Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
playground:eduroam-ca [2023/05/03 21:23] – zwischenversion Jan-Frederik Rieckers | playground:eduroam-ca [2023/05/04 16:44] (aktuell) – Einarbeitung Anmerkungen RP Jan-Frederik Rieckers | ||
---|---|---|---|
Zeile 3: | Zeile 3: | ||
===== Was ist die eduroam CA? ===== | ===== Was ist die eduroam CA? ===== | ||
- | Die eduroam CA ist eine private CA für eduroam in Deutschland. | + | Die [[https:// |
- | Der primäre Anwendungsfall ist die Absicherung der RADIUS/TLS-Verbindung | + | Der primäre Anwendungsfall ist die Absicherung der RADIUS/TLS(RadSec)-Infrastuktur für die RADIUS-Kommunikation |
Zusätzlich kann die CA für RADIUS-Server genutzt werden. | Zusätzlich kann die CA für RADIUS-Server genutzt werden. | ||
- | Da die private CA nicht an die Vorgaben des CA/ | + | Da die private CA nicht an die Vorgaben des CA/ |
+ | |||
+ | Das Root-Zertifikat ([[https:// | ||
+ | ^ Subject: | C = DE, O = Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., CN = eduroam Service Root CA | | ||
+ | ^ Gültig ab: | Jan 26 14:08:41 2022 GMT | | ||
+ | ^ Gültig bis: | Jan 21 14:08:41 2042 GMT | | ||
+ | ^ SHA-1-Fingerprint: | ||
+ | ^ SHA-256-Fingerprint: | ||
+ | |||
+ | Die von der eduroam CA ausgestellten Zertifikate haben einen Gültigkeitszeitraum von 37 Monaten (3 Jahre + 1 Monat). | ||
===== Zertifikatsprofile ===== | ===== Zertifikatsprofile ===== | ||
- | Die eduroam CA unterstützt verschiedene Zertifikatsprofile, | + | Die eduroam CA unterstützt verschiedene Zertifikatsprofile, |
- | Im Normalfall sollte das Zertifikatsprofil **RadSec Client Server** ausgewählt werden. | + | Für RadSec wird zwischen Server und Client unterschieden. Ein Radsec Client schickt Authentifizierungsanfragen in die eduroam-Föderation (Login von Gästen an der eigenen Einrichtung). Ein Radsec Server nimmt Authentifizierungsanfragen entgegen (Login von Einrichtungsmitgliedern, |
+ | **Im Normalfall** sollte das Zertifikatsprofil **RadSec Client Server** ausgewählt werden. | ||
^ Profil ^ Zweck ^ | ^ Profil ^ Zweck ^ | ||
- | | RadSec Client | Profil für Radsecproxies | + | | RadSec Client |
- | | RadSec | + | | RadSec |
- | | **RadSec | + | | RadSec Server | Profil für Radsecproxies |
| RADIUS Server | Profil für Nutzung im RADIUS-Server für TLS-basierte EAP-Methoden (z.B. EAP-TLS/ | | RADIUS Server | Profil für Nutzung im RADIUS-Server für TLS-basierte EAP-Methoden (z.B. EAP-TLS/ | ||
- | | User | Nur für interne Zwecke, | + | | //User// | //Nur für interne Zwecke, Anträge |
===== Beantragung eines Zertifikats ===== | ===== Beantragung eines Zertifikats ===== | ||
+ | |||
+ | Für die Beantragung eines Zertifikats muss ein CSR mit den relevanten Daten generiert, im PKI-Portal hochgeladen und die PDF-Datei mit dem Antrag an das eduroam-Team gesendet werden. | ||
+ | |||
+ | Der Antrag **muss** über den CSR (PKCS#10) Upload gestellt werden. Beim alternativen Weg, der auf der Webseite der DFN-PKI angeboten wird (Server-Zertifikat inkl. Schlüsselerzeugung) können die geforderten Attribute (insb. der Name der Einrichtung) im Web-Formular nicht angegeben werden. | ||
+ | |||
+ | === CSR generieren === | ||
+ | |||
+ | Generieren Sie sich einen Certificate Signing Request mit den folgenden Eigenschaften: | ||
+ | * Privater Schlüssel: RSA mit 4096 bit | ||
+ | * Subject muss (**fett**) bzw. darf (// | ||
+ | * **C=DE**,// | ||
+ | * Im SubjectAlternativeName (SAN) können DNS-Aliases eingetragen werden. | ||
+ | * Alle Domain-Namen (FQDN im Subject und DNS-Aliases im SAN) müssen zur Einrichtung gehören und auflösbar sein. | ||
+ | |||
+ | Beispiel für die Generierung eines Zertifikatsrequests mit zugehörigem private Key mit OpenSSL: | ||
+ | < | ||
+ | openssl req -new -newkey rsa:4096 -nodes -keyout radsec_key.pem -out radsec_csr.pem -subj "/ | ||
+ | |||
+ | # Bei zusätzlichen SubjectAltName-Attributen kann noch das folgende angefügt werden: | ||
