使用hostap作为认证服务器的GTC协议测试方法

1、使用Hostapd作为Radius用到的工具：Hostapd用来做radius服务器Funk client无线网卡管理工具，支持EAP-GTC。用WPA-supplicant也可以。服务器的配置配置.config文件下载hostapd，解压后进入/hostapd目录执行cp deconfig .config /生成 .config 文件vim .config /配置 .config 文件CONFIG_DRIVER_WIRED=yCONFIG_DRIVER_NONE=yCONFIG_EAP=yCONFIG_EAP_MD5=yCONFIG_EAP_TLS=yCONFIG_EAP_MSCHAPV2=

2、yCONFIG_EAP_PEAP=yCONFIG_EAP_GTC=yCONFIG_EAP_TTLS=yCONFIG_EAP_SIM=yCONFIG_EAP_AKA=yCONFIG_EAP_PAX=yCONFIG_EAP_PSK=yCONFIG_EAP_SAKE=yCONFIG_EAP_GPSK=yCONFIG_EAP_GPSK_SHA256=y#CONFIG_EAP_FAST=yCONFIG_EAP_IKEV2=yCONFIG_EAP_TNC=yCONFIG_PKCS12=yCONFIG_RADIUS_SERVER=y其他都用不着的注释掉就可以了。#CONFIG_EAP_FAST这一项也注释掉

3、，否则编译不过，没找到具体原因。EAP的类型按需取舍。makemake install配置hostapd.conf这个是配置文件，要对其进行必要的修改。#vim hostapd.confinterface=eth0/这里设置你用来提供服务的网卡接口名logger_syslog=-1logger_syslog_level=2logger_stdout=-1logger_stdout_level=2dump_file=/tmp/hostapd.dumpctrl_interface=/var/run/hostapdctrl_interface_group=0/上面这一段都是默认设置eap_serve

4、r=1eap_user_file=/etc/hostapd.eap_userca_cert=/home/ssl/certs/ca.crt.pemserver_cert=/home/ssl/certs/server.crt.pemprivate_key=/home/ssl/private/serverkey.pemradius_server_clients=etc/hostapd.radius_clientsradius_server_auth_port=1812文件路径可以自己设定，但是证书相关的路径最好是在哪里生成就指向哪里。我把hostapd.eap_user和radius_clients

5、直接放在/etc下面，系统中没有这两个文件的，需要自己添加。hostapd.eap_user和hostapd.radius_clients其中保存的是用户名、策略、密码。如："user" MD5 "password""example user" TLS"DOMAINuser" MSCHAPV2 "password""gtc user" GTC "password"注意：每一行都要顶格，在"的前面不要留任何东西，否则会报错。Hostapd.radi

6、us_clients中保存的是radius客户端，一个IP地址对应一个密码。如：192.168.1.1 secret证书的生成首先在/home目录下建立ssl目录:cd /homemkdir sslcd ssl建立几个要用到的目录:mkdir private certs newcerts crl其中private主要用来存放私钥的.certs用于存入签出的证书cp /etc/ssl/f /home/ssl /不同的系统这个文件的路径不一样 将配置文件复制到当前目录构建相关文件:echo 构建索引文件index.txtecho 0>index.txtecho 构建序列号文件serialec

7、ho 01>serial设定环境变量export OPENSSL_CONF="/home/ssl/f"更改f中的配置:dir = /home/ssl 产生一个随机数文件：openssl rand -out /home/ssl/private/.rand 1000下面才开始建立根证书：1.制作私钥：openssl genrsa -des3 -out private/ca.key.pem 2048这来细细讲一下这条命令： openssl指进入openssl环境，genrsa是openssl中的一个小应用程序，用来产生rsa私钥。-des3是指将产生的私钥用triple D

8、ES进行加密。这是个可选项，还有-des -idea都是对称加密算法，随你自己选择. -out就是指定输出了，如果不加这个选项的话，就会将输出发到标准输出中.2048指私钥的长度，单们是bit，默认是512输入这条命令后，产生私钥，提示你设定密码.2.填写证书申请表：openssl req -new -key private/ca.key.pem -out ca.req.pem提示你私钥的密码，一步一步输入就行了。因为证书中要有公钥，和个人信息，所以我们指定私钥，程序推导出公钥，供申请表用。3.自己签定根签书：openssl x509 -req -days 1000 -sha1 -extens

9、ions v3_ca -signkey private/ca.key.pem -in ca.req.pem -out certs/ca.crt.pem这里生成的ca.crt.pem就是hostapd.conf中ca_cert所对应的根证书。其中的days是指证书的有效天数，shda1是消息摘要函数算法，默入为md5，-signkey指定用于签证的私钥，运行过程中，要输入私钥的密码和设定书密码。制作服务器端的证书并用ca签名：1、产生一个rsa私钥，在此，我们不用密码保护。openssl genrsa -out private/serverkey.pem 10242、填写证书申请表：openss

10、l req -new -key private/serverkey.pem -out server.req.pem或写为：#openssl req -new -key private/client_wang.key.pem out client_wang.req.pem -subj "/C=CN/ST=GD/L=ST/O=STDX/OU=GX203/CN=Wangyoubang/emailAddress=wangyoubang5858"3、用先前产生的认证中心的私钥对申请表进行签名：openssl x509 -req -days 100 -sha1 -extensions

11、v3_req -CA certs/ca.crt.pem -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in server.req.pem -out certs/server.crt.pem这里的server.crt.pem就是hostapd.conf中server_cert所对应的服务器证书。在/home/ssl里面有一个private文件夹，里面的serverkey.pem就是hostapd.conf中private_key所对应密钥文件。基中的CA选项指定的是认证中心的证书，也就是上面我们自签名产生的证书，CAkey

12、就是认证中心的私钥，CAserial也许是指签发产生的序列号吧！如果我们想将证书转成p12格式的：openssl pkcs12 -export -clcerts -in certs/server.crt.pem -inkey private/serverkey.pem -out certs/server.p12制做用户的证书并用ca签名：（与生成服务器证书差不多）1、产生一个rsa私钥，在此，我们不用密码保护。openssl genrsa -out private/clientkey.pem 10242、填写证书申请表：openssl req -new -key private/clientk

13、ey.pem -out clientkey.req.pem或后面指定：-subj "/C=CN/ST=GD/L=ST/O=STDX/OU=GX203/CN=Wangyoubang/emailAddress=wangyoubang5858"3、用先前产生的认证中心的私钥对申请表进行签名：生成crt格式.openssl x509 -req -days 100 -sha1 -extensions v3_req -CA certs/ca.crt.pem -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in se

14、rver.req.pem -out certs/client.crt.pem 生成cer格式openssl x509 -req -days 100 -sha1 -extensions v3_req -CA certs/ca.crt.pem -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in client_wang.req.pem -out certs/client_wang.cer以上步骤都完成后，服务器就算是搞好了。进入到hostapd目录hostapd hostapd.conf dd如果都正确配置了，server就能起来了。Funk client的使用Funk client是一个用于管理无线网卡的工具。对EAP扩展方法支持的比较全。没有破解的，安装时选择试用30天，到期卸载重装。卸载的时候注册表也要完全清空。上图是软件的界