SSL-Zertifikat für FreeRADIUS in OPNSense

class: center, middle

# SSL-Zertifikat für FreeRADIUS in OPNSense
### Hauke Goos-Habermann
#### https://goos-habermann.de
---

### Über mich

- Entwickler des <a href="https://m23.sourceforge.io">Softwareverteilungssystems m23</a>

- Organisator der <a href="https://kielux.de">Kieler Open Source und Linux Tage</a>

- <a href="https://goos-habermann.de/">Dienstleister zu m23, Linux und Freier Software</a>

- Softwareentwicklung (PHP, BASH, C/C++, JS, Python und was sonst so gebraucht wird...)
  - Administration
  - Schulungen
  - Support
  - Beratung
  - quasi **alles**, *was mit Linux zu tun hat*

- Wöchentlicher Livestream *"Jean und Hauke Show"* auf https://www.youtube.com/c/LinuxGuides

- Community-Video-Serie *"Nicht der Weisheit letzter Schluß"* auf <a href="https://tube.tchncs.de/c/ndwls">tube.tchncs.de</a> und <a href="https://www.youtube.com/channel/UCNDn2bb2AHVCliErAwA-45g">YouTube</a> mit **beruflichen** oder **privaten Projekten**

- Findet immer wieder neue Lösungen für FreeIPA-Aufgabenstellungen
---

### SSL-Zertifikat für OPNSense

Wenn sich der **FreeIPA-Client** auf dem Zielsystem **nicht installieren** läßt, aber dennoch eine eingeschränkte **Verankerung in FreeIPA** und die Nutzung von FreeIPA-Funktionen (z.B. DNS und SSL-Zertifikate) gewünscht sind, wird es etwas komplizierter ;-)

* FreeRADIUS-Plugin von OPNSense benötigt
	* Zertifikat der Zertifizierungsstelle (CA)
	* Durch CA beglaubigtes Client-Zertifikat + privaten Schlüssel

* FreeIPA
	* SSL-Zertifizierungsstelle
	* Generierung von SSL-Zertifikaten + privaten Schlüsseln
	* Verwaltung von Fremdsystemen
		* DNS-Namensauflösung
		* Eintrag als Host mit Kerberos-Principal
---

### Aktionen auf dem FreeIPA-Server

Skript <a href="ipa-clientAnlegen+ClientzertifikatErstellen.sh">ipa-clientAnlegen+ClientzertifikatErstellen.sh</a> führt folgende Aktionen durch:

* **DNS**-Eintrag anlegen
* **Host**-Eintrag anlegen
* **Privaten Schlüssel** und **Signierungsanfrage** erstellen
* Signierungsanfrage durch FreeIPA bearbeiten lassen
* **Signiertes Client-Zertifikat** speichern

Aufruf z.B. mit:
```bash
./ipa-clientAnlegen+ClientzertifikatErstellen.sh opnsense-test 1.2.3.4
```

Dateien:
* **Zertifikat der Zertifizierungsstelle**: /etc/ipa/ca.crt
* **Privater Schlüssel**: /etc/ipa/clientCerts/client-opnsense-test.key
* **Client-Zertifikat**: /etc/ipa/clientCerts/client-opnsense-test.crt
---

### Aktionen in OPNSense

* **FreeRADIUS-Plugin installieren**
	* System ⇒ Firmware ⇒ Plugins
	* ***os-freeradius*** mit *"+"* installieren

* **Zertifikat der Zertifizierungsstelle importieren**
	* System ⇒ Trust ⇒ Authorities
	* Name: IPA

* **Privaten Schlüssel und Client-Zertifikat**
	* System ⇒ Trust ⇒ Certificates
	* Name: OPNSense

* **FreeRADIUS konfigurieren**
	* Services ⇒ FreeRADIUS ⇒ EAP
		* Root Certificate: IPA
		* Server Certificate: OPNSense
---

class: center, middle
### Informationen zu mir und meinen Dienstleistungen, m23, ...
### https://goos-habermann.de