1 of 1

Configurando um certificado válido

Configurando o servidor Freeradius com certificado válido

Para configurar o servidor do eduroam na instituição para responder com um certificado válido é simples e não requer muitos passos de configuração.

É necessário ter um certificado válido Gerado pelo serviço ICPEdu ou caso a instituição tenha convênio com outra certificadora.

Como gero os arquivos do certificado válido para minha instituição?

Siga o manual do certificado corporativo clicando aqui.

Onde salvar os arquivos do certificado válido gerados?

Crie a pasta onde os arquivos da ICPEdu GlobalSign ficarão armazenados

mkdir /etc/freeradius/certs/icpedu

Entre na pasta

cd /etc/freeradius/certs/icpedu/

Salvar todos os arquivos gerados (e.g. *.crt, *.pem, *.key etc) na pasta padrão de certificados do Freeradius: /etc/freeradius/certs/icpedu

Configurando arquivos necessários no Freeradius

O único arquivo que deve ser alterado para conter o caminho do certificado válido é o eap

Localização do arquivo

cd /etc/freeradius/mods-available/

Editando o arquivo

vim /etc/freeradius/mods-available/eap

Alterando conteúdo para indicar o novo certificado (válido)

Altere os campos indicados abaixo para suportar a validação do certificado

...
eap {
...
    tls-config tls-common {
        private_key_password = <SENHA_CERTIFICADO> # exemplo: Senha@EduroamCertificado36
        private_key_file = ${certdir}/icpedu/<CHAVE_CERTIFICADO> # exemplo: eduroam.ufjf.br.key
        certificate_file = ${certdir}/icpedu/<ARQUIVO_CERTIFICADO> # exemplo: eduroam.ufjf.br.crt
        ca_file = ${cadir}/icpedu/<CERTIFICADO_CA> # exemplo: icpedu.crt (Arquivo de certificado da CA ICPEdu GlobalSign)
    #   auto_chain = yes
        dh_file = ${certdir}/dh
    #   random_file = /dev/urandom
    #   fragment_size = 1024
    #   include_length = yes
    #   check_crl = yes
    #   check_all_crl = yes
        ca_path = ${cadir}
...
    }
}

Os parâmetros acima normalmente não existem no arquivo final do EAP, porém, caso existam, favor comentar conforme a imagem.

Reinicie o serviço

service freeradius restart

Esqueça a rede Eduroam nos dispositivos dos clientes e teste a autenticação nos dispositivos.

Configurando um certificado válido

Configurando o servidor Freeradius com certificado válido

Para configurar o servidor do eduroam na instituição para responder com um certificado válido é simples e não requer muitos passos de configuração.

É necessário ter um certificado válido Gerado pelo serviço ICPEdu ou caso a instituição tenha convênio com outra certificadora.

Como gero os arquivos do certificado válido para minha instituição?

Siga o manual do certificado corporativo clicando aqui.

Onde salvar os arquivos do certificado válido gerados?

Crie a pasta onde os arquivos da ICPEdu GlobalSign ficarão armazenados

mkdir /etc/freeradius/certs/icpedu

Entre na pasta

cd /etc/freeradius/certs/icpedu/

Salvar todos os arquivos gerados (e.g. *.crt, *.pem, *.key etc) na pasta padrão de certificados do Freeradius: /etc/freeradius/certs/icpedu

Configurando arquivos necessários no Freeradius

O único arquivo que deve ser alterado para conter o caminho do certificado válido é o eap

Localização do arquivo

cd /etc/freeradius/mods-available/

Editando o arquivo

vim /etc/freeradius/mods-available/eap

Alterando conteúdo para indicar o novo certificado (válido)

Altere os campos indicados abaixo para suportar a validação do certificado

...
eap {
...
    tls-config tls-common {
        private_key_password = <SENHA_CERTIFICADO> # exemplo: Senha@EduroamCertificado36
        private_key_file = ${certdir}/icpedu/<CHAVE_CERTIFICADO> # exemplo: eduroam.ufjf.br.key
        certificate_file = ${certdir}/icpedu/<ARQUIVO_CERTIFICADO> # exemplo: eduroam.ufjf.br.crt
        ca_file = ${cadir}/icpedu/<CERTIFICADO_CA> # exemplo: icpedu.crt (Arquivo de certificado da CA ICPEdu GlobalSign)
    #   auto_chain = yes
        dh_file = ${certdir}/dh
    #   random_file = /dev/urandom
    #   fragment_size = 1024
    #   include_length = yes
    #   check_crl = yes
    #   check_all_crl = yes
        ca_path = ${cadir}
...
    }
}

Os parâmetros acima normalmente não existem no arquivo final do EAP, porém, caso existam, favor comentar conforme a imagem.

Reinicie o serviço

service freeradius restart

Esqueça a rede Eduroam nos dispositivos dos clientes e teste a autenticação nos dispositivos.