Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
de:eduroam:eduroam-ca [2023/08/23 11:16] – [Wechseln der Zertifikate] Ralf Paffrath | de:eduroam:eduroam-ca [2025/02/04 09:27] (aktuell) – [Wie wird ein eduroam CA Zertifikat beantragt?] Ralf Paffrath |
---|
| |
# Für die Generierung ohne Rückfragen kann das folgende Kommando benutzt werden (Werte in den spitzen Klammern entsprechend austauschen): | # Für die Generierung ohne Rückfragen kann das folgende Kommando benutzt werden (Werte in den spitzen Klammern entsprechend austauschen): |
openssl req -new -newkey rsa:4096 -nodes -keyout radsec_client_server_key.pem -out radsec_client_server_csr.pem -subj "C=DE/ST=<Bundesland>/L=<Ort>/O=<Organisationsname (keine Akronyme)>/CN=<FQDN>" | openssl req -new -newkey rsa:4096 -nodes -keyout radsec_client_server_key.pem -out radsec_client_server_csr.pem -subj "/C=DE/ST=<Bundesland>/L=<Ort>/O=<Organisationsname (keine Akronyme)>/CN=<FQDN>" |
# Wer zusätzliche SubjectAltName Attribute haben möchte, kann das folgende noch anfügen: | # Wer zusätzliche SubjectAltName Attribute haben möchte, kann das folgende noch anfügen: |
-addext "subjectAltName = DNS:<FQDN 1>,DNS:<FQDN 2>,DNS:<FQDN 3>" | -addext "subjectAltName = DNS:<FQDN 1>,DNS:<FQDN 2>,DNS:<FQDN 3>" |
| |
==== Wie wird ein eduroam CA Zertifikat beantragt? ==== | ==== Wie wird ein eduroam CA Zertifikat beantragt? ==== |
Schritt für Schritt wird nun erläutert wie die eduroam Admins zu den Zertifikaten aus der eduroam CA kommen. | Grundsätzlich gibt es zwei Möglichkeiten, um an ein Zertifikat der eduroam CA zu gelangen. In beiden Fällen sind die [[de:eduroam:eduroam-ca#konventionen_fuer_die_zertifikate_aus_der_nicht_oeffentlichen_eduroam_ca|Konventionen]] zu beachten. |
| |
| Bei der ersten Möglichkeit wird der private Schlüssel und der Zertifikats-Signierungs-Antrag Client-seitig durch den [[https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/server/1|Web-Browser]] generiert. In dieser einfachen Form der Beantragung wird den Formular-Vorgaben gefolgt. Das Zertifikatsprofil auswählen: Einrichtungen, die eduroam IdP’s/SP’s sind, wählen das Profil RadSec Client/Server, Einrichtungen, die nur eduroam SP sind, wählen das Profil RadSec-Client aus. Es folgen die gängigen Angaben zur Einrichtung und zum Client/Server. Anschließend wird das PDF Antragsformular heruntergeladen und in eine mit einem Nutzerzertifikat der HARICA - oder DFN - PKI signierten Email gepackt und an eduroam-ca@dfn.de gesendet. Die zuvor gespeicherte Antragsdatei im JSON-Format enthält den privaten Schlüssel und wird aufbewahrt. Sobald das signierte Zertifikat vorliegt, wird das [[https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates|Werkzeug der Wahl]] genommen und die PKCS12 - Datei mit dem privaten Schlüssel aus der zuvor aufbewahrten JSON - Datei extrahiert. Voilà! |
| |
| <alert> Bitte keine JSON-Dateien schicken, diese enthalten, den zuvor im Browser generierten privaten Schlüssel. Der ist zwar passwort-gesichert aber sollte dennoch die lokale Umgebung nicht verlassen. Für die Signatur des Zertifikats ist der private Schlüssel auch nicht erforderlich.</alert> |
| |
| Bei der zweiten Möglichkeit wird der Zertifikats-Signierungs-Antrag lokal erstellt und anschließend zum PKI - Portal hochgeladen. Dazu sind folgende Schritte erforderlich: |
- Zunächst wird mit den gängigen Mittel, wie es bereits bei der Vorbereitung für ein DFN-PKI (Global) Zertifikat bisher erforderlich war, ein PKCS#10 Zertifikats-Antrag generiert. <alert> Bitte die [[de:eduroam:eduroam-ca#konventionen_fuer_die_zertifikate_aus_der_nicht_oeffentlichen_eduroam_ca|Konventionen]] beachten. Ein Beispiel für die Generierung eines Zertifikatsantrags mit dem openssl-Kommando findet man: [[de:eduroam:eduroam-ca#beispiel_fuer_die_generierung_eines_zertifikats-signierungs-antrags|hier]]</alert> | - Zunächst wird mit den gängigen Mittel, wie es bereits bei der Vorbereitung für ein DFN-PKI (Global) Zertifikat bisher erforderlich war, ein PKCS#10 Zertifikats-Antrag generiert. <alert> Bitte die [[de:eduroam:eduroam-ca#konventionen_fuer_die_zertifikate_aus_der_nicht_oeffentlichen_eduroam_ca|Konventionen]] beachten. Ein Beispiel für die Generierung eines Zertifikatsantrags mit dem openssl-Kommando findet man: [[de:eduroam:eduroam-ca#beispiel_fuer_die_generierung_eines_zertifikats-signierungs-antrags|hier]]</alert> |
- Über den Link https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/pkcs10/1 gelangt man direkt ins Menü für den PKCS#10 Antrag. | - Über den Link https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/pkcs10/1 gelangt man direkt ins Menü für den PKCS#10 Antrag. |
