Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:eduroam:eduroam-ca [2023/05/23 17:50] – [Wechseln der Zertifikate] Ralf Paffrathde:eduroam:eduroam-ca [2026/03/20 11:21] (aktuell) Jan-Frederik Rieckers
Zeile 1: Zeile 1:
- ====== eduroam CA ======+====== eduroam CA ======
  
-===== Beschreibung der eduroam CA =====+===== Was ist die eduroam CA=====
  
-Die neue [[https://pki.pca.dfn.de/eduroam-ca/pub|eduroam privat CA]] wird in erster Linie für die sicheren Verbindungen zwischen den eduroam RadSec Client/Server in den Einrichtungen und den Föderations-Client/Server des DFN-Vereins verwendet.+Die [[https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/pkcs10/1|eduroam CA]] ist eine private CA für eduroam in Deutschland, die vom DFN-Verein angeboten und betrieben wird
  
-Die Ziele, welche mit der neuen eduroam CA u.a. verfolgt werden, sind die folgenden: +Der primäre Anwendungsfall ist die Absicherung der RADIUS/TLS(RadSec)-Infrastuktur für die RADIUS-Kommunikation zwischen den Einrichtungen und den Föderationsproxies des DFN-Vereins.
-  - die eduroam RadSec Infrastruktur im DFN soll unabhängiger von den WEB Browser verankerten öffentlichen CA’s gestaltet werden, z.B. längere Laufzeiten der Zertifikate, etc.,  +
-  die Anzahl der verwendeten CA`s auf den eduroam Föderations-Client/Server, wie zum Beispiel der TCS PKI, der DFN-PKI und der Let’sEncrypt (für eduroam SP) PKI soll auf die eduroam CA reduziert werden.+
  
-Das Beantragen der RadSec Client/Server Zertifikate für eduroam IdP's/SP's erfolgt informell durch die verantwortlichen eduroam Admins. +Zusätzlich kann die CA für RADIUS-Server genutzt werden.
-Zertifikate aus der eduroam CA sind über das DFN-PKI Portal  https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/pkcs10/1 beziehbar. +
-Obwohl die eduroam CA über das Portal der DFN-PCA realisiert wird, signiert das eduroam Team die Zertifikate der eduroam CA.+
  
-==== Konventionen für die Zertifikate aus der nicht öffentlichen eduroam CA ==== +Da die private CA nicht an die Vorgaben des CA/Browser-Forums gebunden ist, sind längere Zertifikatslaufzeiten und spezielle Zertifikats-Attribute möglich.
-  - Die eduroam CA stellt ausschließlich Client/Server Zertifikate aus. +
-  - Laufzeit aller Client/Server Zertifikate beträgt 3 Jahre (gibt die eduroam CA fest vor, beim Signieren). +
-  - Die Schlüssellänge ist auf 4096 Bit festgelegt und wird auch über das oben angegebene Portal vorab geprüft. +
-  - Es stehen die folgenden Profile für die Client/Server Zertifikate zur Verfügung: RadSec-Server, RadSec-Client, RadSec-Client/Server, RADIUS-Server. +
-  - Der DN muss aussagekräftig sein und den Namen der Einrichtung enthalten.  Folgendes Schema ist beim DN  einzuhaltendie Pflichtattribute sind in eckigen Klammern dargestellt, die **fett markierten Attributwerte müssen gesetzt sein**, die anderen sind optional:**C=DE**,ST=<Bundesland>,L=<Ort>,**O=<Organisation (keine Akronyme)>**,OU=<Organisationseinheit>,**CN=<FQDN>**. +
-  Beim subjectAlternativeName muss das folgende Schema eingehalten werden: dns:<Eindeutiger Name>  (Hinweis: Es können auch mehrere Einträge des genannten Schemas angegeben werden. Die eindeutigen Namen müssen im DNS auflösbar sein und die Domain muss der Einrichtung gehören.).+
  
