Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
playground:eduroam-ca [2023/05/04 14:13] – Erste Version FAQ Jan-Frederik Rieckersplayground:eduroam-ca [2023/05/04 16:44] (aktuell) – Einarbeitung Anmerkungen RP Jan-Frederik Rieckers
Zeile 5: Zeile 5:
 Die [[https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/pkcs10/1|eduroam CA]] ist eine private CA für eduroam in Deutschland, die vom DFN-Verein angeboten und betrieben wird.  Die [[https://pki.pca.dfn.de/dfn-pki/eduroam-ca/0/certificates/new/pkcs10/1|eduroam CA]] ist eine private CA für eduroam in Deutschland, die vom DFN-Verein angeboten und betrieben wird. 
  
-Der primäre Anwendungsfall ist die Absicherung der RADIUS/TLS-Verbindung zwischen den Einrichtungen und den Föderationsproxies des DFN-Vereins.+Der primäre Anwendungsfall ist die Absicherung der RADIUS/TLS(RadSec)-Infrastuktur für die RADIUS-Kommunikation zwischen den Einrichtungen und den Föderationsproxies des DFN-Vereins.
  
 Zusätzlich kann die CA für RADIUS-Server genutzt werden. Zusätzlich kann die CA für RADIUS-Server genutzt werden.
Zeile 22: Zeile 22:
 ===== Zertifikatsprofile ===== ===== Zertifikatsprofile =====
  
-Die eduroam CA unterstützt verschiedene Zertifikatsprofile, die verschiedene Probleme lösen.+Die eduroam CA unterstützt verschiedene Zertifikatsprofile, die für verschiedene Anwendungsszenarien gedacht sind.
  
 Für RadSec wird zwischen Server und Client unterschieden. Ein Radsec Client schickt Authentifizierungsanfragen in die eduroam-Föderation (Login von Gästen an der eigenen Einrichtung). Ein Radsec Server nimmt Authentifizierungsanfragen entgegen (Login von Einrichtungsmitgliedern, die gerade an einer anderen Einrichtung sind). Für RadSec wird zwischen Server und Client unterschieden. Ein Radsec Client schickt Authentifizierungsanfragen in die eduroam-Föderation (Login von Gästen an der eigenen Einrichtung). Ein Radsec Server nimmt Authentifizierungsanfragen entgegen (Login von Einrichtungsmitgliedern, die gerade an einer anderen Einrichtung sind).
Zeile 28: Zeile 28:
  
 ^ Profil ^ Zweck ^ ^ Profil ^ Zweck ^
 +| RadSec Client Server | Profil für Radsecproxies für IdP+SP (Normalfall für teilnehmende Einrichtungen) |
 | RadSec Client | Profil für Radsecproxies von reinen Service Providern (SP) bzw. Einrichtungen ohne eigenen RADIUS-Server (z.B. easyroam-Teilnehmer) | | RadSec Client | Profil für Radsecproxies von reinen Service Providern (SP) bzw. Einrichtungen ohne eigenen RADIUS-Server (z.B. easyroam-Teilnehmer) |
 | RadSec Server | Profil für Radsecproxies von reinen Identity Providern (IdP) (z.B. wenn kein eigenes eduroam ausgestrahlt wird, weil eine andere Einrichtung am selben Ort eduroam ausstrahlt) | | RadSec Server | Profil für Radsecproxies von reinen Identity Providern (IdP) (z.B. wenn kein eigenes eduroam ausgestrahlt wird, weil eine andere Einrichtung am selben Ort eduroam ausstrahlt) |
-| RadSec Client Server | Profil für Radsecproxies für IdP+SP (Normalfall für teilnehmende Einrichtungen) | 
 | RADIUS Server | Profil für Nutzung im RADIUS-Server für TLS-basierte EAP-Methoden (z.B. EAP-TLS/EAP-TTLS/EAP-PEAP) | | RADIUS Server | Profil für Nutzung im RADIUS-Server für TLS-basierte EAP-Methoden (z.B. EAP-TLS/EAP-TTLS/EAP-PEAP) |
 | //User// | //Nur für interne Zwecke, Anträge mit diesem Profil werden nicht bearbeitet.// | | //User// | //Nur für interne Zwecke, Anträge mit diesem Profil werden nicht bearbeitet.// |
Zeile 78: Zeile 78:
 === Wechseln der Zertifikate === === Wechseln der Zertifikate ===
 <alert> <alert>
-Wenn Sie das **RADIUS**-Server-Zertifikat auf die eduroam-CA umstellen wollen, beachten Sie bitte, dass es dann erforderlich ist, dass alle Endgeräte der Nutzenden das neue Root-Zertifikat konfigurieren müssen, da das Root-Zertifikat gepinnt ist. Sie können hierfür z.B. Eduroam CAT nutzen.+Wenn Sie das **RADIUS**-Server-Zertifikat auf die eduroam CA umstellen wollen, beachten Sie bitte, dass es dann erforderlich ist, dass alle Endgeräte der Nutzenden das neue Root-Zertifikat konfigurieren müssen, da das Root-Zertifikat gepinnt ist. Sie können hierfür z.B. Eduroam CAT nutzen.
  
