<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:"Yu Gothic";

        panose-1:2 11 4 0 0 0 0 0 0 0;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:"Calibri Light";

        panose-1:2 15 3 2 2 2 4 3 2 4;}

@font-face

        {font-family:Consolas;

        panose-1:2 11 6 9 2 2 4 3 2 4;}

@font-face

        {font-family:"\@Yu Gothic";

        panose-1:2 11 4 0 0 0 0 0 0 0;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:#0563C1;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:#954F72;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri",sans-serif;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="#0563C1" vlink="#954F72">

<div class="WordSection1">

<p class="MsoNormal">Greetings,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">So, using Radiator to authenticate our wifi access points, and it has been brought to my attention that iPhones show my commercially purchased GoDaddy certificate is “Not trusted”.  I think this is the relevant part of the config file. 

<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">So, GoDaddy provides a certificate (xxxxxxx.pem) and their intermediate / root bundle:  gd_bundle-g2-g1.crt.

<o:p></o:p></p>

<p class="MsoNormal">I originally had EAPTLS_Certificate pointing to xxxxxxx.pem from GoDaddy, and EAPTLS_CAFile pointing to gd_bundle-g2-g1.crt. 

<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">So, since then, I’ve tried various permutations -- the most recent of which is below.  server.pem = xxxxxx.pem + the intermediate certificates from gd_bundle-g2-g1.crt.   And EAPTLS_CAFile is pointing to gd-class2-root.crt, which is the

 root certificate portion of gd_bundle-g2-g1.crt.  Still same error.  <o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I am trying to avoid having to install the intermediate certificate on every iPhone out there --for one thing, in this BYOD world, I don’t know that I should be installing on people’s personal devices. 

<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Suggestions or explanations of what I’m doing wrong would be appreciated.  Oh, and I think I’m running Radiator 1.143 -- it’s pretty old. 

<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Thanks!<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">                                                                                                -p<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span style="font-family:Consolas">#### Wireless Clients using PEAP #####<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas"># The most popular method, suported by default by Windows.  Does not require a client-side cert and is thus considered less secure<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas"># than EAP-TLS<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas"><Handler TunnelledByPEAP=1><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">        RejectHasReason<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">        AuthLog wifi-authlog<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">        <AuthBy NTLM><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                EAPTLS_CertificateChainFile  /etc/pki/tls/certs/server.pem<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                EAPTLS_PrivateKeyFile   /etc/pki/tls/private/server.key<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                EAPTLS_CAFile      /etc/pki/tls/certs/gd-class2-root.crt<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                NtlmAuthProg  /usr/bin/ntlm_auth --helper-protocol=ntlm-server-1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                Domain XXXXXXX<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                DefaultDomain XXXXXXX<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                EAPType MSCHAP-V2,PEAP,TTLS<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                EAPTLS_PEAPVersion 0<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                EAPTLS_CertificateType PEM<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                EAPTLS_MaxFragmentSize 1024<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                EAPAnonymous %0<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                SSLeayTrace 4<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">        </AuthBy><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas"></Handler><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">#### Outer Handler #####<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas"># When clients check the 'Validate Server Certificate' (or equivalent), then this stanza plays a key role<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas"><Handler><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">        AuthByPolicy    ContinueUntilAccept<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">        AuthLog wifi-authlog<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">        RejectHasReason<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">        <AuthBy FILE><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                Filename %D/users.anonymous<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                EAPType PEAP,TTLS<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                EAPTLS_PEAPVersion 0<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                EAPTLS_CertificateChainFile  /etc/pki/tls/certs/server.pem<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                EAPTLS_PrivateKeyFile   /etc/pki/tls/private/server.key<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                EAPTLS_CAFile      /etc/pki/tls/certs/gd-class2-root.crt<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                EAPTLS_CertificateType PEM<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                EAPTLS_MaxFragmentSize 1024<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                EAPAnonymous %0<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                AutoMPPEKeys<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">                SSLeayTrace 4<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas">        </AuthBy><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:Consolas"></Handler><o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span style="font-family:"Calibri Light",sans-serif;color:black">--</span><br>

Pat Hirayama<br>

Systems Engineer / 206.667.4856 / phirayam@fredhutch.org / Fred Hutch / Cures Start Here

<o:p></o:p></p>

<p class="MsoNormal">CIT | Advancing IT and Data Services to Accelerate the Elimination of Disease<span style="font-family:"Calibri Light",sans-serif"><o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</body>

</html>