-=== Beispiel für die Generierung eines Zertifikats-Signierungs-Antrags ===+Das Root-Zertifikat ([[https://pki.pca.dfn.de/eduroam-ca/pub/cacert/chain.txt]]) hat die folgende Daten: 
 +^ Subject: | C DE, O Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., CN eduroam Service Root CA | 
 +^ Gültig ab: | Jan 26 14:08:41 2022 GMT | 
 +^ Gültig bis: | Jan 21 14:08:41 2042 GMT | 
 +^ SHA-1-Fingerprint: | DE:51:91:98:FE:5B:B3:8A:50:13:55:B9:DD:5B:F6:D9:B8:32:C5:C7 | 
 +^ SHA-256-Fingerprint: | 8A:06:11:E8:96:A6:48:B0:9F:0E:46:F0:EF:DB:D8:D6:9C:8B:18:8D:B3:80:91:58:62:6F:11:32:75:96:2D:C9 |
  
-             openssl req -new -newkey rsa:4096 -nodes -keyout radsec_client_server_key.pem -out radsec_client_server_csr.pem +Die von der eduroam CA ausgestellten Zertifikate haben einen Gültigkeitszeitraum von 37 Monaten (3 Jahre + 1 Monat).
-              +
-             # Für die Generierung ohne Rückfragen kann das folgende Kommando benutzt werden (Werte in den spitzen Klammern entsprechend austauschen): +
-             openssl req -new -newkey rsa:4096 -nodes -keyout radsec_client_server_key.pem -out radsec_client_server_csr.pem -subj "C=DE/ST=<Bundesland>/L=<Ort>/O=<Organisationsname (keine Akronyme)>/CN=<FQDN>" +
-             # Wer zusätzliche SubjectAltName Attribute haben möchte, kann das folgende noch anfügen: +
-             -addext "subjectAltName = DNS:<FQDN 1>,DNS:<FQDN 2>,DNS:<FQDN 3>" +
-Es ist zu bedenken, das es sich bei der eduroam CA um eine nicht öffentliche CA handelt. Es geht hier um eine maßgeschneiderte CA ausschließlich für die Anwendung in eduroam im DFN. Der Einfachheit halber wurde daher ganz bewusst auf eine tiefgreifende Policy, wie es bei der DFN-PKI (Globalder Fall ist, verzichtet.+
  
-==== Wie wird ein eduroam CA Zertifikat beantragt? ==== +===== Zertifikatsprofile =====
-Schritt für Schritt wird nun erläutert wie die eduroam Admins zu den Zertifikaten aus der eduroam CA kommen. +
-  - Zunächst wird mit den gängigen Mittel, wie es bereits bei der Vorbereitung für ein DFN-PKI (Global) Zertifikat bisher erforderlich war, ein PKCS#10 Zertifikats-Antrag generiert. <alert> Bitte die [[de:eduroam:eduroam-ca#konventionen_fuer_die_zertifikate_aus_der_nicht_oeffentlichen_eduroam_ca|Konventionen]] beachten. Ein Beispiel für die Generierung eines Zertifikatsantrags mit dem openssl-Kommando findet man: [[de:eduroam:eduroam-ca#beispiel_fuer_die_generierung_eines_zertifikats-signierungs-antrags|hier]]</alert> +
-  - Über den Link https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/pkcs10/1 gelangt man direkt ins Menü für den PKCS#10 Antrag. +
-  - Den zuvor generierten PKCS#10 Antrag zum Hochladen auswählen. +
-  - Das Zertifikatsprofil auswählen: eduroam IdP’s/SP’s wählen das Profil RadSec Client/Server, Einrichtungen, die nur eduroam SP sind, wählen das Profil RadSec-Client aus. +
-  - Bei den weitere Angaben werden u.a. die Kontaktdaten abgefragt, bitte hier unbedingt eine Funktionsemail Adresse angegeben. +
-  - Das Zertifikat wird nicht veröffentlich, die Checkbox bleibt also leer. +
-  - Anschließend den Zertifikatsantrag herunterladen und als Anhang in einer mit einem Nutzerzertifikat der TCS oder DFN - PKI signierten EMail packen und an eduroam-ca@dfn.de senden, mit der Bitte um Genehmigung. Alternativ dazu können die Zertifikatsanträge im PDF Format mit einem Nutzerzertifikat einer Public PKI signiert werden. eduroam SP's im Rahmen des eduroam Off - Campus nehmen vorher telefonisch Kontakt mit dem eduroam Team auf. +
-  - Der Antrag wird vom eduroam Team geprüft und ggfs. die Client/Server Zertifikate signiert. +
-  - Die eduroam Admins erhalten via email die RadSec Client/Server Zertifikate der eduroam CA.+
  
 +Die eduroam CA unterstützt verschiedene Zertifikatsprofile, die für verschiedene Anwendungsszenarien gedacht sind.
  
