Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
de:eduroam:eduroam-ca [2025/09/26 10:01] – [Wie wird ein eduroam CA Zertifikat beantragt?] Ralf Paffrathde:eduroam:eduroam-ca [2026/03/12 12:50] (aktuell) – Neustrukturierung der Anleitungsseite für die eduroam-CA Jan-Frederik Rieckers
Zeile 1: Zeile 1:
- ====== eduroam CA ======+====== eduroam CA ======
  
-===== Beschreibung der eduroam CA =====+===== Was ist die eduroam CA=====
  
-Die neue [[https://pki.pca.dfn.de/eduroam-ca/pub|eduroam privat CA]] wird in erster Linie für die sicheren Verbindungen zwischen den eduroam RadSec Client/Server in den Einrichtungen und den Föderations-Client/Server des DFN-Vereins verwendet.+Die [[https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/pkcs10/1|eduroam CA]] ist eine private CA für eduroam in Deutschland, die vom DFN-Verein angeboten und betrieben wird
  
-Die Ziele, welche mit der neuen eduroam CA u.a. verfolgt werden, sind die folgenden: +Der primäre Anwendungsfall ist die Absicherung der RADIUS/TLS(RadSec)-Infrastuktur für die RADIUS-Kommunikation zwischen den Einrichtungen und den Föderationsproxies des DFN-Vereins.
-  - die eduroam RadSec Infrastruktur im DFN soll unabhängiger von den WEB Browser verankerten öffentlichen CA’s gestaltet werden, z.B. längere Laufzeiten der Zertifikate, etc.,  +
-  die Anzahl der verwendeten CA`s auf den eduroam Föderations-Client/Server, wie zum Beispiel der TCS PKI, der DFN-PKI und der Let’sEncrypt (für eduroam SP) PKI soll auf die eduroam CA reduziert werden.+
  
-Das Beantragen der RadSec Client/Server Zertifikate für eduroam IdP's/SP's erfolgt informell durch die verantwortlichen eduroam Admins. +Zusätzlich kann die CA für RADIUS-Server genutzt werden.
-Zertifikate aus der eduroam CA sind über das DFN-PKI Portal  https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/pkcs10/1 beziehbar. +
-Obwohl die eduroam CA über das Portal der DFN-PCA realisiert wird, signiert das eduroam Team die Zertifikate der eduroam CA.+
  
-==== Konventionen für die Zertifikate aus der nicht öffentlichen eduroam CA ==== +Da die private CA nicht an die Vorgaben des CA/Browser-Forums gebunden ist, sind längere Zertifikatslaufzeiten und spezielle Zertifikats-Attribute möglich.
-  - Die eduroam CA stellt ausschließlich Client/Server Zertifikate aus. +
-  - Laufzeit aller Client/Server Zertifikate beträgt 3 Jahre (gibt die eduroam CA fest vor, beim Signieren). +
-  - Die Schlüssellänge ist auf 4096 Bit festgelegt und wird auch über das oben angegebene Portal vorab geprüft. +
-  - Es stehen die folgenden Profile für die Client/Server Zertifikate zur Verfügung: RadSec-Server, RadSec-Client, RadSec-Client/Server, RADIUS-Server. +
-  - Der DN muss aussagekräftig sein und den Namen der Einrichtung enthalten.  Folgendes Schema ist beim DN  einzuhaltendie Pflichtattribute sind in eckigen Klammern dargestellt, die **fett markierten Attributwerte müssen gesetzt sein**, die anderen sind optional:**C=DE**,ST=<Bundesland>,L=<Ort>,**O=<Organisation (keine Akronyme)>**,OU=<Organisationseinheit>,**CN=<FQDN>**. +
-  Beim subjectAlternativeName muss das folgende Schema eingehalten werden: dns:<Eindeutiger Name>  (Hinweis: Es können auch mehrere Einträge des genannten Schemas angegeben werden. Die eindeutigen Namen müssen im DNS auflösbar sein und die Domain muss der Einrichtung gehören.).+
  
-=== Beispiel für die Generierung eines Zertifikats-Signierungs-Antrags ===+Das Root-Zertifikat ([[https://pki.pca.dfn.de/eduroam-ca/pub/cacert/chain.txt]]) hat die folgende Daten: 
 +^ Subject: | C DE, O Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., CN eduroam Service Root CA | 
 +^ Gültig ab: | Jan 26 14:08:41 2022 GMT | 
 +^ Gültig bis: | Jan 21 14:08:41 2042 GMT | 
 +^ SHA-1-Fingerprint: | DE:51:91:98:FE:5B:B3:8A:50:13:55:B9:DD:5B:F6:D9:B8:32:C5:C7 | 
 +^ SHA-256-Fingerprint: | 8A:06:11:E8:96:A6:48:B0:9F:0E:46:F0:EF:DB:D8:D6:9C:8B:18:8D:B3:80:91:58:62:6F:11:32:75:96:2D:C9 |
  
