Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:eduroam:anleitungen:radsecproxy [2024/11/14 08:29] – [Konfiguration der Föderationsserver] Ralf Paffrathde:eduroam:anleitungen:radsecproxy [2025/02/07 12:42] (aktuell) – [DFN-PKI] Ralf Paffrath
Zeile 36: Zeile 36:
 <alert>Die CA unterscheidet zwischen eduroam IdP und eduroam SP. Achten Sie hierbei also darauf, dass Sie bei der Beantragung das korrekte Zertifikatsprofil auswählen.</alert> <alert>Die CA unterscheidet zwischen eduroam IdP und eduroam SP. Achten Sie hierbei also darauf, dass Sie bei der Beantragung das korrekte Zertifikatsprofil auswählen.</alert>
  
-==== DFN-PKI ==== 
  
-<alert>Mit der Abkündigung der DFN-PKI zu Ende 2022 muss auf die eduroam-CA umgestellt werden.</alert> 
- 
-Zertifikate der DFN-PKI müssen mit dem Profil “RADIUS-Server” erstellt werden, Nur dann haben sie die benötigten Zertifikatsattribute. Die Zertifikate müssen über den PKI-Zugang Ihrer Einrichtung beantragt und genehmigt werden. 
- 
-Wird ein DFN-PKI-Zertifikat für die Authentifizierung genutzt, muss auch das Server-Zertifikat von den Föderationsservern gegen die DFN-PKI (bzw. gegen das Root-Zertifikat von TeleSec) geprüft werden. Dazu kann der TLS-Block in der ''%%radsecproxy.conf%%'' so aussehen: 
- 
-<code> 
-tls default { 
-    CACertificateFile   /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem 
-    CertificateFile     /etc/radsecproxy/ihr-dfn-pki-zertifikat.pem 
-    CertificateKeyFile  /etc/radsecproxy/ihr-dfn-pki-private-key.pem 
-} 
-</code> 
  
 ===== Konfiguration der Föderationsserver ===== ===== Konfiguration der Föderationsserver =====
  
-Der DFN betreibt 3 Föderationsserver mit folgenden Details:+Der DFN-Verein betreibt 3 Föderationsserver mit folgenden Details:
  
 ^Name           ^ ^Name           ^
Zeile 60: Zeile 46:
 |tld2.eduroam.de| |tld2.eduroam.de|
 |tld3.eduroam.de| |tld3.eduroam.de|
 +==== Clients ====
 <code> <code>
 client tld1.eduroam.de { client tld1.eduroam.de {
Zeile 76: Zeile 62:
     CertificateNameCheck Off     CertificateNameCheck Off
     MatchCertificateAttribute SubjectAltName:DNS:/^tld3\.eduroam\.de$/     MatchCertificateAttribute SubjectAltName:DNS:/^tld3\.eduroam\.de$/
-}+}</code> 
 +==== Server ==== 
 +<code>
 server tld1.eduroam.de { server tld1.eduroam.de {
     type tls     type tls
Zeile 167: Zeile 155:
 realm /\s/ { realm /\s/ {
     replymessage "Misconfigured client: Realm must not contain spaces"     replymessage "Misconfigured client: Realm must not contain spaces"
 +}
 +realm /^[^@]+$ {
 +    replymessage "Misconfigured client: Empty realm makes no sense."
 } }
  
  • Zuletzt geändert: vor 5 Monaten