Рейтинг:0

FreeRadius со смешанными центрами сертификации

флаг ph

Можно ли запустить FreeRadius (версия 3.0.13) с двумя разными ЦС? Чтобы у меня был сертификат сервера из одного ЦС, а клиентские сертификаты из другого ЦС?

Наша текущая установка в /etc/raddb/mods-enabled/eap выглядит немного так:

...
tls-config tls-общий {
  certificate_file = ${certdir}/server.pem # сертификат только от CA ONE
  ca_file = ${cadir}/ca.pem # полная цепочка из CA TWO
  auto_chain = нет
  ca_path = ${cadir} # содержит все сертификаты/полные цепочки из обоих ЦС
}
...

И это ошибка, которую я вижу в журналах:

Пн, 20 декабря, 13:15:30 2021: ОШИБКА: (352) eap_tls: ОШИБКА: чтение предупреждения TLS: фатальный: неизвестный ЦС
Пн, 20 декабря, 13:15:30 2021: ОШИБКА: (352) eap_tls: ОШИБКА: TLS_accept: Ошибка из-за ошибки
Пн, 20 декабря, 13:15:30 2021: ОШИБКА: (352) eap_tls: ОШИБКА: Ошибка в __FUNCTION__ (SSL_read)

Как только клиенты и сервер получили свои сертификаты от одного и того же ЦС, все заработало нормально.

Так возможно ли иметь разные центры сертификации для сервера и клиента? Если да, что мне нужно сделать, чтобы выполнить эту задачу?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.