Dies ist eine alte Version des Dokuments!
eduroam CA
Was ist die eduroam CA?
Die eduroam CA ist eine private CA für eduroam in Deutschland, die vom DFN-Verein angeboten und betrieben wird.
Der primäre Anwendungsfall ist die Absicherung der RADIUS/TLS-Verbindung zwischen den Einrichtungen und den Föderationsproxies des DFN-Vereins.
Zusätzlich kann die CA für RADIUS-Server genutzt werden.
Da die private CA nicht an die Vorgaben des CA/Browser-Forums gebunden ist, sind längere Zertifikatslaufzeiten und spezielle Zertifikats-Attribute möglich.
Zertifikatsprofile
Die eduroam CA unterstützt verschiedene Zertifikatsprofile, die verschiedene Probleme lösen.
Für RadSec wird zwischen Server und Client unterschieden. Ein Radsec Client schickt Authentifizierungsanfragen in die eduroam-Föderation (Login von Gästen an der eigenen Einrichtung). Ein Radsec Server nimmt Authentifizierungsanfragen entgegen (Login von Einrichtungsmitgliedern, die gerade an einer anderen Einrichtung sind). Im Normalfall sollte das Zertifikatsprofil RadSec Client Server ausgewählt werden. Die folgenden Profile können ausgewählt werden:
| Profil | Zweck |
|---|---|
| RadSec Client | Profil für Radsecproxies von reinen Service Providern (SP) bzw. Einrichtungen ohne eigenen RADIUS-Server (z.B. easyroam-Teilnehmer) |
| RadSec Server | Profil für Radsecproxies von reinen Identity Providern (IdP) (z.B. wenn kein eigenes eduroam ausgestrahlt wird, weil eine andere Einrichtung am selben Ort eduroam ausstrahlt) |
| RadSec Client Server | Profil für Radsecproxies für IdP+SP (Normalfall für teilnehmende Einrichtungen) |
| RADIUS Server | Profil für Nutzung im RADIUS-Server für TLS-basierte EAP-Methoden (z.B. EAP-TLS/EAP-TTLS/EAP-PEAP) |
| User | Nur für interne Zwecke, Anträge mit diesem Profil werden nicht bearbeitet. |
Beantragung eines Zertifikats
Für die Beantragung eines Zertifikats muss ein CSR mit den relevanten Daten generiert, im PKI-Portal hochgeladen und die PDF-Datei mit dem Antrag an das eduroam-Team gesendet werden.
CSR generieren
Generieren Sie sich einen Certificate Signing Request mit den folgenden Eigenschaften:
- Privater Schlüssel: RSA mit 4096 bit
- Subject muss (fett) bzw. darf (kursiv) die folgenden Werte enthalten:
- C=DE,ST=<Bundesland>,L=<Ort>,O=<Organisation (keine Akronyme)>,OU=<Organisationseinheit>,CN=<FQDN>
- Im SubjectAlternativeName (SAN) können DNS-Aliases eingetragen werden.
- Alle Namen (FQDN und DNS-Aliases im SAN) müssen zur Einrichtung gehören und auflösbar sein.
Beispiel für die Generierung eines Zertifikatsrequests mit zugehörigem private Key mit OpenSSL:
openssl req -new -newkey rsa:4096 -nodes -keyout radsec_key.pem -out radsec_csr.pem -subj "/C=DE/ST=<Bundesland>/L=<Ort>/O=<Organisationsname (keine Akronyme)>/OU=<Organisationseinheit>/CN=<FQDN>" # Bei zusätzlichen SubjectAltName-Attributen kann noch das folgende angefügt werden: -addext "subjectAltName = DNS:<FQDN 1>,DNS:<FQDN 2>,DNS:<FQDN 3>"
CSR-Upload
- Wählen Sie das korrekte Zertifikatsprofil aus (siehe oben) und laden Sie die CSR-Datei hoch
- Tragen Sie Kontaktdaten ein:
- Vollständiger Name: Name der antragstellenden Person
- E-Mail: Bevorzugt eine Funktions-Adresse, da an diese Adresse u.a. Zertifikats-Ablauf-Warnungen verschickt werden.
- Füllen Sie die restlichen Pflichtfelder des Formulars aus und bestätigen Sie den Antrag.
- Laden Sie das Zertifikatsantragsformular (PDF) herunter.
Antrag an das eduroam-Team übermitteln
- Senden Sie den Zertifikatsantrag (PDF) an eduroam-ca@dfn.de
- Der Antrag muss von einer bei uns hinterlegten Kontaktperson geschickt werden.
- Die Mail muss per S/MIME (DFN-PKI oder TCS) signiert sein.
- Ist S/MIME nicht möglich, das in der Mail entsprechend vermerken, damit wir eine alternative Verifizierungsmethode (i.d.R. telefonischer Abgleich von Antragsdaten) vornehmen können.