Connexion 802.1X EAP TLS avec Network Manager

Valable pour les Red Hat et dérivés (CentOS, Fedora etc.)

L'interface de NetworkManager dans GNOME pour se connecter à un réseau protégé par 802.1X en EAP-TLS est….quelque peu buguée. Le plus simple est de configurer ça à la main

Créer le répertoire /etc/NetworkManager/certs (et un sous répertoire pour le profile à créer)
Y placer les certificats au format PEM
- La CA qui a signé le certificat du serveur radius
- Le certificat client
- La clé privée du client

La clé privée doit être protégée par un mot de passe

La clé privée ne doit pas utiliser un chiffrement AES256, si c'est le cas, NetworkManager ne verra même plus le profile de connexion. Utilisez du DES

openssl rsa -des -in client.key -out client.protected.key

Créer le profile de connexion dans /etc/sysconfig/network-scripts/ifcfg-<SSID>

HWADDR=74:E5:0B:DB:BA:5A
ESSID=domain_EAPTLS
MODE=Managed
KEY_MGMT=WPA-EAP
SECURITYMODE=open
SSID_HIDDEN=yes
MAC_ADDRESS_RANDOMIZATION=default
TYPE=Wireless
IEEE_8021X_EAP_METHODS=TLS
IEEE_8021X_IDENTITY=client.domain.com
IEEE_8021X_DOMAIN_MATCH=domain.com
IEEE_8021X_CA_CERT=/etc/NetworkManager/certs/domain/radius_ca.crt
IEEE_8021X_PRIVATE_KEY=/etc/NetworkManager/certs/domain/client.domain.com.protected.key
IEEE_8021X_CLIENT_CERT=/etc/NetworkManager/certs/domain/client.domain.com.crt
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=dhcp
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=domain_EAPTLS
UUID=083c03e8-e2c7-4821-bda8-3fcf36375f7c
ONBOOT=yes

Recharger les profiles

nmcli conn reload