Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | Nächste ÜberarbeitungBeide Seiten der Revision |
| de:eduroam:eduroam-ca [2023/11/08 09:18] – [Konventionen für die Zertifikate aus der nicht öffentlichen eduroam CA] Ralf Paffrath | de:eduroam:eduroam-ca [2024/01/22 20:52] – [Wechseln der Zertifikate] Ralf Paffrath |
|---|
| ==== Wechseln der Zertifikate ==== | ==== Wechseln der Zertifikate ==== |
| <alert>Bitte beachten, der Wechsel der Zertifikate geschieht nicht automatisch. Es wird das [[https://pki.pca.dfn.de/eduroam-ca/pub/cacert/chain.txt|eduroam RootCA]] Zertifikat und das Zertifikat des RadSec Client/Servers benötigt. | <alert>Bitte beachten, der Wechsel der Zertifikate geschieht nicht automatisch. Es wird das [[https://pki.pca.dfn.de/eduroam-ca/pub/cacert/chain.txt|eduroam RootCA]] Zertifikat und das Zertifikat des RadSec Client/Servers benötigt. |
| In der radsecproxy Konfiguration wird über die Direktive CACertificateFile im TLS-Block die RootCA konfiguriert. Die Directive CertificateFile enthält den Link auf das Client/Server Zertifikat und die Directive CertificateKeyFile den privaten Schlüssel des Client/Server Zertifikats. Mit der eduroam CA wird es einfacher, da diese CA eine flache Hierarchie aufweist, Zwischen-CA's gibt es daher nicht. Der Wechsel kann abgesprochen werden. Hier reicht eine mail an eduroam@dfn.de mit dem Namen der Einrichtung, IP-Adresse des RadSec Client/Servers sowie Datum und Uhrzeit des Wechsels. Vorausgesetzt, dass sich der CN (Common Name) im RadSec Zertifikat nicht geändert hat, kann alternativ auch ohne Absprache das RadSec Client/Server Zertifikat gewechselt werden. Über die Direktive CACertficateFile die [[https://pki.pca.dfn.de/eduroam-ca/pub/cacert/chain.txt|eduroam RootCA]] zur bereits vorhandenen RootCA hinzufügen, die alte Root CA, in der Regel die DFN-PKI Root, noch nicht entfernen. Anschließend über die Direktiven CertficateFile, CertificateKeyFile das neue eduroam CA Zertifikat einpflegen. | In der radsecproxy Konfiguration wird über die Direktive CACertificateFile im TLS-Block die RootCA konfiguriert. Die Direktive CertificateFile enthält den Link auf das Client/Server Zertifikat und die Direktive CertificateKeyFile den privaten Schlüssel des Client/Server Zertifikats. Mit der eduroam CA wird es einfacher, da diese CA eine flache Hierarchie aufweist, Zwischen-CA's gibt es daher nicht. Der Wechsel kann abgesprochen werden. Hier reicht eine mail an eduroam@dfn.de mit dem Namen der Einrichtung, IP-Adresse des RadSec Client/Servers sowie Datum und Uhrzeit des Wechsels. Vorausgesetzt, dass sich der CN (Common Name) im RadSec Zertifikat nicht geändert hat, kann alternativ auch ohne Absprache das RadSec Client/Server Zertifikat gewechselt werden. Über die Direktive CACertficateFile die [[https://pki.pca.dfn.de/eduroam-ca/pub/cacert/chain.txt|eduroam RootCA]] zur bereits vorhandenen RootCA hinzufügen, die alte Root CA, in der Regel die DFN-PKI Root, noch nicht entfernen. Anschließend über die Direktiven CertficateFile, CertificateKeyFile das neue eduroam CA Zertifikat einpflegen. |
| </alert> | </alert> |
| |