34.3. FreeRADIUS による証明書の要件
セキュアな FreeRADIUS サービスを利用するには、さまざまな目的で TLS 証明書が必要です。
サーバーへの暗号化された接続用の TLS サーバー証明書。信頼済み認証局 (CA) を使用して証明書を発行します。
サーバー証明書には、
TLS Web Server Authenticationに設定された拡張鍵用途 (EKU) フィールドが必要です。拡張認証プロトコルトランスポート層セキュリティー (EAP-TLS) のために同じ CA によって発行されたクライアント証明書。EAP-TLS は証明書ベースの認証を提供し、デフォルトで有効になっています。
クライアント証明書では、EKU フィールドを
TLS Web Client Authenticationに設定する必要があります。
警告
接続をセキュリティー保護するには、会社の CA を使用するか、独自の CA を作成して FreeRADIUS の証明書を発行します。パブリック CA を使用する場合は、パブリック CA がユーザーを認証し、EAP-TLS のクライアント証明書を発行できるようにします。
