Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
playground:eduroam-ca [2023/05/04 00:44] – Nächstes mal zwischenspeichern. Jan-Frederik Rieckers | playground:eduroam-ca [2023/05/04 16:44] (aktuell) – Einarbeitung Anmerkungen RP Jan-Frederik Rieckers | ||
---|---|---|---|
Zeile 5: | Zeile 5: | ||
Die [[https:// | Die [[https:// | ||
- | Der primäre Anwendungsfall ist die Absicherung der RADIUS/TLS-Verbindung | + | Der primäre Anwendungsfall ist die Absicherung der RADIUS/TLS(RadSec)-Infrastuktur für die RADIUS-Kommunikation |
Zusätzlich kann die CA für RADIUS-Server genutzt werden. | Zusätzlich kann die CA für RADIUS-Server genutzt werden. | ||
Da die private CA nicht an die Vorgaben des CA/ | Da die private CA nicht an die Vorgaben des CA/ | ||
+ | |||
+ | Das Root-Zertifikat ([[https:// | ||
+ | ^ Subject: | C = DE, O = Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., CN = eduroam Service Root CA | | ||
+ | ^ Gültig ab: | Jan 26 14:08:41 2022 GMT | | ||
+ | ^ Gültig bis: | Jan 21 14:08:41 2042 GMT | | ||
+ | ^ SHA-1-Fingerprint: | ||
+ | ^ SHA-256-Fingerprint: | ||
+ | |||
+ | Die von der eduroam CA ausgestellten Zertifikate haben einen Gültigkeitszeitraum von 37 Monaten (3 Jahre + 1 Monat). | ||
===== Zertifikatsprofile ===== | ===== Zertifikatsprofile ===== | ||
- | Die eduroam CA unterstützt verschiedene Zertifikatsprofile, | + | Die eduroam CA unterstützt verschiedene Zertifikatsprofile, |
Für RadSec wird zwischen Server und Client unterschieden. Ein Radsec Client schickt Authentifizierungsanfragen in die eduroam-Föderation (Login von Gästen an der eigenen Einrichtung). Ein Radsec Server nimmt Authentifizierungsanfragen entgegen (Login von Einrichtungsmitgliedern, | Für RadSec wird zwischen Server und Client unterschieden. Ein Radsec Client schickt Authentifizierungsanfragen in die eduroam-Föderation (Login von Gästen an der eigenen Einrichtung). Ein Radsec Server nimmt Authentifizierungsanfragen entgegen (Login von Einrichtungsmitgliedern, | ||
Zeile 19: | Zeile 28: | ||
^ Profil ^ Zweck ^ | ^ Profil ^ Zweck ^ | ||
+ | | RadSec Client Server | Profil für Radsecproxies für IdP+SP (Normalfall für teilnehmende Einrichtungen) | | ||
| RadSec Client | Profil für Radsecproxies von reinen Service Providern (SP) bzw. Einrichtungen ohne eigenen RADIUS-Server (z.B. easyroam-Teilnehmer) | | | RadSec Client | Profil für Radsecproxies von reinen Service Providern (SP) bzw. Einrichtungen ohne eigenen RADIUS-Server (z.B. easyroam-Teilnehmer) | | ||
| RadSec Server | Profil für Radsecproxies von reinen Identity Providern (IdP) (z.B. wenn kein eigenes eduroam ausgestrahlt wird, weil eine andere Einrichtung am selben Ort eduroam ausstrahlt) | | | RadSec Server | Profil für Radsecproxies von reinen Identity Providern (IdP) (z.B. wenn kein eigenes eduroam ausgestrahlt wird, weil eine andere Einrichtung am selben Ort eduroam ausstrahlt) | | ||
- | | RadSec Client Server | Profil für Radsecproxies für IdP+SP (Normalfall für teilnehmende Einrichtungen) | | ||
| RADIUS Server | Profil für Nutzung im RADIUS-Server für TLS-basierte EAP-Methoden (z.B. EAP-TLS/ | | RADIUS Server | Profil für Nutzung im RADIUS-Server für TLS-basierte EAP-Methoden (z.B. EAP-TLS/ | ||
| //User// | //Nur für interne Zwecke, Anträge mit diesem Profil werden nicht bearbeitet.// | | //User// | //Nur für interne Zwecke, Anträge mit diesem Profil werden nicht bearbeitet.// | ||
Zeile 29: | Zeile 38: | ||
Für die Beantragung eines Zertifikats muss ein CSR mit den relevanten Daten generiert, im PKI-Portal hochgeladen und die PDF-Datei mit dem Antrag an das eduroam-Team gesendet werden. | Für die Beantragung eines Zertifikats muss ein CSR mit den relevanten Daten generiert, im PKI-Portal hochgeladen und die PDF-Datei mit dem Antrag an das eduroam-Team gesendet werden. | ||
- | < | + | Der Antrag |
- | Der Antrag muss über den CSR (PKCS# | + | |
- | </ | + | |
=== CSR generieren === | === CSR generieren === | ||
Zeile 40: | Zeile 47: | ||
* **C=DE**,// | * **C=DE**,// | ||
* Im SubjectAlternativeName (SAN) können DNS-Aliases eingetragen werden. | * Im SubjectAlternativeName (SAN) können DNS-Aliases eingetragen werden. | ||
- | * Alle Namen (FQDN und DNS-Aliases im SAN) müssen zur Einrichtung gehören und auflösbar sein. | + | * Alle Domain-Namen (FQDN im Subject |
