Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
de:eduroam:eduroam-ca [2024/01/23 15:01] – [Wie wird ein eduroam CA Zertifikat beantragt?] Ralf Paffrath | de:eduroam:eduroam-ca [2024/01/26 10:37] (aktuell) – [Wie wird ein eduroam CA Zertifikat beantragt?] Ralf Paffrath |
---|
| |
==== Wie wird ein eduroam CA Zertifikat beantragt? ==== | ==== Wie wird ein eduroam CA Zertifikat beantragt? ==== |
Grundsätzlich gibt es zwei Möglichkeiten, um an ein Zertifikat der eduroam CA zu gelangen. In beiden Fällen sind die [[de:eduroam:eduroam-ca#konventionen_fuer_die_zertifikate_aus_der_nicht_oeffentlichen_eduroam_ca|Konventionen]] zu beachetn. | Grundsätzlich gibt es zwei Möglichkeiten, um an ein Zertifikat der eduroam CA zu gelangen. In beiden Fällen sind die [[de:eduroam:eduroam-ca#konventionen_fuer_die_zertifikate_aus_der_nicht_oeffentlichen_eduroam_ca|Konventionen]] zu beachten. |
| |
Bei dieser Möglichkeit wird der private Schlüssel und der Zertifikats-Signierungs-Antrag Client-seitig durch den [[https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/server/1|Web-Browser]] generiert. In dieser einfachen Form der Beantragung wird den Formular-Vorgaben gefolgt. Das Zertifikatsprofil auswählen: eduroam IdP’s/SP’s wählen das Profil RadSec Client/Server, Einrichtungen, die nur eduroam SP sind, wählen das Profil RadSec-Client aus. Es folgen die gängigen Angaben zur Einrichtung und zum Client/Server. Anschließend wird das PDF Antragsformular heruntergeladen und in eine mit einem Nutzerzertifikat der TCS oder DFN - PKI signierten Email gepackt und an eduroam-ca@dfn.de gesendet. Die zuvor gespeicherte Antragsdatei im JSON-Format enthält den privaten Schlüssel und wird aufbewahrt. Sobald das signierte Zertifikat vorliegt, wird das [[https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates|Werkzeug der Wahl]] genommen und die PKCS12 - Datei mit dem privaten Schlüssel aus der zuvor aufbewahrten JSON - Datei extrahiert. Voilà! | Bei der ersten Möglichkeit wird der private Schlüssel und der Zertifikats-Signierungs-Antrag Client-seitig durch den [[https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/server/1|Web-Browser]] generiert. In dieser einfachen Form der Beantragung wird den Formular-Vorgaben gefolgt. Das Zertifikatsprofil auswählen: Einrichtungen, die eduroam IdP’s/SP’s sind, wählen das Profil RadSec Client/Server, Einrichtungen, die nur eduroam SP sind, wählen das Profil RadSec-Client aus. Es folgen die gängigen Angaben zur Einrichtung und zum Client/Server. Anschließend wird das PDF Antragsformular heruntergeladen und in eine mit einem Nutzerzertifikat der TCS oder DFN - PKI signierten Email gepackt und an eduroam-ca@dfn.de gesendet. Die zuvor gespeicherte Antragsdatei im JSON-Format enthält den privaten Schlüssel und wird aufbewahrt. Sobald das signierte Zertifikat vorliegt, wird das [[https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates|Werkzeug der Wahl]] genommen und die PKCS12 - Datei mit dem privaten Schlüssel aus der zuvor aufbewahrten JSON - Datei extrahiert. Voilà! |
| |
<alert> Bitte keine JSON-Dateien schicken, diese enthalten, den zuvor im Browser generierten privaten Schlüssel. Der ist zwar passwort-gesichert aber sollte dennoch die lokale Umgebung nicht verlassen. Für die Signatur des Zertifikats ist der private Schlüssel auch nicht erforderlich.</alert> | <alert> Bitte keine JSON-Dateien schicken, diese enthalten, den zuvor im Browser generierten privaten Schlüssel. Der ist zwar passwort-gesichert aber sollte dennoch die lokale Umgebung nicht verlassen. Für die Signatur des Zertifikats ist der private Schlüssel auch nicht erforderlich.</alert> |