20T47 Clearpass Certyfikaty Testowe w 5 min.
OpenSSL stworzenie w艂asnego CA do 艣rodowiska testowego
Wi臋cej miejsc do pos艂uchania:
1. Opis problemu
Clearpass od wersji 6.8 do zestawienia klastra wymaga zaufanych certyfikat贸w HTTPS, w tym r贸wnie偶 dodania u偶ytych CA do listy zaufanych.
Dodatkowo do prawid艂owego dzia艂ania 802.1x, wymagane jest wpisanie adres贸w IP do pola SAN (Subject Alternative Name). W tym przyk艂adzie generuj臋 jeden certyfikat do u偶ycia dla HTTPS oraz Radius.
Je偶eli u偶ywasz Clearpass Guest, to b臋dziesz potrzebowa艂 osobny certyfikat dla 802.1x, opisany w tym artykule, a opr贸cz tego inny certyfikat z publicznego urz臋du dla HTTPS.
Tutaj ciekawostka Clearpass tworz膮c klaster 艂膮czy si臋 po IP i ten adres nie musi istnie膰 w certyfikacie HTTPS, weryfikowana jest natomiast wa偶no艣膰 u偶ytego certyfikatu oraz powi膮zanych urz臋d贸w.
Mo偶esz zatem mie膰 certyfikat na nazw臋 domenow膮 w CN = *.netadminpro.pl, ale klaster zawsze zestawiasz do adresu IP i zawarto艣膰 CN nie ma tutaj znaczenia.
1. Generowanie CA
Ca艂o艣膰 konfiguracji wymaga dost臋pu do pakietu OpenSSL, pakiet ten mo偶esz zainstalowa膰 zar贸wno na systemie Windows jaki Linux, ja u偶y艂em Ubuntu 20.04 LTS.
Generowanie klucza prywatnego dla urz臋du certyfikacji:
openssl genrsa -des3 -out ClearpassCA.key 2048
Zostaniesz poproszony o podanie has艂a, kt贸rego nie polecam pomija膰 w celu zachowania bezpiecze艅stwa. Has艂o uniemo偶liwi ka偶demu, kto uzyska Tw贸j klucz prywatny, wygenerowanie w艂asnego certyfikatu g艂贸wnego. Wynik powinien wygl膮da膰 nast臋puj膮co:
Generating RSA private key, 2048 bit long modulus (2 primes) .............+++++ .......................+++++ e is 65537 (0x10001) Enter pass phrase for ClearpassCA.key: Verifying - Enter pass phrase for ClearpassCA.key:
Nast臋pnie generujemy certyfikat g艂贸wny:
openssl req -x509 -new -nodes -key ClearpassCA.key -sha256 -days 1825 -out ClearpassCA.pem
Zostaniesz poproszony o podanie has艂a do klucza prywatnego (kt贸ry w艂a艣nie wybra艂e艣) i odpowiedzi na kilka pyta艅.
Enter pass phrase for ClearpassCA.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:PL State or Province Name (full name) [Some-State]:Mazowieckie Locality Name (eg, city) []:Warszawa Organization Name (eg, company) [Internet Widgits Pty Ltd]:Netadminpro.pl Organizational Unit Name (eg, section) []:Netadminpro.pl Common Name (e.g. server FQDN or YOUR name) []:clearpass.netadminpro.pl Email Address []:clearpassCA@netadminpro.pl
Ju偶 masz wygenerowany certyfikat oraz klucz dla swojego wewn臋trznego urz臋du certyfikacji.
2. Generowanie Certyfikat贸w dla Clearpassa
Generowanie klucza prywatnego:
openssl genrsa -out clearpass.netadminpro.pl.key 2048
Tworzenie CSR (Certificate Signing Request – 偶膮danie podpisania certyfikatu):
openssl req -new -key clearpass.netadminpro.pl.key -out clearpass.netadminpro.pl.csr
Otrzymasz te same pytania, co powy偶ej, ale tym razem dotycz膮 one certyfikatu dla Clearpass’a.
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:PL State or Province Name (full name) [Some-State]:Mazowieckie Locality Name (eg, city) []:Warszawa Organization Name (eg, company) [Internet Widgits Pty Ltd]:Netadminpro.pl Organizational Unit Name (eg, section) []:Netadminpro.pl Common Name (e.g. server FQDN or YOUR name) []:clearpass.netadminpro.pl Email Address []:clearpassCA@netadminpro.pl Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
Nast臋pnie utworzymy certyfikat przy u偶yciu naszego CSR, prywatnego klucza CA, certyfikatu CA i pliku konfiguracyjnego, ale najpierw musimy utworzy膰 plik konfiguracyjny.
Plik konfiguracyjny jest opcjonalny, ale chc臋 wype艂ni膰 pole SAN (Subject Alternative Name), kt贸ry jest polem dodatkowym do certyfikatu podstawowego. 呕eby to wykona膰 trzeba utworzy膰 specjalny plik konfiguracyjny:
Plik clearpass.ext b臋dzie zawiera艂 adresy DNS oraz IP poszczeg贸lnych interfejs贸w Clearpass’a:
authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment subjectAltName = @alt_names [alt_names] DNS.1 = clearpass1.netadminpro.pl DNS.2 = clearpass2.netadminpro.pl IP.1 = 10.253.253.130 IP.2 = 10.17.17.130
Tworzenie certyfikatu:
openssl x509 -req -in clearpass.netadminpro.pl.csr -CA ClearpassCA.pem -CAkey ClearpassCA.key -CAcreateserial -out clearpass.netadminpro.pl.crt -days 825 -sha256 -extfile clearpass.ext
Zostaniesz poproszony o podanie has艂a do klucza prywatnego utworzonego na pocz膮tku CA (ClearpassCA.key).
Jako wynik otrzymujemy:
- clearpass.netadminpro.pl.key (klucz prywatny)
- clearpass.netadminpro.pl.csr (偶膮danie podpisania certyfikatu)
- clearpass.netadminpro.pl.crt (podpisany certyfikat).
Do importu certyfikatu do Clearpass’a b臋dziemy potrzebowa膰 dodatkowo certyfikatu urz臋du CA, czyli:
- ClearpassCA.pem
3. Podsumowanie
Podany spos贸b generowania certyfikat贸w, jest wprawdzie manualny, ale maj膮c powy偶ej spisany zestaw polece艅 oraz opcji, mo偶emy 艂atwo generowa膰 wymagane certyfikaty do potrzeb wewn臋trznych.
W wi臋kszo艣ci firm ten element jest realizowany z wykorzystaniem urz臋du CA w wydaniu Microsoft w ramach zestawu narz臋dzi powi膮zanych z domen膮 AD.
Je偶eli jednak nie masz takiego narz臋dzia gotowego, lub do test贸w wolisz w艂asnor臋cznie generowa膰 certyfikat i nie prosi膰 innych os贸b o zaanga偶owanie, to przedstawione rozwi膮zanie pozwoli wygenerowa膰 odpowiednie pliki w kilka minut.