什么是Freeradius？

Freeradius是一款开源的RADIUS服务器软件，广泛用于网络认证、授权和计费(AAA)服务。简单来说，它就像网络世界的"门卫"，负责验证用户身份（比如WiFi登录）、控制访问权限（比如能访问哪些资源）以及记录使用情况（比如上网时长）。

举个例子：当你连接公司WiFi时输入用户名密码，背后很可能就是Freeradius在验证你的身份；当酒店要求你在网页输入房号才能上网时，通常也是Freeradius在工作。

为什么需要SSL证书？

SSL证书就像是网络通信的"加密信封"，主要解决三个问题：

1. 防窃听：就像写信不用明信片而用密封信封

2. 防篡改：确保信件在传输过程中没被修改

3. 身份确认：确认对方确实是你要联系的人（不是钓鱼网站）

在Freeradius中使用SSL证书特别重要，因为：

- RADIUS协议本身设计于1990年代，安全性不足

- 许多现代设备(如iPhone)要求加密连接才允许802.1X认证

- 防止攻击者伪造Radius服务器窃取用户凭证

SSL证书类型选择

为Freeradius选择证书时有几种常见方案：

1. 自签名证书

就像自己手写一张身份证：

- 优点：免费、立即可用、完全控制

- 缺点：客户端需要手动信任（就像陌生人要你相信他的手写身份证）

- 适用场景：测试环境、内部系统、可控的客户端环境

生成命令示例：

```bash

openssl req -x509 -newkey rsa:2048 -keyout server.key -out server.crt -days 365 -nodes

```

2. 商业CA签发证书

就像公安局颁发的正规身份证：

- 优点：广泛信任、无需额外配置

- 缺点：需要花钱(约$50-$500/年)、申请流程较复杂

- 适用场景：面向公众的服务、大型企业网络

知名CA包括：DigiCert、Sectigo、GlobalSign等。

3. 私有CA签发证书

就像大公司给员工发内部工牌：

- 优点：可统一管理、免费、可定制策略

- 缺点：需要自建CA基础设施

- 适用场景：企业内网、学校网络等有集中管理的环境

建立私有CA的基本步骤：

创建CA私钥

openssl genrsa -out ca.key 2048

创建CA根证书

openssl req -x509 -new -nodes -key ca.key -sha256 -days 1825 -out ca.crt

为Radius服务器创建证书请求(CSR)

openssl req -new -nodes -keyout server.key -out server.csr

用CA签名生成服务器证书

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

Freeradius配置实战

假设我们已经有了server.crt(证书)和server.key(私钥)，下面进行配置：

Step1: 放置证书文件

最佳实践是将证书放在/etc/freeradius/certs目录：

cp server.crt /etc/freeradius/certs/

cp server.key /etc/freeradius/certs/

chmod 640 /etc/freeradius/certs/server.*

chown freerad:freerad /etc/freeradius/certs/server.*

Step2: 修改EAP配置

编辑/etc/freeradius/mods-enabled/eap：

```nginx

eap {

default_eap_type = tls

tls-config tls-common {

private_key_file = ${certdir}/server.key

certificate_file = ${certdir}/server.crt

TLS1.2+更安全(TLS1.0/1.1已淘汰)

max_version = "1.2"

min_version = "1.2"

禁用不安全的加密套件

cipher_list = "HIGH:!aNULL:!MD5:!RC4"

启用OCSP装订检查证书吊销状态

ocsp {

enable = yes

override_cert_url = yes

}

}

ttls {

tls = tls-common

peap {

}

Step3: RADIUS客户端配置(如路由器)

在网络设备上配置Radius时需要指定：

认证服务器IP: your_radius_ip

共享密钥: your_shared_secret

认证端口: UDP/1812

启用TLS加密(EAP-PEAP或EAP-TTLS)

上传CA证书(如果是私有CA)

SSL/TLS排错技巧

遇到连接问题时可以这样排查：

Case1: Windows报"未知的证书颁发机构"


解决方法：

1. 对于私有CA：将CA根证书(ca.crt)导入客户端的"受信任的根证书颁发机构"

```powershell

certutil.exe –addstore –f "Root" C:\ca.crt

```

2. 对于自签名：手动信任服务器证书或改用商业/私有CA

Case2: Android/iOS无法连接WPA2企业WiFi

典型错误："身份验证出现问题"或"无法验证服务器身份"

解决方案：

