eduroam CA
Was ist die eduroam CA?
Die eduroam CA ist eine private CA für eduroam in Deutschland, die vom DFN-Verein angeboten und betrieben wird.
Der primäre Anwendungsfall ist die Absicherung der RADIUS/TLS(RadSec)-Infrastuktur für die RADIUS-Kommunikation zwischen den Einrichtungen und den Föderationsproxies des DFN-Vereins.
Zusätzlich kann die CA für RADIUS-Server genutzt werden.
Da die private CA nicht an die Vorgaben des CA/Browser-Forums gebunden ist, sind längere Zertifikatslaufzeiten und spezielle Zertifikats-Attribute möglich.
Das Root-Zertifikat (https://pki.pca.dfn.de/eduroam-ca/pub/cacert/chain.txt) hat die folgende Daten:
| Subject: | C = DE, O = Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., CN = eduroam Service Root CA |
|---|---|
| Gültig ab: | Jan 26 14:08:41 2022 GMT |
| Gültig bis: | Jan 21 14:08:41 2042 GMT |
| SHA-1-Fingerprint: | DE:51:91:98:FE:5B:B3:8A:50:13:55:B9:DD:5B:F6:D9:B8:32:C5:C7 |
| SHA-256-Fingerprint: | 8A:06:11:E8:96:A6:48:B0:9F:0E:46:F0:EF:DB:D8:D6:9C:8B:18:8D:B3:80:91:58:62:6F:11:32:75:96:2D:C9 |
Die von der eduroam CA ausgestellten Zertifikate haben einen Gültigkeitszeitraum von 37 Monaten (3 Jahre + 1 Monat).
Zertifikatsprofile
Die eduroam CA unterstützt verschiedene Zertifikatsprofile, die für verschiedene Anwendungsszenarien gedacht sind.
Für RadSec wird zwischen Server und Client unterschieden. Ein Radsec Client schickt Authentifizierungsanfragen in die eduroam-Föderation (Login von Gästen an der eigenen Einrichtung). Ein Radsec Server nimmt Authentifizierungsanfragen entgegen (Login von Einrichtungsmitgliedern, die gerade an einer anderen Einrichtung sind). Im Normalfall sollte das Zertifikatsprofil RadSec Client Server ausgewählt werden. Die folgenden Profile können ausgewählt werden:
| Profil | Zweck |
|---|---|
| RadSec Client Server | Profil für Radsecproxies für IdP+SP (Normalfall für teilnehmende Einrichtungen) |
| RadSec Client | Profil für Radsecproxies von reinen Service Providern (SP) bzw. Einrichtungen ohne eigenen RADIUS-Server (z.B. easyroam-Teilnehmer) |
| RadSec Server | Profil für Radsecproxies von reinen Identity Providern (IdP) (z.B. wenn kein eigenes eduroam ausgestrahlt wird, weil eine andere Einrichtung am selben Ort eduroam ausstrahlt) |
| RADIUS Server | Profil für Nutzung im RADIUS-Server für TLS-basierte EAP-Methoden (z.B. EAP-TLS/EAP-TTLS/EAP-PEAP) |
| User | Nur für interne Zwecke, Anträge mit diesem Profil werden nicht bearbeitet. |
Beantragung eines Zertifikats
Für die Beantragung eines Zertifikats muss ein CSR mit den relevanten Daten generiert, im PKI-Portal hochgeladen und die PDF-Datei mit dem Antrag an das eduroam-Team gesendet werden.
Der Antrag muss über den CSR (PKCS#10) Upload gestellt werden. Beim alternativen Weg, der auf der Webseite der DFN-PKI angeboten wird (Server-Zertifikat inkl. Schlüsselerzeugung) können die geforderten Attribute (insb. der Name der Einrichtung) im Web-Formular nicht angegeben werden.
CSR generieren
Generieren Sie sich einen Certificate Signing Request mit den folgenden Eigenschaften:
- Privater Schlüssel: RSA mit 4096 bit
- Subject muss (fett) bzw. darf (kursiv) die folgenden Werte enthalten:
- C=DE,ST=<Bundesland>,L=<Ort>,O=<Organisation (keine Akronyme)>,OU=<Organisationseinheit>,CN=<FQDN>
- Im SubjectAlternativeName (SAN) können DNS-Aliases eingetragen werden.
- Alle Domain-Namen (FQDN im Subject und DNS-Aliases im SAN) müssen zur Einrichtung gehören und auflösbar sein.
Beispiel für die Generierung eines Zertifikatsrequests mit zugehörigem private Key mit OpenSSL:
openssl req -new -newkey rsa:4096 -nodes -keyout radsec_key.pem -out radsec_csr.pem -subj "/C=DE/ST=<Bundesland>/L=<Ort>/O=<Organisationsname (keine Akronyme)>/OU=<Organisationseinheit>/CN=<FQDN>" # Bei zusätzlichen SubjectAltName-Attributen kann noch das folgende angefügt werden: -addext "subjectAltName = DNS:<FQDN 1>,DNS:<FQDN 2>,DNS:<FQDN 3>"
CSR-Upload
- Wählen Sie das korrekte Zertifikatsprofil aus (siehe oben) und laden Sie die CSR-Datei hoch
- Tragen Sie Kontaktdaten ein:
- Vollständiger Name: Name der antragstellenden Person
- E-Mail: Bevorzugt eine Funktions-Adresse, da an diese Adresse u.a. Zertifikats-Ablauf-Warnungen verschickt werden.