 Wenn lediglich das **Radsec**-Zertifikat getauscht wird, ist das für die Endgeräte transparent, hier ist nur eine Absprache mit dem DFN-Verein erforderlich. Wenn lediglich das **Radsec**-Zertifikat getauscht wird, ist das für die Endgeräte transparent, hier ist nur eine Absprache mit dem DFN-Verein erforderlich.
Zeile 84: Zeile 84:
  
 Bitte beachten Sie, dass der Wechsel der Zertifkate nicht automatisch geschieht. Bitte beachten Sie, dass der Wechsel der Zertifkate nicht automatisch geschieht.
-Sie benötigen das Root-Zertifikat der eduroam-CA sowie das neu ausgestellte Zertifikat inklusive zugehörigem privaten Schlüssel. +Sie benötigen das Root-Zertifikat der eduroam CA sowie das neu ausgestellte Zertifikat inklusive zugehörigem privaten Schlüssel. 
-In der Radsecproxy-Konfiguration muss dann die eduroam-CA als Root-Zertifikat hinterlegt werden, da die Föderationsproxies nach der Umstellung ebenfalls ein Zertifikat aus der eduroam-CA übermitteln.+In der Radsecproxy-Konfiguration muss dann die eduroam CA als Root-Zertifikat hinterlegt werden, da die Föderationsproxies nach der Umstellung ebenfalls ein Zertifikat aus der eduroam CA übermitteln.
  
 Für die Umstellung schicken Sie uns eine Mail an [[mailto:eduroam@dfn.de|eduroam@dfn.de]] mit einem Wunschtermin (Datum/Uhrzeit) sowie der IP-Adresse und dem FQDN des Servers. Für die Umstellung schicken Sie uns eine Mail an [[mailto:eduroam@dfn.de|eduroam@dfn.de]] mit einem Wunschtermin (Datum/Uhrzeit) sowie der IP-Adresse und dem FQDN des Servers.
Zeile 97: Zeile 97:
 **Warum wird die eduroam CA genutzt und nicht TCS oder die Community-PKI des DFN?** **Warum wird die eduroam CA genutzt und nicht TCS oder die Community-PKI des DFN?**
  
-Im Zuge der Abkündigung der DFN-PKI Global und den zeitgleichen Entwicklungen im CA/Browser-Forum haben wir uns im eduroam-Team dazu entschieden, für die RADIUS/TLS-Verbindung eine private CA zu nutzen. So sind wir unabhängig von den Vorgaben des CA/B-Forums, insb. was Zertifikatslaufzeiten und Zertifikatsattribute betrifft. Außerdem fallen durch die flache Hierarchie (Nur das Root-Zertifikat, keine Intermediate-CAs) häufige Fehlerquellen in der Zertifikatsüberprüfung weg.+Im Zuge der Abkündigung der DFN-PKI Global und den zeitgleichen Entwicklungen im CA/Browser-Forum haben wir uns im eduroam-Team dazu entschieden, für die nationale eduroam RadSec-Infrastruktur eine private CA zu nutzen. So sind wir unabhängig von den Vorgaben des CA/B-Forums, insb. was Zertifikatslaufzeiten und Zertifikatsattribute betrifft. Außerdem fallen durch die flache Hierarchie (Nur das Root-Zertifikat, keine Intermediate-CAs) häufige Fehlerquellen in der Zertifikatsüberprüfung weg.
 Es wurde sich gegen eine Nutzung der Community-PKI entschieden, da wir mit einer PKI ausschließlich für eduroam gewisse Freiheiten haben, die bei einer Co-Nutzung der PKI für andere Zwecke nicht gegeben sein würden. Es wurde sich gegen eine Nutzung der Community-PKI entschieden, da wir mit einer PKI ausschließlich für eduroam gewisse Freiheiten haben, die bei einer Co-Nutzung der PKI für andere Zwecke nicht gegeben sein würden.
 Nicht zuletzt ist mit der eduroam CA in Zukunft auch eine Automatisierung und Integration in DFN-Tools geplant, die mit einer browserverankerten CA nicht möglich sein würde. Nicht zuletzt ist mit der eduroam CA in Zukunft auch eine Automatisierung und Integration in DFN-Tools geplant, die mit einer browserverankerten CA nicht möglich sein würde.
  • Zuletzt geändert: vor 23 Monaten