-             openssl req -new -newkey rsa:4096 -nodes -keyout radsec_client_server_key.pem -out radsec_client_server_csr.pem +Die von der eduroam CA ausgestellten Zertifikate haben einen Gültigkeitszeitraum von 37 Monaten (3 Jahre + 1 Monat).
-              +
-             # Für die Generierung ohne Rückfragen kann das folgende Kommando benutzt werden (Werte in den spitzen Klammern entsprechend austauschen): +
-             openssl req -new -newkey rsa:4096 -nodes -keyout radsec_client_server_key.pem -out radsec_client_server_csr.pem -subj "/C=DE/ST=<Bundesland>/L=<Ort>/O=<Organisationsname (keine Akronyme)>/CN=<FQDN>" +
-             # Wer zusätzliche SubjectAltName Attribute haben möchte, kann das folgende noch anfügen: +
-             -addext "subjectAltName = DNS:<FQDN 1>,DNS:<FQDN 2>,DNS:<FQDN 3>" +
-Es ist zu bedenken, das es sich bei der eduroam CA um eine nicht öffentliche CA handelt. Es geht hier um eine maßgeschneiderte CA ausschließlich für die Anwendung in eduroam im DFN. Der Einfachheit halber wurde daher ganz bewusst auf eine tiefgreifende Policy, wie es bei der DFN-PKI (Globalder Fall ist, verzichtet.+
  
-==== Wie wird ein eduroam CA Zertifikat beantragt? ==== +===== Zertifikatsprofile =====
-Grundsätzlich gibt es zwei Möglichkeiten, um an ein Zertifikat der eduroam CA zu gelangen. In beiden Fällen sind die [[de:eduroam:eduroam-ca#konventionen_fuer_die_zertifikate_aus_der_nicht_oeffentlichen_eduroam_ca|Konventionen]] zu beachten.+
  
-Bei der ersten Möglichkeit wird der private Schlüssel und der Zertifikats-Signierungs-Antrag Client-seitig durch den [[https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/server/1|Web-Browser]] generiert. In dieser einfachen Form der Beantragung wird den Formular-Vorgaben gefolgt. Das Zertifikatsprofil auswählen: Einrichtungen, die eduroam IdP’s/SP’s sind, wählen das Profil RadSec Client/Server, Einrichtungen, die nur eduroam SP sind, wählen das Profil RadSec-Client aus. Es folgen die gängigen Angaben zur Einrichtung und zum Client/Server. Anschließend wird das PDF Antragsformular heruntergeladen und in eine mit einem Nutzerzertifikat der HARICA - oder DFN - PKI signierten Email gepackt und an eduroam-ca@dfn.de gesendet. Die zuvor gespeicherte Antragsdatei im JSON-Format enthält den privaten Schlüssel und wird aufbewahrt. Sobald das signierte Zertifikat vorliegt, wird das [[https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates|Werkzeug der Wahl]] genommen und die PKCS12 - Datei mit dem privaten Schlüssel aus der zuvor aufbewahrten JSON - Datei extrahiertVoilà!+Die eduroam CA unterstützt verschiedene Zertifikatsprofile, die für verschiedene Anwendungsszenarien gedacht sind.
  
-<alert> Bitte keine JSON-Dateien schickendiese enthalten, den zuvor im Browser generierten privaten SchlüsselDer ist zwar passwort-gesichert aber sollte dennoch die lokale Umgebung nicht verlassen. Für die Signatur des Zertifikats ist der private Schlüssel auch nicht erforderlich.</alert> +Für RadSec wird zwischen Server und Client unterschieden. Ein Radsec Client schickt Authentifizierungsanfragen in die eduroam-Föderation (Login von Gästen an der eigenen Einrichtung). Ein Radsec Server nimmt Authentifizierungsanfragen entgegen (Login von Einrichtungsmitgliederndie gerade an einer anderen Einrichtung sind). 
 +**Im Normalfall** sollte das Zertifikatsprofil **RadSec Client Server** ausgewählt werdenDie folgenden Profile können ausgewählt werden:
  