```markdown

1. *检查时间同步* — iOS特别重视时间准确性，确保设备时间与NTP同步

2. *域名匹配* — iOS15+要求CN/SAN完全匹配NAS标识符

3. *安装配置文件* — MDM推送或手动安装.mobileconfig配置文件

4. *调整EAP设置* — → "不要验证"(仅限测试环境)

Case3: Freeradius日志报TLS握手失败

查看日志/var/log/freeradius/radius.log发现类似错误:

SSL_accept error[0] error:14094416:SSL routines:

ssl3_read_bytes:sslv3 alert certificate unknown]

诊断步骤:

```bash

检查密钥对是否匹配:

openssl x509 –noout –modulus –in server.crt | openssl md5

openssl rsa –noout –modulus –in server.key | openssl md5

检查有效期:

openssl x509 –enddate –noout –in server.crt

测试监听端口:

openssl s_client –connect localhost:2083 –showcerts

抓包分析:

tcpdump port radius or port radsec –w radius.pcap

HTTPS与RadSec的区别

很多人容易混淆这两个概念:

|特性 |传统RADIUS |RadSec(RADIUS/TLS) |

||||

|传输层 |UDP |TCP |

|加密方式 |无或弱加密(MD5) |强制TLS加密 |

|端口号 |1812/1813 |2083 |

|典型用途 |内网设备间通信 |跨互联网的安全漫游 |

现代部署建议:

边缘接入点 ——UDP RADIUS——>本地Freeradius ——RadSec——>总部AAA系统

↑ ↑

(共享密钥) (双向TLS认证)

PCI DSS合规要求

如果处理支付卡数据(Freeradius用于VPN/WiFi接入)，需注意:

> PCI DSS v4.0要求4.2:"对所有非控制台管理访问使用强加密"

具体实施要点:

??禁用SSLv3/TLS1.0/TLS1.1 (仅允许TLS≥1.2)

??使用2048位以上RSA密钥或等效ECC强度

??每月扫描漏洞(CVE如Heartbleed等)

??每年更新私钥轮换策略

??记录所有认证事件至少90天

可通过以下命令检查合规性:

nmap --script ssl-enum-ciphers your-radius-server.com \

-p2083,2084,1812,1813

testssl.sh your-radius-server.com:2083

Let's Encrypt自动化方案

虽然Let's Encrypt不建议用于EAP-TLS(因其短有效期)，但可以这样实现自动化:

!/bin/bash

certbot renew --deploy-hook="systemctl reload freeradius"

cat > /etc/letsencrypt/renewal-hooks/deploy/freeradius.sh <<'EOF'

!/bin/sh

RADIUS_CERT_DIR=/etc/freeradious/certs

cp "$RENEWED_LINEAGE"/fullchain.pem "$RADIUS_CERT_DIR"/server.crt

cp "$RENEWED_LINEAGE"/privkey.pem "$RADIUS_CERT_DIR"/server.key

chown freeradiud.freeradiud "$RADIUS_CERT_DIR"/server.*

systemctl restart freeradiud.service >/dev/null

EOF

chmod +x /etc/letsencrypt/renewal-hooks/deploy/freeradiud.sh

Cloud时代的最佳实践

在AWS/Azure云环境中部署时需注意:

? AWS ALB不支持UDP RADIUS →改用TCP RadSec或EC2直连

? Azure NSG默认阻止1812/UDP →显式添加入站规则

? GCP Cloud IAM不能替代传统AAA →仍需保留Freeradiud实例

混合云架构示例:

分支办公室 ——IPSec隧道——> VPC中的Freeradiud ←→ Microsoft NPS ←→ Azure AD

↑

(LDAPS同步企业目录)

通过以上全面配置，你的Freeradius服务将获得银行级别的安全防护。记住定期更新补丁(free radius-release-check)，并监控日志中的异常认证尝试。

TAG:freeradius ssl证书,阿里云ssl证书有什么用,阿里云ssl证书是做什么的,阿里云ssl证书申请流程,阿里云ssl证书管理,阿里云ssl证书价格一年多少钱,阿里云ssl证书价格,阿里云ssl证书免费,阿里云ssl证书怎么配置,阿里云部署ssl证书