Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- cs:spravce:pripojovani:serverove_certifikaty [2018/03/21 12:45]
jan.tomasek@cesnet.cz [Certifikát pro RadSec/IPsec]
+++ cs:spravce:pripojovani:serverove_certifikaty [2018/08/23 15:16]
machv@cesnet.cz [Ověření navázání spojení s radius1.eduroam.cz]
@@ Řádek 3: / Řádek 3: @@
 ===== Certifikát pro RadSec/IPsec =====
-Pro RadSec anebo IPsec musí správci připojované organizace získat certifikát od
+Pro RadSec anebo IPsec musí správci připojované instituce získat certifikát od
 uznávané CA:
-  * [[http://pki.cesnet.cz/cs/st-guide-tcs-server2.html|TCS]] - doporučovaná varianta
-    * CN=TERENA SSL CA 3, O=TERENA, L=Amsterdam, ST=Noord-Holland, C=NL
+==== TCS ====
-    * CN=TERENA eScience SSL CA 3, O=TERENA, L=Amsterdam, ST=Noord-Holland, C=NL
+  * pro instituce připojené k CESNETu
-    * CN=TERENA SSL High Assurance CA 3, O=TERENA, L=Amsterdam, ST=Noord-Holland, C=NL
+  * [[http://pki.cesnet.cz/cs/st-guide-tcs-server2.html|dokumnetace]]
-    * CN=TERENA SSL CA 2, O=TERENA, L=Amsterdam, ST=Noord-Holland, C=NL
-    * CN=TERENA eScience SSL CA 2, O=TERENA, L=Amsterdam, ST=Noord-Holland, C=NL
-    * CN=TERENA SSL CA, O=TERENA, C=NL
+==== eduroam CA ====
-    * CN=TERENA eScience SSL CA, O=TERENA, C=NL
+  * pro instituce **NE**připojené k CESNETu
-  * [[http://pki.cesnet.cz/cs/st-server-cca.html|CESNET CA3]]
+  * [[eduroamCA|dokumentace]]
-    * cn=CESNET CA 3, o=CESNET CA, dc=cesnet-ca, dc=cz
-  * [[https://www.rapidssl.com/|RapidSSL]] - nedporučujeme, mění kořeny
+==== CESNET CA3 ====
-    * CN=RapidSSL CA, O=GeoTrust, Inc., C=US
+  * používá národní RADIUS
-    * CN=RapidSSL SHA256 CA - G3, O=GeoTrust Inc., C=US
+  * výjimečně může vydat certifikát pro RADIUS server organizace, pro účely eduroamu má zbytečně přísná pravidla ověření žadatetele
-    * CN=RapidSSL SHA256 CA - G2, O=GeoTrust Inc., C=US
+  * [[http://pki.cesnet.cz/cs/st-server-cca.html|dokumentace]]
-    * CN=RapidSSL SHA256 CA, O=GeoTrust Inc., C=US
-  * <del>[[https://www.startssl.com/|StartSSL]]</del>
+===== =====
-    * <del>CN=StartCom Class 2 Primary Intermediate Server CA, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL</del>
-    * <del>CN=StartCom Class 1 DV Server CA, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL tj. kořen použitý službou vydávající certifikáty zdarma</del>
-    * <del>CN=StartCom Class 1 Primary Intermediate Server CA, OU=Secure Digital Certificate Signing, O=StartCom Ltd</del>
-  * <del>let's encrypt</del> nelze nepublikují CRL
-  * další CA nepřidáváme, pokud nemůžete získat certifikt od nějaké registrované CA, požádejte o vydání certifikátu emailem na [[info@eduroam.cz]].
 **Národní RADIUS používá certifikát vydaný [[http://pki.cesnet.cz/en/ch-cca-crt-crl.html|CESNET CA3]]**.
-Je vyžadováno aby CN subjectu certifikátu pro RadSec anebo IPsec obsahovalo jméno pod kterým je server organizace registrován v CESNET CAAS ([[http://lists.open.com.au/pipermail/radiator/2017-October/021035.html|důvody]]). Národní RADIUS **nepracuje** se subjAltName:DNS.
 ===== Certifikát pro RADIUS =====
@@ Řádek 64: / Řádek 58: @@
 ====== Časté problémy s certifikáty ======
+===== OpenSSL pro Windows =====
+Je ke stažení: https://sourceforge.net/projects/openssl/
@@ Řádek 91: / Řádek 88: @@
 <code>
-openssl pkcs12 -chain -inkey certifikat.key -in certifikat.crt -name "popisek" -out certifikat.p12 -export
+openssl pkcs12 -chain -CAfile chain_CA.pem -inkey certifikat.key -in certifikat.crt -name "popisek" -out certifikat.p12 -export
 </code>
-Pokud nemáte na systému správně nainstalované OpenSSL bude možná nutné použít -CAfile a jako argument mu předat [[http://www.cesnet.cz/pki/|kořenový certifikát CESNET CA]].
+Parametr -CAfile musíte použít na Windows a na Linuxu pokud nemáte certifikát v cestě kde ho OpenSSL očekává. Obsahem je certifikát CA která vydala certifikát pro váš RADIUS a nebo celý řetěz. V eduroamu tedy od [[https://pki.cesnet.cz/cs/ch-tcs-crt-crl.html|služby TCS]] anebo od [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca|eduroam CA]].
 ===== Jak zobrazit obsah certifikátu? =====
@@ Řádek 137: / Řádek 133: @@
 ===== Ověření navázání spojení s radius1.eduroam.cz =====
+Na Windows:
 <code>
-openssl s_client -connect radius1.eduroam.cz:2083 -CAfile
+openssl s_client -connect radius1.eduroam.cz:2083 -CAfile chain_CESNET_CA3.pem
-/etc/freeradius/3.0/certs/chain_CESNET_CA3.pem -cert vas_certifikat.pem
+-cert vas_certifikat.pem -key klic_k_certifikatu.pem < nul
--key klic_k_certifikatu.pem < /dev/null
+</code>
+Na Linuxu:
+<code>
+openssl s_client -connect radius1.eduroam.cz:2083
+-CAfile /etc/freeradius/3.0/certs/chain_CESNET_CA3.pem
+-cert vas_certifikat.pem -key klic_k_certifikatu.pem < /dev/null
 </code>
@@ Řádek 149: / Řádek 154: @@
 To že národní RADIUS akceptuje certifikát poznáte podle toho že se spojení naváže. Zda dopadlo ověření certifikátů národního RADIUS serveru dobře poznáte podle návratového kódu:
+Na Linuxu:
 <code>
 echo $?
+</code>
+Na Windows:
+<code>
+echo %errorlevel%
 </code>
 Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku ''Verify return code''.

Rozdíly

Rychlé odkazy

Kontakt

Service desk