-Bei der zweiten Möglichkeit wird der Zertifikats-Signierungs-Antrag lokal erstellt und anschließend zum PKI - Portal hochgeladen. Dazu sind folgende Schritte erforderlich: +^ Profil ^ Zweck ^ 
-  - Zunächst wird mit den gängigen Mittel, wie es bereits bei der Vorbereitung für ein DFN-PKI (GlobalZertifikat bisher erforderlich war, ein PKCS#10 Zertifikats-Antrag generiert<alert> Bitte die [[de:eduroam:eduroam-ca#konventionen_fuer_die_zertifikate_aus_der_nicht_oeffentlichen_eduroam_ca|Konventionen]] beachten. Ein Beispiel für die Generierung eines Zertifikatsantrags mit dem openssl-Kommando findet man: [[de:eduroam:eduroam-ca#beispiel_fuer_die_generierung_eines_zertifikats-signierungs-antrags|hier]]</alert> +| RadSec Client Server | Profil für Radsecproxies für IdP+SP (Normalfall für teilnehmende Einrichtungen) | 
-  - Über den Link https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/pkcs10/1 gelangt man direkt ins Menü für den PKCS#10 Antrag. +| RadSec Client | Profil für Radsecproxies von reinen Service Providern (SP) bzw. Einrichtungen ohne eigenen RADIUS-Server (z.B. easyroam-Teilnehmer) | 
-  - Den zuvor generierten PKCS#10 Antrag zum Hochladen auswählen. +| RadSec Server | Profil für Radsecproxies von reinen Identity Providern (IdP(z.B. wenn kein eigenes eduroam ausgestrahlt wird, weil eine andere Einrichtung am selben Ort eduroam ausstrahlt) | 
-  - Das Zertifikatsprofil auswählen: eduroam IdP’s/SP’s wählen das Profil RadSec Client/ServerEinrichtungen, die nur eduroam SP sind, wählen das Profil RadSec-Client aus. +| RADIUS Server | Profil für Nutzung im RADIUS-Server für TLS-basierte EAP-Methoden (z.BEAP-TLS/EAP-TTLS/EAP-PEAP) | 
-  - Bei den weitere Angaben werden u.a. die Kontaktdaten abgefragt, bitte hier unbedingt eine Funktions-Email Adresse angegeben. +//User// //Nur für interne ZweckeAnträge mit diesem Profil werden nicht bearbeitet.// |
-  - Das Zertifikat wird nicht veröffentlicht, die Checkbox bleibt also leer. +
-  - Anschließend den Zertifikatsantrag herunterladen und als Anhang in einer mit einem Nutzerzertifikat der HARICA - oder DFN - PKI signierten Email packen und an eduroam-ca@dfn.de senden, mit der Bitte um Genehmigung. Bitte KEINE JSON-Datei (mit)schicken! Alternativ dazu kann der Zertifikatsantrag im PDF Format mit einem Nutzerzertifikat einer Public PKI signiert werden. eduroam SP's im Rahmen des eduroam Off - Campus nehmen vorher telefonisch Kontakt mit dem eduroam Team auf. +
-  - Der Antrag wird vom eduroam Team geprüft und ggfs. die Client/Server Zertifikate signiert. +
-  - Die eduroam Admins erhalten via Email die RadSec Client/Server Zertifikate der eduroam CA.+
  