+ | |||
+ | -addext " | ||
+ | </ | ||
+ | |||
+ | === CSR-Upload === | ||
+ | |||
+ | * Öffnen Sie [[https:// | ||
+ | * Wählen Sie das korrekte [[# | ||
+ | * Tragen Sie Kontaktdaten ein: | ||
+ | * Vollständiger Name: Name der antragstellenden Person | ||
+ | * E-Mail: Bevorzugt eine Funktions-Adresse, | ||
+ | * Füllen Sie die restlichen Pflichtfelder des Formulars aus und bestätigen Sie den Antrag. | ||
+ | * Laden Sie das Zertifikatsantragsformular (PDF) herunter. | ||
+ | |||
+ | === Antrag an das eduroam-Team übermitteln === | ||
+ | * Senden Sie den Zertifikatsantrag (PDF) an [[mailto: | ||
+ | * Der Antrag muss von einer bei uns hinterlegten Kontaktperson geschickt werden. | ||
+ | * Die Absender-Mail-Adresse muss nicht mit der Mail-Adresse aus dem Antrag übereinstimmen, | ||
+ | * Die Mail muss per S/MIME (DFN-PKI oder TCS) signiert sein. | ||
+ | * Ist S/MIME nicht möglich, das in der Mail entsprechend vermerken, damit wir eine alternative Verifizierungsmethode (i.d.R. telefonischer Abgleich von Antragsdaten) vornehmen können. | ||
+ | * Nach Prüfung des Antrags durch das eduroam-Team wird das signierte Zertifikat an die im Antrag angegebene Mail-Adresse verschickt. | ||
+ | |||
+ | === Wechseln der Zertifikate === | ||
+ | < | ||
+ | Wenn Sie das **RADIUS**-Server-Zertifikat auf die eduroam CA umstellen wollen, beachten Sie bitte, dass es dann erforderlich ist, dass alle Endgeräte der Nutzenden das neue Root-Zertifikat konfigurieren müssen, da das Root-Zertifikat gepinnt ist. Sie können hierfür z.B. Eduroam CAT nutzen. | ||
+ | |||
+ | Wenn lediglich das **Radsec**-Zertifikat getauscht wird, ist das für die Endgeräte transparent, | ||
+ | </ | ||
+ | |||
+ | Bitte beachten Sie, dass der Wechsel der Zertifkate nicht automatisch geschieht. | ||
+ | Sie benötigen das Root-Zertifikat der eduroam CA sowie das neu ausgestellte Zertifikat inklusive zugehörigem privaten Schlüssel. | ||
+ | In der Radsecproxy-Konfiguration muss dann die eduroam CA als Root-Zertifikat hinterlegt werden, da die Föderationsproxies nach der Umstellung ebenfalls ein Zertifikat aus der eduroam CA übermitteln. | ||
+ | |||
+ | Für die Umstellung schicken Sie uns eine Mail an [[mailto: | ||
+ | |||
+ | Eine Beispiel-Konfiguration für die Konfiguration von Radsecproxy für die eduroam CA finden Sie auf unserer [[[[de: | ||
+ | |||
+ | Bei Fragen/ | ||
+ | |||
+ | ===== FAQ zur eduroam CA ===== | ||
+ | |||
+ | **Warum wird die eduroam CA genutzt und nicht TCS oder die Community-PKI des DFN?** | ||
+ | |||
+ | Im Zuge der Abkündigung der DFN-PKI Global und den zeitgleichen Entwicklungen im CA/ | ||
+ | Es wurde sich gegen eine Nutzung der Community-PKI entschieden, | ||
+ | Nicht zuletzt ist mit der eduroam CA in Zukunft auch eine Automatisierung und Integration in DFN-Tools geplant, die mit einer browserverankerten CA nicht möglich sein würde. | ||
+ | |||
+ | **Stellt die eduroam CA Nutzer-Zertifikate aus?** | ||
+ | |||
+ | Nein, die eduroam CA ist ausschließlich für Server-Zertifikate gedacht. Nutzer-Zertifikate jeglicher Art (z.B. für S/MIME oder zertifikatsbasierten eduroam-Login) werden nicht ausgestellt. | ||
+ | |||
+ | **Was mache ich, wenn ich die Antrags-Mail nicht per S/MIME signiert schicken kann?** | ||
+ | |||
+ | Fügen Sie der Mail mit dem Zertifikatsantrag bitte einfach eine kurze Notiz hinzu, dass Ihre Einrichtung kein S/MIME unterstützt. | ||
+ | Wir können dann über einen alternativen Weg (i.d.R. telefonischer Abgleich von Antrags-ID und Fingerprint des Public Key) den Antrag verifizieren. | ||
+ | |||
+ | **Kann ein Dienstleister Zertifikate aus der eduroam CA beantragen? | ||
+ | |||
+ | Grundsätzlich kann auch ein Dienstleister die Zertifikate benatragen. Wenn der Dienstleister allerdings nicht bei uns als Ansprechpartner hinterlegt ist, benötigen wir noch eine Bestätigung der Einrichtung, | ||
+ |