eduroam CA
Beschreibung der eduroam CA
Die neue eduroam privat CA wird in erster Linie für die sicheren Verbindungen zwischen den eduroam RadSec Client/Server in den Einrichtungen und den Föderations-Client/Server des DFN-Vereins verwendet.
Die Ziele, welche mit der neuen eduroam CA u.a. verfolgt werden, sind die folgenden:
- die eduroam RadSec Infrastruktur im DFN soll unabhängiger von den WEB Browser verankerten öffentlichen CA’s gestaltet werden, z.B. längere Laufzeiten der Zertifikate, etc.,
- die Anzahl der verwendeten CA`s auf den eduroam Föderations-Client/Server, wie zum Beispiel der TCS PKI, der DFN-PKI und der Let’sEncrypt (für eduroam SP) PKI soll auf die eduroam CA reduziert werden.
Das Beantragen der RadSec Client/Server Zertifikate für eduroam IdP's/SP's erfolgt informell durch die verantwortlichen eduroam Admins. Zertifikate aus der eduroam CA sind über das DFN-PKI Portal https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/pkcs10/1 beziehbar. Obwohl die eduroam CA über das Portal der DFN-PCA realisiert wird, signiert das eduroam Team die Zertifikate der eduroam CA.
Konventionen für die Zertifikate aus der nicht öffentlichen eduroam CA
- Die eduroam CA stellt ausschließlich Client/Server Zertifikate aus.
- Laufzeit aller Client/Server Zertifikate beträgt 3 Jahre (gibt die eduroam CA fest vor, beim Signieren).
- Die Schlüssellänge ist auf 4096 Bit festgelegt und wird auch über das oben angegebene Portal vorab geprüft.
- Es stehen die folgenden Profile für die Client/Server Zertifikate zur Verfügung: RadSec-Server, RadSec-Client, RadSec-Client/Server, RADIUS-Server.
- Der DN muss aussagekräftig sein und den Namen der Einrichtung enthalten. Folgendes Schema ist beim DN einzuhalten, die Pflichtattribute sind in eckigen Klammern dargestellt, die fett markierten Attributwerte müssen gesetzt sein, die anderen sind optional:C=DE,ST=<Bundesland>,L=<Ort>,O=<Organisation (keine Akronyme)>,OU=<Organisationseinheit>,CN=<FQDN>.
- Beim subjectAlternativeName muss das folgende Schema eingehalten werden: dns:<Eindeutiger Name> (Hinweis: Es können auch mehrere Einträge des genannten Schemas angegeben werden. Die eindeutigen Namen müssen im DNS auflösbar sein und die Domain muss der Einrichtung gehören.).
Beispiel für die Generierung eines Zertifikats-Signierungs-Antrags
openssl req -new -newkey rsa:4096 -nodes -keyout radsec_client_server_key.pem -out radsec_client_server_csr.pem # Für die Generierung ohne Rückfragen kann das folgende Kommando benutzt werden (Werte in den spitzen Klammern entsprechend austauschen): openssl req -new -newkey rsa:4096 -nodes -keyout radsec_client_server_key.pem -out radsec_client_server_csr.pem -subj "/C=DE/ST=<Bundesland>/L=<Ort>/O=<Organisationsname (keine Akronyme)>/CN=<FQDN>" # Wer zusätzliche SubjectAltName Attribute haben möchte, kann das folgende noch anfügen: -addext "subjectAltName = DNS:<FQDN 1>,DNS:<FQDN 2>,DNS:<FQDN 3>"
Es ist zu bedenken, das es sich bei der eduroam CA um eine nicht öffentliche CA handelt. Es geht hier um eine maßgeschneiderte CA ausschließlich für die Anwendung in eduroam im DFN. Der Einfachheit halber wurde daher ganz bewusst auf eine tiefgreifende Policy, wie es bei der DFN-PKI (Global) der Fall ist, verzichtet.
Wie wird ein eduroam CA Zertifikat beantragt?
Grundsätzlich gibt es zwei Möglichkeiten, um an ein Zertifikat der eduroam CA zu gelangen. In beiden Fällen sind die Konventionen zu beachten.
Bei der ersten Möglichkeit wird der private Schlüssel und der Zertifikats-Signierungs-Antrag Client-seitig durch den Web-Browser generiert. In dieser einfachen Form der Beantragung wird den Formular-Vorgaben gefolgt. Das Zertifikatsprofil auswählen: Einrichtungen, die eduroam IdP’s/SP’s sind, wählen das Profil RadSec Client/Server, Einrichtungen, die nur eduroam SP sind, wählen das Profil RadSec-Client aus. Es folgen die gängigen Angaben zur Einrichtung und zum Client/Server. Anschließend wird das PDF Antragsformular heruntergeladen und in eine mit einem Nutzerzertifikat der TCS oder DFN - PKI signierten Email gepackt und an eduroam-ca@dfn.de gesendet. Die zuvor gespeicherte Antragsdatei im JSON-Format enthält den privaten Schlüssel und wird aufbewahrt. Sobald das signierte Zertifikat vorliegt, wird das Werkzeug der Wahl genommen und die PKCS12 - Datei mit dem privaten Schlüssel aus der zuvor aufbewahrten JSON - Datei extrahiert. Voilà!
Bei der zweiten Möglichkeit wird der Zertifikats-Signierungs-Antrag lokal erstellt und anschließend zum PKI - Portal hochgeladen. Dazu sind folgende Schritte erforderlich:
- Zunächst wird mit den gängigen Mittel, wie es bereits bei der Vorbereitung für ein DFN-PKI (Global) Zertifikat bisher erforderlich war, ein PKCS#10 Zertifikats-Antrag generiert.Bitte die Konventionen beachten. Ein Beispiel für die Generierung eines Zertifikatsantrags mit dem openssl-Kommando findet man: hier
- Über den Link https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/pkcs10/1 gelangt man direkt ins Menü für den PKCS#10 Antrag.
- Den zuvor generierten PKCS#10 Antrag zum Hochladen auswählen.
- Das Zertifikatsprofil auswählen: eduroam IdP’s/SP’s wählen das Profil RadSec Client/Server, Einrichtungen, die nur eduroam SP sind, wählen das Profil RadSec-Client aus.
- Bei den weitere Angaben werden u.a. die Kontaktdaten abgefragt, bitte hier unbedingt eine Funktions-Email Adresse angegeben.
- Das Zertifikat wird nicht veröffentlicht, die Checkbox bleibt also leer.
- Anschließend den Zertifikatsantrag herunterladen und als Anhang in einer mit einem Nutzerzertifikat der TCS oder DFN - PKI signierten Email packen und an eduroam-ca@dfn.de senden, mit der Bitte um Genehmigung. Alternativ dazu können die Zertifikatsanträge im PDF Format mit einem Nutzerzertifikat einer Public PKI signiert werden. eduroam SP's im Rahmen des eduroam Off - Campus nehmen vorher telefonisch Kontakt mit dem eduroam Team auf.
- Der Antrag wird vom eduroam Team geprüft und ggfs. die Client/Server Zertifikate signiert.
- Die eduroam Admins erhalten via Email die RadSec Client/Server Zertifikate der eduroam CA.
Wechseln der Zertifikate
Eine Beispiel-Konfiguration für die Konfiguration von Radsecproxy finden Sie auf dieser Seite: https://doku.tid.dfn.de/de:eduroam:anleitungen:radsecproxy#eduroam-ca unter dem Punkt „eduroam-CA“
Bei Fragen/Unklarheiten zur neuen eduroam CA bitte Email an eduroam@dfn.de.