 +===== Beantragung eines Zertifikats =====
  
-==== Wechseln der Zertifikate ==== +Für die Beantragung eines Zertifikats muss ein CSR mit den relevanten Daten generiert, im PKI-Portal hochgeladen und die PDF-Datei mit dem Antrag an das eduroam-Team gesendet werden. 
-<alert>Bitte beachtender Wechsel der Zertifikate geschieht nicht automatischEs wird das [[https://pki.pca.dfn.de/eduroam-ca/pub/cacert/chain.txt|eduroam RootCA]] Zertifikat und das Zertifikat des RadSec Client/Servers benötigt. + 
-In der radsecproxy Konfiguration wird über die Direktive CACertificateFile im TLS-Block die RootCA konfiguriert. Die Direktive CertificateFile enthält den Link auf das Client/Server Zertifikat und die Direktive CertificateKeyFile den privaten Schlüssel des Client/Server Zertifikats. Mit der eduroam CA wird es einfacher, da diese CA eine flache Hierarchie aufweist, Zwischen-CA's gibt es daher nichtDer Wechsel kann abgesprochen werden. Hier reicht eine mail an eduroam@dfn.de mit dem Namen der EinrichtungIP-Adresse des RadSec Client/Servers sowie Datum und Uhrzeit des WechselsVorausgesetzt, dass sich der CN (Common Name) im RadSec Zertifikat nicht geändert hatkann alternativ auch ohne Absprache das RadSec Client/Server Zertifikat gewechselt werdenÜber die Direktive CACertficateFile die [[https://pki.pca.dfn.de/eduroam-ca/pub/cacert/chain.txt|eduroam RootCA]] zur bereits vorhandenen RootCA hinzufügen, die alte Root CA, in der Regel die DFN-PKI Rootnoch nicht entfernen. Anschließend über die Direktiven CertficateFileCertificateKeyFile das neue eduroam CA Zertifikat einpflegen +Der Antrag sollte über den CSR (PKCS#10) Upload gestellt werden. Der alternative Weg, der auf der Webseite der DFN-PKI angeboten wird (Server-Zertifikat inkl. Schlüsselerzeugung) ist aber grundsätzlich auch möglich, solange die Felder wie unten angegeben ausgefüllt werden. 
 + 
 +=== CSR generieren === 
 + 
 +Generieren Sie sich einen Certificate Signing Request mit den folgenden Eigenschaften: 
 +  * Privater Schlüssel: RSA mit 4096 bit 
 +  * Subject muss (**fett**) bzw. darf (//kursiv//) die folgenden Werte enthalten: 
 +    * **C=DE**,//ST=<Bundesland>//,//L=<Ort>//,**O=<Organisation (keine Akronyme)>**,//OU=<Organisationseinheit>//,**CN=<FQDN>** 
 +  * Im SubjectAlternativeName (SAN) können DNS-Aliases eingetragen werden. 
 +  * Alle Domain-Namen (FQDN im Subject und DNS-Aliases im SAN) müssen zur Einrichtung gehören und auflösbar sein. 
 +  * IP-Adressen oder e-Mail-Adressen sollen nicht im Zertifikatsantrag enthalten sein, wenn sie vorhanden sind werden von uns vor Ausstellung des Zertifikats entfernt. 
 + 
 +Beispiel für die Generierung eines Zertifikatsrequests mit zugehörigem private Key mit OpenSSL: 
 +<code> 
 +openssl req -new -newkey rsa:4096 -nodes -keyout radsec_key.pem -out radsec_csr.pem -subj "/C=DE/ST=<Bundesland>/L=<Ort>/O=<Organisationsname (keine Akronyme)>/OU=<Organisationseinheit>/CN=<FQDN>" 
 + 
 +# Bei zusätzlichen SubjectAltName-Attributen kann noch das folgende angefügt werden: 
 + 
 +-addext "subjectAltName = DNS:<FQDN 1>,DNS:<FQDN 2>,DNS:<FQDN 3>" 
 +</code> 
 + 
 +=== CSR-Upload === 
 + 
 +  * Öffnen Sie [[https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/pkcs10/1]] 
 +  * Wählen Sie das korrekte [[#Zertifikatsprofile|Zertifikatsprofil]] aus (siehe oben) und laden Sie die CSR-Datei hoch 
 +  * Tragen Sie Kontaktdaten ein: 
 +    * Vollständiger Name: Name der antragstellenden Person 
 +    * E-Mail: Bevorzugt eine Funktions-Adresse, da an diese Adresse u.a. Zertifikats-Ablauf-Warnungen verschickt werden. 
 +  * Füllen Sie die restlichen Pflichtfelder des Formulars aus und bestätigen Sie den Antrag. 
 +  * Laden Sie das Zertifikatsantragsformular (PDF) herunter. 
 + 
 +=== Antrag an das eduroam-Team übermitteln === 
 +  * Senden Sie den Zertifikatsantrag (PDF) an [[mailto:eduroam-ca@dfn.de|eduroam-ca@dfn.de]] 
 +    * Der Antrag muss von einer bei uns hinterlegten Kontaktperson geschickt werden. 
 +      * Die Absender-Mail-Adresse muss nicht mit der Mail-Adresse aus dem Antrag übereinstimmenbitte nutzen Sie hier eine Persönliche Mail-Adresse 
 +    * Die Mail muss per S/MIME signiert sein. 
 +    * Ist S/MIME nicht möglich, das in der Mail entsprechend vermerken, damit wir eine alternative Verifizierungsmethode (i.d.Rtelefonischer Abgleich von Antragsdaten) vornehmen können. 
 +  * Nach Prüfung des Antrags durch das eduroam-Team wird das signierte Zertifikat an die im Antrag angegebene Mail-Adresse verschickt. 
 + 
 +=== Wechseln der Zertifikate === 
 +<alert> 
 +Wenn Sie das **RADIUS**-Server-Zertifikat auf die eduroam CA umstellen wollenbeachten Sie bittedass es dann erforderlich istdass alle Endgeräte der Nutzenden das neue Root-Zertifikat konfigurieren müssen, da das Root-Zertifikat gepinnt ist. Sie können hierfür z.B. eduroam CAT nutzen. 
 + 
 +Wenn lediglich das **Radsec**-Zertifikat getauscht wird, ist das für die Endgeräte transparent.
 </alert> </alert>
  
