eduroam CA
Beschreibung der eduroam CA
Die neue eduroam privat CA wird in erster Linie für die sicheren Verbindungen zwischen den eduroam RadSec Client/Server in den Einrichtungen und den Föderations-Client/Server des DFN-Vereins verwendet.
Die Ziele, welche mit der neuen eduroam CA u.a. verfolgt werden, sind die folgenden:
die eduroam RadSec Infrastruktur im DFN soll unabhängiger von den WEB Browser verankerten öffentlichen CA’s gestaltet werden, z.B. längere Laufzeiten der Zertifikate, etc.,
die Anzahl der verwendeten CA`s auf den eduroam Föderations-Client/Server, wie zum Beispiel der TCS PKI, der DFN-PKI und der Let’sEncrypt (für eduroam
SP) PKI soll auf die eduroam CA reduziert werden.
Das Beantragen der RadSec Client/Server Zertifikate für eduroam IdP's/SP's erfolgt informell durch die verantwortlichen eduroam Admins.
Zertifikate aus der eduroam CA sind über das DFN-PKI Portal https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/pkcs10/1 beziehbar.
Obwohl die eduroam CA über das Portal der DFN-PCA realisiert wird, signiert das eduroam Team die Zertifikate der eduroam CA.
Konventionen für die Zertifikate aus der nicht öffentlichen eduroam CA
Die eduroam CA stellt ausschließlich Client/Server Zertifikate aus.
Laufzeit aller Client/Server Zertifikate beträgt 3 Jahre (gibt die eduroam CA fest vor, beim Signieren).
Die Schlüssellänge ist auf 4096 Bit festgelegt und wird auch über das oben angegebene Portal vorab geprüft.
Es stehen die folgenden Profile für die Client/Server Zertifikate zur Verfügung: RadSec-Server, RadSec-Client, RadSec-Client/Server,
RADIUS-Server.
Der DN muss aussagekräftig sein und den Namen der Einrichtung enthalten. Folgendes Schema ist beim DN einzuhalten, die Pflichtattribute sind in eckigen Klammern dargestellt, die
fett markierten Attributwerte müssen gesetzt sein, die anderen sind optional:
C=DE,ST=<Bundesland>,L=<Ort>,
O=<Organisation (keine Akronyme)>,OU=<Organisationseinheit>,
CN=<FQDN>.
Beim subjectAlternativeName muss das folgende Schema eingehalten werden: dns:<Eindeutiger Name> (Hinweis: Es können auch mehrere Einträge des genannten Schemas angegeben werden. Die eindeutigen Namen müssen im
DNS auflösbar sein und die Domain muss der Einrichtung gehören.).
Beispiel für die Generierung eines Zertifikats-Signierungs-Antrags
openssl req -new -newkey rsa:4096 -nodes -keyout radsec_client_server_key.pem -out radsec_client_server_csr.pem
# Für die Generierung ohne Rückfragen kann das folgende Kommando benutzt werden (Werte in den spitzen Klammern entsprechend austauschen):
openssl req -new -newkey rsa:4096 -nodes -keyout radsec_client_server_key.pem -out radsec_client_server_csr.pem -subj "/C=DE/ST=<Bundesland>/L=<Ort>/O=<Organisationsname (keine Akronyme)>/CN=<FQDN>"
# Wer zusätzliche SubjectAltName Attribute haben möchte, kann das folgende noch anfügen:
-addext "subjectAltName = DNS:<FQDN 1>,DNS:<FQDN 2>,DNS:<FQDN 3>"
Es ist zu bedenken, das es sich bei der eduroam CA um eine nicht öffentliche CA handelt. Es geht hier um eine maßgeschneiderte CA ausschließlich für die Anwendung in eduroam im DFN. Der Einfachheit halber wurde daher ganz bewusst auf eine tiefgreifende Policy, wie es bei der DFN-PKI (Global) der Fall ist, verzichtet.
Wie wird ein eduroam CA Zertifikat beantragt?
Grundsätzlich gibt es zwei Möglichkeiten, um an ein Zertifikat der eduroam CA zu gelangen. In beiden Fällen sind die Konventionen zu beachten.
