Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:eduroam:admins:faq [2018/02/19 14:19] – [Warum sehe ich Zertifikatsmeldungen zu eduPKI?] Steffen Klemer
+++ de:eduroam:admins:faq [2018/04/20 12:01] (aktuell) – gelöscht Ralf Paffrath
@@ Zeile 1: / Zeile 1: @@
-====== Oft gefragte Fragen (Admin-Edition) ======
-===== Wie kann meine Einrichtung an eduroam teilnehmen? =====
-Das ist [[de:eduroam:join|hier beschrieben]].
-===== Warum sehe ich Zertifikatsmeldungen zu eduPKI? =====
-Dies passiert, wenn Ihre Server-IP noch nicht beim DFN hinterlegt ist. Erst dann zeigen die DFN-Server auch ein Zertifikat der DFN-PKI (mit Wurzel bei der Telekom). [[https://www.dfn.de/kontakt/|Kontaktieren Sie einfach den DFN]] und halten Sie IP des Servers sowie den CN-Eintrag seines Zertifikats bereit.
-**Hintergrund:**
-Die Kommunikation der TLD/Backbone-eduroam-Server erfolgt ebenfalls via RADSEC-Protokoll. Der Vertrauens-Anker hierbei ist ein Ast der sogenannten [[https://www.edupki.org/|eduPKI]]. Das ist der Ursprung dieses Zertifikats. Nun bleibt die Frage, warum wir dies als Default tragen und nicht das der DFN PKI: Für die Länder-Domains wie .se, .de, .fr etc. ist das Routing im Backbone sehr einfach und strikt hierarchisch lösbar -- alles geht zum jeweiligen NREN. Wohin aber mit .eu? Und warum überhaupt so unflexibel statisch? Als Lösung gibt es die so-genannten [[https://wiki.geant.org/display/H2eduroam/DNS-NAPTR|NAPRT-Einträge im DNS für eduroam]], die besagen, wie der Heimat-eduroam-Server dieses Realms heißt. Damit kann nun aber plötzlich jeder eduroam Backbone-Server die DFN-Server mit berechtigtem Interesse kontaktieren und es muss immer zuerst das eduPKI-Zertifikat gezeigt werden. Und leider sieht TLS keinen //Blumenstrauß// für eine Zertifikatsauswahl vor, weshalb nur der harte Weg einer händischen Konfiguration der DFN-PKI-sprechenden Server bleibt.
-Heimateinrichtungen sind nicht berechtigt, eduroam-Backbone-fähige Zertifikate der eduPKI zu bekommen. Dies ist auch nicht notwendig.
-===== Wie heißen die DFN radsec Server und was für ein Zertifikat haben sie? =====
-  * tld1.eduroam.de: 193.174.75.134, Regulärer Ausdruck für den CN: ''/^(radius1\.dfn|tld1\.eduroam)\.de$/''
-  * tld2.eduroam.de: 193.174.75.138, Regulärer Ausdruck für den CN: ''/^(radius2\.dfn|tld2\.eduroam)\.de$/''
-  * Die Zertifikate beider Server wurden signiert durch die **neue ODER alte DFN PKI**. Momentan (Feb 2018) //müssen// Teilnehmer der .de eduroam Föderation //beide PKIs unterstützen//. Die Signatur ist von ''/C=DE/O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V./OU=DFN-PKI/CN=DFN-Verein Certification Authority 2'' ODER ''/C=DE/O=DFN-Verein/OU=Geschaeftsstelle/CN=DFN-Verein-GS-CA - G02'' .