Beispiel für die Generierung eines Zertifikatsrequests mit zugehörigem private Key mit OpenSSL: | Beispiel für die Generierung eines Zertifikatsrequests mit zugehörigem private Key mit OpenSSL: | ||
Zeile 54: | Zeile 61: | ||
* Öffnen Sie [[https:// | * Öffnen Sie [[https:// | ||
- | * Wählen Sie das korrekte Zertifikatsprofil aus (siehe oben) und laden Sie die CSR-Datei hoch | + | * Wählen Sie das korrekte |
* Tragen Sie Kontaktdaten ein: | * Tragen Sie Kontaktdaten ein: | ||
* Vollständiger Name: Name der antragstellenden Person | * Vollständiger Name: Name der antragstellenden Person | ||
Zeile 62: | Zeile 69: | ||
=== Antrag an das eduroam-Team übermitteln === | === Antrag an das eduroam-Team übermitteln === | ||
- | * Senden Sie den Zertifikatsantrag (PDF) an eduroam-ca@dfn.de | + | * Senden Sie den Zertifikatsantrag (PDF) an [[mailto:eduroam-ca@dfn.de|eduroam-ca@dfn.de]] |
* Der Antrag muss von einer bei uns hinterlegten Kontaktperson geschickt werden. | * Der Antrag muss von einer bei uns hinterlegten Kontaktperson geschickt werden. | ||
+ | * Die Absender-Mail-Adresse muss nicht mit der Mail-Adresse aus dem Antrag übereinstimmen, | ||
* Die Mail muss per S/MIME (DFN-PKI oder TCS) signiert sein. | * Die Mail muss per S/MIME (DFN-PKI oder TCS) signiert sein. | ||
* Ist S/MIME nicht möglich, das in der Mail entsprechend vermerken, damit wir eine alternative Verifizierungsmethode (i.d.R. telefonischer Abgleich von Antragsdaten) vornehmen können. | * Ist S/MIME nicht möglich, das in der Mail entsprechend vermerken, damit wir eine alternative Verifizierungsmethode (i.d.R. telefonischer Abgleich von Antragsdaten) vornehmen können. | ||
+ | * Nach Prüfung des Antrags durch das eduroam-Team wird das signierte Zertifikat an die im Antrag angegebene Mail-Adresse verschickt. | ||
+ | |||
+ | === Wechseln der Zertifikate === | ||
+ | < | ||
+ | Wenn Sie das **RADIUS**-Server-Zertifikat auf die eduroam CA umstellen wollen, beachten Sie bitte, dass es dann erforderlich ist, dass alle Endgeräte der Nutzenden das neue Root-Zertifikat konfigurieren müssen, da das Root-Zertifikat gepinnt ist. Sie können hierfür z.B. Eduroam CAT nutzen. | ||
+ | |||
+ | Wenn lediglich das **Radsec**-Zertifikat getauscht wird, ist das für die Endgeräte transparent, | ||
+ | </ | ||
+ | |||
+ | Bitte beachten Sie, dass der Wechsel der Zertifkate nicht automatisch geschieht. | ||
+ | Sie benötigen das Root-Zertifikat der eduroam CA sowie das neu ausgestellte Zertifikat inklusive zugehörigem privaten Schlüssel. | ||
+ | In der Radsecproxy-Konfiguration muss dann die eduroam CA als Root-Zertifikat hinterlegt werden, da die Föderationsproxies nach der Umstellung ebenfalls ein Zertifikat aus der eduroam CA übermitteln. | ||
+ | |||
+ | Für die Umstellung schicken Sie uns eine Mail an [[mailto: | ||
+ | |||
+ | Eine Beispiel-Konfiguration für die Konfiguration von Radsecproxy für die eduroam CA finden Sie auf unserer [[[[de: | ||
+ | |||
+ | Bei Fragen/ | ||
+ | |||
+ | ===== FAQ zur eduroam CA ===== | ||
+ | |||
+ | **Warum wird die eduroam CA genutzt und nicht TCS oder die Community-PKI des DFN?** | ||
+ | |||
+ | Im Zuge der Abkündigung der DFN-PKI Global und den zeitgleichen Entwicklungen im CA/ | ||
+ | Es wurde sich gegen eine Nutzung der Community-PKI entschieden, | ||
+ | Nicht zuletzt ist mit der eduroam CA in Zukunft auch eine Automatisierung und Integration in DFN-Tools geplant, die mit einer browserverankerten CA nicht möglich sein würde. | ||
+ | |||
+ | **Stellt die eduroam CA Nutzer-Zertifikate aus?** | ||
+ | |||
+ | Nein, die eduroam CA ist ausschließlich für Server-Zertifikate gedacht. Nutzer-Zertifikate jeglicher Art (z.B. für S/MIME oder zertifikatsbasierten eduroam-Login) werden nicht ausgestellt. | ||
+ | |||
+ | **Was mache ich, wenn ich die Antrags-Mail nicht per S/MIME signiert schicken kann?** | ||
+ | |||
+ | Fügen Sie der Mail mit dem Zertifikatsantrag bitte einfach eine kurze Notiz hinzu, dass Ihre Einrichtung kein S/MIME unterstützt. | ||
+ | Wir können dann über einen alternativen Weg (i.d.R. telefonischer Abgleich von Antrags-ID und Fingerprint des Public Key) den Antrag verifizieren. | ||
+ | |||
+ | **Kann ein Dienstleister Zertifikate aus der eduroam CA beantragen? | ||
+ | |||
+ | Grundsätzlich kann auch ein Dienstleister die Zertifikate benatragen. Wenn der Dienstleister allerdings nicht bei uns als Ansprechpartner hinterlegt ist, benötigen wir noch eine Bestätigung der Einrichtung, | ||
+ |