur Bullseye) renouveler en douceur des
> certificats ? Par "en douceur", je sous-entend qu'il est acceptable
> qu'un utilisateur soit de temps en temps alerté par un message
> d'avertissement mais je souhaite éviter qu'il perde l'accès au WiFi.
> 
> Slts
> 
> 

Bon, alors là j'y connais encore moins que rien ;-)

Y a un laïus sur la compatibilité des certificats avec les OS ici:
https://wiki.freeradius.org/guide/Certificate-Compatibility
En gros, faut respecter certaines précautions avec Windows et pour le reste pas de pb. Par contre j'ai lu sur internet que dans certains cas il y a des blocages de sécurité pour les certificats de plus d'un an de durée de vie.

Y a un petit topo ici:
https://www.agix.com.au/freeradius-certificate-has-expired-solution/
sur le renouvellement des certificats sous CentOS, mais je ne sais pas comment ça se passe côté clients

D'après le lien ci-dessous et d'autres, c'est le fichier /etc/raddb/cert/Server.cnf qui détermine la durée de vie des certificats et des listes de révocation (CRL) par les variables default_days et default_crl_days:
https://serverfault.com/questions/629003/freeradius-certificate-is-going-to-expired

Pas la peine de me demander des éclaircissements, je serais bien incapable de te les donner :-)

Reply to:

References:
- Renouvellement des certificats dans Freeradius
  - From: Olivier <oza.4h07@gmail.com>

Prev by Date: Re : Re: Re : Re: Comment déverrouiller mon trousseau de clés avec mon mot de passe au login ?
Next by Date: Re: Re : Re: Re : Re: Comment déverrouiller mon trousseau de clés avec mon mot de passe au login ?
Previous by thread: Renouvellement des certificats dans Freeradius
Next by thread: debian 10 - Partition 3 does not start on physical boundary
Index(es):
- Date
- Thread