-==== Wechseln der Zertifikate ==== +Für RadSec wird zwischen Server und Client unterschieden. Ein Radsec Client schickt Authentifizierungsanfragen in die eduroam-Föderation (Login von Gästen an der eigenen Einrichtung). Ein Radsec Server nimmt Authentifizierungsanfragen entgegen (Login von Einrichtungsmitgliedern, die gerade an einer anderen Einrichtung sind). 
-<alert>Bitte beachtender Wechsel der Zertifikate geschieht nicht automatischEs wird das [[https://pki.pca.dfn.de/eduroam-ca/pub/cacert/chain.txt|eduroam RootCA]] Zertifikat und das Zertifikat des RadSec Client/Servers benötigt. +**Im Normalfall** sollte das Zertifikatsprofil **RadSec Client Server** ausgewählt werden. Die folgenden Profile können ausgewählt werden: 
-In der radsecproxy Konfiguration wird über die Direktive CACertificateFile im TLS-Block die RootCA konfiguriert. Die Directive CertificateFile enthält den Link auf das Client/Server Zertifikat und die Directive CertificateKeyFile den privaten Schlüssel des Client/Server Zertifikats. Mit der eduroam CA wird es einfacher, da diese CA eine flache Hierarchie aufweist, Zwischen-CA's gibt es daher nichtDer Wechsel kann abgesprochen werden. Hier reicht eine mail an eduroam@dfn.de mit dem Namen der EinrichtungIP-Adresse des RadSec Client/Servers sowie Datum und Uhrzeit des WechselsAlternativ ist es auch möglich ohne Absprache zu wechselnÜber die Direktive CACertficateFile einfach die [[https://pki.pca.dfn.de/eduroam-ca/pub/cacert/chain.txt|eduroam RootCA]] zur bereits vorhandenen RootCA hinzufügen. Anschließend über die Directiven CertficateFileCertificateKeyFile das neue eduroam CA Zertifikat einpfelgen + 
 +^ Profil ^ Zweck ^ 
 +| RadSec Client Server | Profil für Radsecproxies für IdP+SP (Normalfall für teilnehmende Einrichtungen) | 
 +| RadSec Client | Profil für Radsecproxies von reinen Service Providern (SP) bzw. Einrichtungen ohne eigenen RADIUS-Server (z.B. easyroam-Teilnehmer) | 
 +| RadSec Server | Profil für Radsecproxies von reinen Identity Providern (IdP) (z.B. wenn kein eigenes eduroam ausgestrahlt wird, weil eine andere Einrichtung am selben Ort eduroam ausstrahlt) | 
 +| RADIUS Server | Profil für Nutzung im RADIUS-Server für TLS-basierte EAP-Methoden (z.B. EAP-TLS/EAP-TTLS/EAP-PEAP) | 
 +| //User// | //Nur für interne Zwecke, Anträge mit diesem Profil werden nicht bearbeitet.//
 + 
 +===== Beantragung eines Zertifikats ===== 
 + 
 +Für die Beantragung eines Zertifikats muss ein CSR mit den relevanten Daten generiert, im PKI-Portal hochgeladen und die PDF-Datei mit dem Antrag an das eduroam-Team gesendet werden. 
 + 
 +Der Antrag sollte über den CSR (PKCS#10) Upload gestellt werden. Der alternative Weg, der auf der Webseite der DFN-PKI angeboten wird (Server-Zertifikat inkl. Schlüsselerzeugung) ist aber grundsätzlich auch möglich, solange die Felder wie unten angegeben ausgefüllt werden. 
 + 
 +=== CSR generieren === 
 + 
 +Generieren Sie sich einen Certificate Signing Request mit den folgenden Eigenschaften: 