- Bei den weitere Angaben werden u.a. die Kontaktdaten abgefragt, bitte hier unbedingt eine Funktions-Email Adresse angegeben. | - Bei den weitere Angaben werden u.a. die Kontaktdaten abgefragt, bitte hier unbedingt eine Funktions-Email Adresse angegeben. |
- Das Zertifikat wird nicht veröffentlicht, die Checkbox bleibt also leer. | - Das Zertifikat wird nicht veröffentlicht, die Checkbox bleibt also leer. |
- Anschließend den Zertifikatsantrag herunterladen und als Anhang in einer mit einem Nutzerzertifikat der TCS oder DFN - PKI signierten Email packen und an eduroam-ca@dfn.de senden, mit der Bitte um Genehmigung. Alternativ dazu können die Zertifikatsanträge im PDF Format mit einem Nutzerzertifikat einer Public PKI signiert werden. eduroam SP's im Rahmen des eduroam Off - Campus nehmen vorher telefonisch Kontakt mit dem eduroam Team auf. | - Anschließend den Zertifikatsantrag herunterladen und als Anhang in einer mit einem Nutzerzertifikat der HARICA - oder DFN - PKI signierten Email packen und an eduroam-ca@dfn.de senden, mit der Bitte um Genehmigung. Alternativ dazu können die Zertifikatsanträge im PDF Format mit einem Nutzerzertifikat einer Public PKI signiert werden. eduroam SP's im Rahmen des eduroam Off - Campus nehmen vorher telefonisch Kontakt mit dem eduroam Team auf. |
- Der Antrag wird vom eduroam Team geprüft und ggfs. die Client/Server Zertifikate signiert. | - Der Antrag wird vom eduroam Team geprüft und ggfs. die Client/Server Zertifikate signiert. |
- Die eduroam Admins erhalten via Email die RadSec Client/Server Zertifikate der eduroam CA. | - Die eduroam Admins erhalten via Email die RadSec Client/Server Zertifikate der eduroam CA. |
==== Wechseln der Zertifikate ==== | ==== Wechseln der Zertifikate ==== |
<alert>Bitte beachten, der Wechsel der Zertifikate geschieht nicht automatisch. Es wird das [[https://pki.pca.dfn.de/eduroam-ca/pub/cacert/chain.txt|eduroam RootCA]] Zertifikat und das Zertifikat des RadSec Client/Servers benötigt. | <alert>Bitte beachten, der Wechsel der Zertifikate geschieht nicht automatisch. Es wird das [[https://pki.pca.dfn.de/eduroam-ca/pub/cacert/chain.txt|eduroam RootCA]] Zertifikat und das Zertifikat des RadSec Client/Servers benötigt. |
In der radsecproxy Konfiguration wird über die Direktive CACertificateFile im TLS-Block die RootCA konfiguriert. Die Directive CertificateFile enthält den Link auf das Client/Server Zertifikat und die Directive CertificateKeyFile den privaten Schlüssel des Client/Server Zertifikats. Mit der eduroam CA wird es einfacher, da diese CA eine flache Hierarchie aufweist, Zwischen-CA's gibt es daher nicht. Der Wechsel kann abgesprochen werden. Hier reicht eine mail an eduroam@dfn.de mit dem Namen der Einrichtung, IP-Adresse des RadSec Client/Servers sowie Datum und Uhrzeit des Wechsels. Vorausgesetzt, dass sich der CN (Common Name) im RadSec Zertifikat nicht geändert hat, kann alternativ auch ohne Absprache das RadSec Client/Server Zertifikat gewechselt werden. Über die Direktive CACertficateFile einfach die [[https://pki.pca.dfn.de/eduroam-ca/pub/cacert/chain.txt|eduroam RootCA]] zur bereits vorhandenen RootCA hinzufügen, die alte Root CA, in der Regel die DFN-PKI Root, noch nicht entfernen. Anschließend über die Direktiven CertficateFile, CertificateKeyFile das neue eduroam CA Zertifikat einpflegen. | In der radsecproxy Konfiguration wird über die Direktive CACertificateFile im TLS-Block die RootCA konfiguriert. Die Direktive CertificateFile enthält den Link auf das Client/Server Zertifikat und die Direktive CertificateKeyFile den privaten Schlüssel des Client/Server Zertifikats. Mit der eduroam CA wird es einfacher, da diese CA eine flache Hierarchie aufweist, Zwischen-CA's gibt es daher nicht. Der Wechsel kann abgesprochen werden. Hier reicht eine mail an eduroam@dfn.de mit dem Namen der Einrichtung, IP-Adresse des RadSec Client/Servers sowie Datum und Uhrzeit des Wechsels. Vorausgesetzt, dass sich der CN (Common Name) im RadSec Zertifikat nicht geändert hat, kann alternativ auch ohne Absprache das RadSec Client/Server Zertifikat gewechselt werden. Über die Direktive CACertficateFile die [[https://pki.pca.dfn.de/eduroam-ca/pub/cacert/chain.txt|eduroam RootCA]] zur bereits vorhandenen RootCA hinzufügen, die alte Root CA, in der Regel die DFN-PKI Root, noch nicht entfernen. Anschließend über die Direktiven CertficateFile, CertificateKeyFile das neue eduroam CA Zertifikat einpflegen. |
</alert> | </alert> |
| |