eduroam CA

Die neue eduroam privat CA ist nun Online und wird in erster Linie für die sicheren Verbindungen zwischen den eduroam RadSec Client/Server in den Einrichtungen und den Föderations-Client/Server des DFN-Vereins verwendet. Es ist zu beachten, dass das Portal für die eduroam CA, noch sehr stark dem DFN-PCA Portal angelehnt ist. In den nächsten Wochen und Monaten werden wir daher noch Anpassungen vornhemen müssen.

Die Ziele, welche mit der neuen eduroam CA u.a. verfolgt werden, sind die folgenden:

  1. die eduroam RadSec Infrastruktur im DFN soll unabhängiger von den WEB Browser verankerten öffentlichen CA’s gestaltet werden, z.B. längere Laufzeiten der Zertifikate, etc.,
  2. die Anzahl der verwendeten CA`s auf den eduroam Föderations-Client/Server, wie zum Beispiel der TCS PKI, der DFN-PKI und der Let’sEncrypt (für eduroam SP) PKI soll auf die eduroam CA reduziert werden.

Das Beantragen der RadSec Client/Server Zertifikate für eduroam IdP's/SP's erfolgt informell durch die verantwortlichen eduroam Admins. Zertifikate aus der eduroam CA sind über das DFN-PKI Portal https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/pkcs10/1 beziehbar. Obwohl die eduroam CA über das Portal der DFN-PCA realisiert wird, signiert das eduroam Team die Zertifikate der eduroam CA.

Folgende Konventionen werden für die Zertifikate aus der nicht öffentlichen eduroam CA festgelegt:

  1. Die eduroam CA stellt ausschließlich Client/Server Zertifikate aus.
  2. Laufzeit aller Client/Server Zertifikate beträgt 3 Jahre (gibt die eduroam CA fest vor, beim Signieren).
  3. Die Schlüssellänge ist auf 4096 Bit festgelegt und wird auch über das oben angegebene Portal vorab geprüft.
  4. Es stehen die folgenden Profile für die Client/Server Zertifikate zur Verfügung: RadSec-Server, RadSec-Client, RadSec-Client/Server, RADIUS-Server.
  5. Der DN muss aussagekräftig sein und den Namen der Einrichtung enthalten. Folgendes Schema ist beim DN einzuhalten, die Pflichtattribute sind in eckigen Klammern dargestellt, Attributwerte in spitzen Klammern müssen durch die jeweiligen Werte ersetzt werden:[C=DE],ST=<Bundesland>,L=<Ort>,[O=<Organisation>],OU=<Organisationseinheit>,[CN=<Eindeutiger Name>].
  6. Beim subjectAlternativeName muss das folgende Schema eingehalten werden: dns:<Eindeutiger Name> (Hinweis: Es können auch mehrere Einträge des genannten Schemas angegeben werden. Die eindeutigen Namen müssen im DNS auflösbar sein und die Domain muss der Einrichtung gehören.).

Beispiel für die Generierung eines Zertifikats - Request:

           openssl req -new -newkey rsa:4096 -nodes -keyout radsec_client_server_key.pem -out radsec_client_server.pem

Es ist zu bedenken, das es sich bei der eduroam CA um eine nicht öffentliche CA handelt. Es geht hier um eine maßgeschneiderte CA ausschließlich für die Anwendung in eduroam im DFN. Der Einfachheit halber wurde daher ganz bewusst auf eine tiefgreifende Policy, wie es bei der DFN-PKI (Global) der Fall ist, verzichtet.

Schritt für Schritt wird nun erläutert wie die eduroam Admins zu den Zertifikaten aus der eduroam CA kommen.

  1. Zunächst wird mit den gängigen Mittel, wie es bereits bei der Vorbereitung für ein DFN-PKI (Global) Zertifikat bisher erforderlich war, ein PKCS#10 Zertifikats-Antrag generiert.
  2. Über den Link https://pki.pca.dfn.de/eduroam-ca/pub wird im Menü der Reiter Server Zertifikat ausgewählt.
  3. Den zuvor generierten PKCS#10 Antrag zum Hochladen auswählen.
  4. Das Zertifikatsprofil auswählen: eduroam IdP’s/SP’s wählen das Profil RadSec Client/Server, Einrichtungen, die nur eduroam SP sind, wählen das Profil RadSec-Client aus.
  5. Bei den weitere Angaben werden u.a. die Kontaktdaten abgefragt, bitte hier unbedingt eine Funktionsemail Adresse angegeben.
  6. Das Zertifikat wird nicht veröffentlich, die Checkbox bleibt also leer.
  7. Anschließend den Zertifikatsantrag herunterladen und als Anhang in einer mit einem Nutzerzertifikat der TCS oder DFN - PKI signierten EMail packen und an eduroam-ca@dfn.de senden, mit der Bitte um Genehmigung. eduroam SP's im Rahmen des eduroam Off - Campus nehmen vorher telefonisch Kontakt mit dem eduroam Team auf.
  8. Der Antrag wird vom eduroam Team geprüft und ggfs. die Client/Server Zertifikate signiert.
  9. Die eduroam Admins erhalten via email die RadSec Client/Server Zertifikate der eduroam CA.

Beispiel für den radsecproxy:

  tls default {
           CACertficatefile /etc/radsec/eduroam-root-ca.pem
           CertfificateFile /etc/radsec/myradsec-client-server-cert.pem
           CertificateKeyFile /etc/radsec/radsec_client_server_key.pem 
           CertificateKeyPassword <optional>    
  }
  

Bei Fragen/Unklarheiten zur neuen eduroam CA bitte email an eduroam@dfn.de.

  • Zuletzt geändert: vor 2 Wochen