 +  * Privater Schlüssel: RSA mit 4096 bit 
 +  * Subject muss (**fett**) bzw. darf (//kursiv//) die folgenden Werte enthalten: 
 +    * **C=DE**,//ST=<Bundesland>//,//L=<Ort>//,**O=<Organisation (keine Akronyme)>**,//OU=<Organisationseinheit>//,**CN=<FQDN>** 
 +  * Im SubjectAlternativeName (SAN) können DNS-Aliases eingetragen werden. 
 +  * Alle Domain-Namen (FQDN im Subject und DNS-Aliases im SAN) müssen zur Einrichtung gehören und auflösbar sein. 
 +  * IP-Adressen oder e-Mail-Adressen sollen nicht im Zertifikatsantrag enthalten sein, wenn sie vorhanden sind werden von uns vor Ausstellung des Zertifikats entfernt. 
 + 
 +Beispiel für die Generierung eines Zertifikatsrequests mit zugehörigem private Key mit OpenSSL: 
 +<code> 
 +openssl req -new -newkey rsa:4096 -nodes -keyout radsec_key.pem -out radsec_csr.pem -subj "/C=DE/ST=<Bundesland>/L=<Ort>/O=<Organisationsname (keine Akronyme)>/OU=<Organisationseinheit>/CN=<FQDN>" 
 + 
 +# Bei zusätzlichen SubjectAltName-Attributen kann noch das folgende angefügt werden: 
 + 
 +-addext "subjectAltName = DNS:<FQDN 1>,DNS:<FQDN 2>,DNS:<FQDN 3>" 
 +</code> 
 + 
 +=== CSR-Upload === 
 + 
 +  * Öffnen Sie [[https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/pkcs10/1]] 
 +  * Wählen Sie das korrekte [[#Zertifikatsprofile|Zertifikatsprofil]] aus (siehe oben) und laden Sie die CSR-Datei hoch 
 +  * Tragen Sie Kontaktdaten ein: 
 +    * Vollständiger Name: Name der antragstellenden Person 
 +    * E-Mail: Bevorzugt eine Funktions-Adresse, da an diese Adresse u.a. Zertifikats-Ablauf-Warnungen verschickt werden. 
 +  * Füllen Sie die restlichen Pflichtfelder des Formulars aus und bestätigen Sie den Antrag. 
 +  * Laden Sie das Zertifikatsantragsformular (PDF) herunter. 
 + 
 +=== Antrag an das eduroam-Team übermitteln === 
 +  * Senden Sie den Zertifikatsantrag (PDF) an [[mailto:eduroam-ca@dfn.de|eduroam-ca@dfn.de]] 
 +    * Der Antrag muss von einer bei uns hinterlegten Kontaktperson geschickt werden. 
 +      * Die Absender-Mail-Adresse muss nicht mit der Mail-Adresse aus dem Antrag übereinstimmenbitte nutzen Sie hier eine Persönliche Mail-Adresse 
 +    * Die Mail muss per S/MIME signiert sein. 
 +    * Ist S/MIME nicht möglich, das in der Mail entsprechend vermerken, damit wir eine alternative Verifizierungsmethode (i.d.Rtelefonischer Abgleich von Antragsdaten) vornehmen können. 
 +  * Nach Prüfung des Antrags durch das eduroam-Team wird das signierte Zertifikat an die im Antrag angegebene Mail-Adresse verschickt. 
 + 
 +=== Wechseln der Zertifikate === 
 +<alert> 
 +Wenn Sie das **RADIUS**-Server-Zertifikat auf die eduroam CA umstellen wollenbeachten Sie bitte, dass es dann erforderlich ist, dass alle Endgeräte der Nutzenden das neue Root-Zertifikat konfigurieren müssen, da das Root-Zertifikat gepinnt ist. Sie können hierfür z.B. eduroam CAT nutzen. 
 + 
 +Wenn lediglich das **Radsec**-Zertifikat getauscht wird, ist das für die Endgeräte transparent.
 </alert> </alert>
  