-**Eine Beispiel-Konfiguration für die Konfiguration von Radsecproxy finden Sie auf dieser Seite: https://doku.tid.dfn.de/de:eduroam:anleitungen:radsecproxy#eduroam-ca unter dem Punkt "eduroam-CA"** +Das neue Zertifikat muss in den RadSec-Server eingetragen werden. 
-     +Sollte sich der Servername geändert haben, ist es wichtig, dass diese Änderung an das eduroam-Team kommuniziert wird, da in unserer Konfiguration die IP-Adresse und Servername festgesetzt werden. 
-Bei Fragen/Unklarheiten zur neuen eduroam CA bitte Email an eduroam@dfn.de+ 
 +Eine Beispiel-Konfiguration für die Konfiguration von radsecproxy für die eduroam CA finden Sie auf unserer [[[[de:eduroam:anleitungen:radsecproxy#eduroam-ca|Anleitungsseite für Radsecproxy]] 
 + 
 +Bei Fragen/Unklarheiten zur eduroam CA melden Sie sich gerne bei uns. 
 + 
 +===== FAQ zur eduroam CA ===== 
 + 
 +**Warum wird die eduroam CA genutzt und nicht TCS oder die Community-PKI des DFN?** 
 + 
 +Im Zuge der Abkündigung der DFN-PKI Global und den zeitgleichen Entwicklungen im CA/Browser-Forum haben wir uns im eduroam-Team dazu entschieden, für die nationale eduroam RadSec-Infrastruktur eine private CA zu nutzen. So sind wir unabhängig von den Vorgaben des CA/B-Forums, insb. was Zertifikatslaufzeiten und Zertifikatsattribute betrifft. Außerdem fallen durch die flache Hierarchie (Nur das Root-Zertifikat, keine Intermediate-CAs) häufige Fehlerquellen in der Zertifikatsüberprüfung weg. 
 +Es wurde sich gegen eine Nutzung der Community-PKI entschieden, da wir mit einer PKI ausschließlich für eduroam gewisse Freiheiten haben, die bei einer Co-Nutzung der PKI für andere Zwecke nicht gegeben sein würden. 
 +Nicht zuletzt ist mit der eduroam CA in Zukunft auch eine Automatisierung und Integration in DFN-Tools geplant, die mit einer browserverankerten CA nicht möglich sein würde. 
 + 
 +**Stellt die eduroam CA Nutzer-Zertifikate aus?** 
 + 
 +Nein, die eduroam CA ist ausschließlich für Server-Zertifikate gedacht. Nutzer-Zertifikate jeglicher Art (z.B. für S/MIME oder zertifikatsbasierten eduroam-Login) werden nicht ausgestellt. 
 + 
 +**Was mache ich, wenn ich die Antrags-Mail nicht per S/MIME signiert schicken kann?** 
 + 
 +Fügen Sie der Mail mit dem Zertifikatsantrag bitte einfach eine kurze Notiz hinzu, dass Ihre Einrichtung kein S/MIME unterstützt. 
 +Wir können dann über einen alternativen Weg (i.d.R. telefonischer Abgleich von Antrags-ID und Fingerprint des Public Key) den Antrag verifizieren.  
 + 
 +**Kann ein Dienstleister Zertifikate aus der eduroam CA beantragen?** 
 + 
 +Grundsätzlich kann auch ein Dienstleister die Zertifikate beantragenWenn der Dienstleister allerdings nicht bei uns als Ansprechpartner hinterlegt ist, benötigen wir noch eine Bestätigung der Einrichtung, dass der Dienstleister die entsprechenden Zertifikate beantragen darf. 
  • Zuletzt geändert: vor 3 Stunden