- Füllen Sie die restlichen Pflichtfelder des Formulars aus und bestätigen Sie den Antrag.
- Laden Sie das Zertifikatsantragsformular (PDF) herunter.
Antrag an das eduroam-Team übermitteln
- Senden Sie den Zertifikatsantrag (PDF) an eduroam-ca@dfn.de
- Der Antrag muss von einer bei uns hinterlegten Kontaktperson geschickt werden.
- Die Absender-Mail-Adresse muss nicht mit der Mail-Adresse aus dem Antrag übereinstimmen, bitte nutzen Sie hier eine Persönliche Mail-Adresse
- Die Mail muss per S/MIME (DFN-PKI oder TCS) signiert sein.
- Ist S/MIME nicht möglich, das in der Mail entsprechend vermerken, damit wir eine alternative Verifizierungsmethode (i.d.R. telefonischer Abgleich von Antragsdaten) vornehmen können.
- Nach Prüfung des Antrags durch das eduroam-Team wird das signierte Zertifikat an die im Antrag angegebene Mail-Adresse verschickt.
Wechseln der Zertifikate
Wenn lediglich das Radsec-Zertifikat getauscht wird, ist das für die Endgeräte transparent, hier ist nur eine Absprache mit dem DFN-Verein erforderlich.
Bitte beachten Sie, dass der Wechsel der Zertifkate nicht automatisch geschieht. Sie benötigen das Root-Zertifikat der eduroam CA sowie das neu ausgestellte Zertifikat inklusive zugehörigem privaten Schlüssel. In der Radsecproxy-Konfiguration muss dann die eduroam CA als Root-Zertifikat hinterlegt werden, da die Föderationsproxies nach der Umstellung ebenfalls ein Zertifikat aus der eduroam CA übermitteln.
Für die Umstellung schicken Sie uns eine Mail an eduroam@dfn.de mit einem Wunschtermin (Datum/Uhrzeit) sowie der IP-Adresse und dem FQDN des Servers.
Eine Beispiel-Konfiguration für die Konfiguration von Radsecproxy für die eduroam CA finden Sie auf unserer Anleitungsseite für Radsecproxy
Bei Fragen/Unklarheiten zur neuen CA melden Sie sich gerne bei uns.
FAQ zur eduroam CA
Warum wird die eduroam CA genutzt und nicht TCS oder die Community-PKI des DFN?
Im Zuge der Abkündigung der DFN-PKI Global und den zeitgleichen Entwicklungen im CA/Browser-Forum haben wir uns im eduroam-Team dazu entschieden, für die nationale eduroam RadSec-Infrastruktur eine private CA zu nutzen. So sind wir unabhängig von den Vorgaben des CA/B-Forums, insb. was Zertifikatslaufzeiten und Zertifikatsattribute betrifft. Außerdem fallen durch die flache Hierarchie (Nur das Root-Zertifikat, keine Intermediate-CAs) häufige Fehlerquellen in der Zertifikatsüberprüfung weg. Es wurde sich gegen eine Nutzung der Community-PKI entschieden, da wir mit einer PKI ausschließlich für eduroam gewisse Freiheiten haben, die bei einer Co-Nutzung der PKI für andere Zwecke nicht gegeben sein würden. Nicht zuletzt ist mit der eduroam CA in Zukunft auch eine Automatisierung und Integration in DFN-Tools geplant, die mit einer browserverankerten CA nicht möglich sein würde.
Stellt die eduroam CA Nutzer-Zertifikate aus?
Nein, die eduroam CA ist ausschließlich für Server-Zertifikate gedacht. Nutzer-Zertifikate jeglicher Art (z.B. für S/MIME oder zertifikatsbasierten eduroam-Login) werden nicht ausgestellt.
Was mache ich, wenn ich die Antrags-Mail nicht per S/MIME signiert schicken kann?
Fügen Sie der Mail mit dem Zertifikatsantrag bitte einfach eine kurze Notiz hinzu, dass Ihre Einrichtung kein S/MIME unterstützt. Wir können dann über einen alternativen Weg (i.d.R. telefonischer Abgleich von Antrags-ID und Fingerprint des Public Key) den Antrag verifizieren.
Kann ein Dienstleister Zertifikate aus der eduroam CA beantragen?
Grundsätzlich kann auch ein Dienstleister die Zertifikate benatragen. Wenn der Dienstleister allerdings nicht bei uns als Ansprechpartner hinterlegt ist, benötigen wir noch eine Bestätigung der Einrichtung, dass der Dienstleister die entsprechenden Zertifikate beantragen darf.