Bei der ersten Möglichkeit wird der private Schlüssel und der Zertifikats-Signierungs-Antrag Client-seitig durch den Web-Browser generiert. In dieser einfachen Form der Beantragung wird den Formular-Vorgaben gefolgt. Das Zertifikatsprofil auswählen: Einrichtungen, die eduroam IdP’s/SP’s sind, wählen das Profil RadSec Client/Server, Einrichtungen, die nur eduroam SP sind, wählen das Profil RadSec-Client aus. Es folgen die gängigen Angaben zur Einrichtung und zum Client/Server. Anschließend wird das PDF Antragsformular heruntergeladen und in eine mit einem Nutzerzertifikat der TCS oder DFN - PKI signierten Email gepackt und an eduroam-ca@dfn.de gesendet. Die zuvor gespeicherte Antragsdatei im JSON-Format enthält den privaten Schlüssel und wird aufbewahrt. Sobald das signierte Zertifikat vorliegt, wird das Werkzeug der Wahl genommen und die PKCS12 - Datei mit dem privaten Schlüssel aus der zuvor aufbewahrten JSON - Datei extrahiert. Voilà!
Bitte keine JSON-Dateien schicken, diese enthalten, den zuvor im Browser generierten privaten Schlüssel. Der ist zwar passwort-gesichert aber sollte dennoch die lokale Umgebung nicht verlassen. Für die Signatur des Zertifikats ist der private Schlüssel auch nicht erforderlich.
Bei der zweiten Möglichkeit wird der Zertifikats-Signierungs-Antrag lokal erstellt und anschließend zum PKI - Portal hochgeladen. Dazu sind folgende Schritte erforderlich:
Zunächst wird mit den gängigen Mittel, wie es bereits bei der Vorbereitung für ein DFN-PKI (Global) Zertifikat bisher erforderlich war, ein PKCS#10 Zertifikats-Antrag generiert.
Bitte die
Konventionen beachten. Ein Beispiel für die Generierung eines Zertifikatsantrags mit dem openssl-Kommando findet man:
hier
-
Den zuvor generierten PKCS#10 Antrag zum Hochladen auswählen.
Das Zertifikatsprofil auswählen: eduroam IdP’s/SP’s wählen das Profil RadSec Client/Server, Einrichtungen, die nur eduroam
SP sind, wählen das Profil RadSec-Client aus.
Bei den weitere Angaben werden u.a. die Kontaktdaten abgefragt, bitte hier unbedingt eine Funktions-Email Adresse angegeben.
Das Zertifikat wird nicht veröffentlicht, die Checkbox bleibt also leer.
Anschließend den Zertifikatsantrag herunterladen und als Anhang in einer mit einem Nutzerzertifikat der TCS oder DFN - PKI signierten Email packen und an eduroam-ca@dfn.de senden, mit der Bitte um Genehmigung. Alternativ dazu können die Zertifikatsanträge im PDF Format mit einem Nutzerzertifikat einer Public PKI signiert werden. eduroam
SP's im Rahmen des eduroam Off - Campus nehmen vorher telefonisch Kontakt mit dem eduroam Team auf.
Der Antrag wird vom eduroam Team geprüft und ggfs. die Client/Server Zertifikate signiert.
Die eduroam Admins erhalten via Email die RadSec Client/Server Zertifikate der eduroam CA.
Wechseln der Zertifikate
Bitte beachten, der Wechsel der Zertifikate geschieht nicht automatisch. Es wird das
eduroam RootCA Zertifikat und das Zertifikat des RadSec Client/Servers benötigt.
In der radsecproxy Konfiguration wird über die Direktive CACertificateFile im
TLS-Block die RootCA konfiguriert. Die Direktive CertificateFile enthält den Link auf das Client/Server Zertifikat und die Direktive CertificateKeyFile den privaten Schlüssel des Client/Server Zertifikats. Mit der eduroam CA wird es einfacher, da diese CA eine flache Hierarchie aufweist, Zwischen-CA's gibt es daher nicht. Der Wechsel kann abgesprochen werden. Hier reicht eine mail an eduroam@dfn.de mit dem Namen der Einrichtung, IP-Adresse des RadSec Client/Servers sowie Datum und Uhrzeit des Wechsels. Vorausgesetzt, dass sich der CN (Common Name) im RadSec Zertifikat nicht geändert hat, kann alternativ auch ohne Absprache das RadSec Client/Server Zertifikat gewechselt werden. Über die Direktive CACertficateFile die
eduroam RootCA zur bereits vorhandenen RootCA hinzufügen, die alte Root CA, in der Regel die DFN-PKI Root, noch nicht entfernen. Anschließend über die Direktiven CertficateFile, CertificateKeyFile das neue eduroam CA Zertifikat einpflegen.
Eine Beispiel-Konfiguration für die Konfiguration von Radsecproxy finden Sie auf dieser Seite: https://doku.tid.dfn.de/de:eduroam:anleitungen:radsecproxy#eduroam-ca unter dem Punkt „eduroam-CA“
Bei Fragen/Unklarheiten zur neuen eduroam CA bitte Email an eduroam@dfn.de.