Hallo,
ich habe mein WLAN (AP von Unifi) mit dem FreeRadius-Server auf der OPNSense eingerichtet.
Authentifizierung erfolgt durch EAP-TLS und Benutzerzertifikaten.
Funktioniert alles Prima.
Nur, wenn ich unter System->Trust->Revokation für das Radius ZErtifikat eine Revokeliste anlege und diese im FreeRadius unter EAP->CRL auswähle kann sich kein Client mehr verbinden!
Die Revokeliste ist natürlich leer.
OPNSense zeigt mir auch für die OpenVPN-Server Liste in der Spalte IN USE Yes an, für das FreeRADIUS steht dort NO.
Wie kann ich das Problem beheben?
LOG von FreeRADIUS:
Thu Jun 20 11:31:38 2019 : Error: tls: TLS_accept: Error in error
Thu Jun 20 11:31:38 2019 : ERROR: (9) eap_tls: ERROR: TLS Alert write:fatal:unknown CA
Thu Jun 20 11:31:38 2019 : ERROR: (9) eap_tls: ERROR: SSL says error 3 : unable to get certificate CRL
EDIT:
OpenVPN das gleiche Problem!
Jun 20 11:42:59 openvpn[67657]: 109.40.66.230:10665 TLS Error: TLS handshake failed
Jun 20 11:42:59 openvpn[67657]: 109.40.66.230:10665 TLS Error: TLS object -> incoming plaintext read error
Jun 20 11:42:59 openvpn[67657]: 109.40.66.230:10665 TLS_ERROR: BIO read tls_read_plaintext error
Jun 20 11:42:59 openvpn[67657]: 109.40.66.230:10665 OpenSSL: error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed
Jun 20 11:42:59 openvpn[67657]: 109.40.66.230:10665 VERIFY ERROR: CRL not loaded
[...]
Jun 20 11:42:59 openvpn[67657]: 109.40.66.230:10665 CRL: cannot read CRL from file /var/etc/openvpn/server1.crl-verify
Greets
Byte
Ein Zertifikat muss in die CRL, dann geht's