-**Eine Beispiel-Konfiguration für die Konfiguration von Radsecproxy finden Sie auf dieser Seite: https://doku.tid.dfn.de/de:eduroam:anleitungen:radsecproxy#eduroam-ca unter dem Punkt "eduroam-CA"** +Das neue Zertifikat muss in den RadSec-Server eingetragen werden. 
-     +Sollte sich der Servername geändert haben, ist es wichtig, dass diese Änderung an das eduroam-Team kommuniziert wird, da in unserer Konfiguration die IP-Adresse und Servername festgesetzt werden. 
-Bei Fragen/Unklarheiten zur neuen eduroam CA bitte email an eduroam@dfn.de. + 
 +Eine Beispiel-Konfiguration für die Konfiguration von radsecproxy für die eduroam CA finden Sie auf unserer [[[[de:eduroam:anleitungen:radsecproxy#eduroam-ca|Anleitungsseite für Radsecproxy]] 
 + 
 +Bei Fragen/Unklarheiten zur eduroam CA melden Sie sich gerne bei uns. 
 + 
 +===== FAQ zur eduroam CA ===== 
 + 
 +**Warum wird die eduroam CA genutzt und nicht TCS oder die Community-PKI des DFN?** 
 + 
 +Im Zuge der Abkündigung der DFN-PKI Global und den zeitgleichen Entwicklungen im CA/Browser-Forum haben wir uns im eduroam-Team dazu entschieden, für die nationale eduroam RadSec-Infrastruktur eine private CA zu nutzen. So sind wir unabhängig von den Vorgaben des CA/B-Forums, insb. was Zertifikatslaufzeiten und Zertifikatsattribute betrifft. Außerdem fallen durch die flache Hierarchie (Nur das Root-Zertifikat, keine Intermediate-CAs) häufige Fehlerquellen in der Zertifikatsüberprüfung weg. 
 +Es wurde sich gegen eine Nutzung der Community-PKI entschieden, da wir mit einer PKI ausschließlich für eduroam gewisse Freiheiten haben, die bei einer Co-Nutzung der PKI für andere Zwecke nicht gegeben sein würden. 
 +Nicht zuletzt ist mit der eduroam CA in Zukunft auch eine Automatisierung und Integration in DFN-Tools geplant, die mit einer browserverankerten CA nicht möglich sein würde. 
 + 
 +**Stellt die eduroam CA Nutzer-Zertifikate aus?** 
 + 
 +Nein, die eduroam CA ist ausschließlich für Server-Zertifikate gedacht. Nutzer-Zertifikate jeglicher Art (z.B. für S/MIME oder zertifikatsbasierten eduroam-Login) werden nicht ausgestellt. 
 + 
 +**Was mache ich, wenn ich die Antrags-Mail nicht per S/MIME signiert schicken kann?** 
 + 
 +Fügen Sie der Mail mit dem Zertifikatsantrag bitte einfach eine kurze Notiz hinzu, dass Ihre Einrichtung kein S/MIME unterstützt. 
 +Wir können dann über einen alternativen Weg (i.d.R. telefonischer Abgleich von Antrags-ID und Fingerprint des Public Key) den Antrag verifizieren.  
 + 
 +**Kann ein Dienstleister Zertifikate aus der eduroam CA beantragen?** 
 + 
 +Grundsätzlich kann auch ein Dienstleister die Zertifikate beantragen. Wenn der Dienstleister allerdings nicht bei uns als Ansprechpartner hinterlegt ist, benötigen wir noch eine Bestätigung der Einrichtung, dass der Dienstleister die entsprechenden Zertifikate beantragen darf. 
 + 
 +**Ich habe den Antragsweg über Schlüsselerzeugung im Browser gewählt. Wie komme ich dann an alle benötigten Dateien?** 
 + 
 +Über die Seite [[https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates]] können Sie mithilfe des JSON, das Sie bei Beantragung erhalten haben, ihr Zertifikat inklusive des privaten Schlüssels abrufen. Laden Sie hierzu die Dateien als ''.pem'' herunter. 
 +In der pem-Datei sind dann der private Schlüssel (verschlüsselt mit dem vergebenen Passwort), das Zertifikat und das CA-Zertifikat enthalten. 
 +Sie können die jeweiligen Teile dann in einzelne Dateien aufteilen. Vergessen Sie bei der radsecproxy-Konfiguration nicht die Option ''CertificateKeyPassword''.
  • Zuletzt geändert: vor 3 Jahren