Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:spravce:pripojovani:serverove_certifikaty [2018/03/21 12:45] jan.tomasek@cesnet.cz [Certifikát pro RadSec/IPsec] |
cs:spravce:pripojovani:serverove_certifikaty [2018/08/23 15:16] machv@cesnet.cz [Ověření navázání spojení s radius1.eduroam.cz] |
||
---|---|---|---|
Řádek 3: | Řádek 3: | ||
===== Certifikát pro RadSec/IPsec ===== | ===== Certifikát pro RadSec/IPsec ===== | ||
- | Pro RadSec anebo IPsec musí správci připojované organizace získat certifikát od | + | Pro RadSec anebo IPsec musí správci připojované instituce získat certifikát od |
uznávané CA: | uznávané CA: | ||
- | * [[http://pki.cesnet.cz/cs/st-guide-tcs-server2.html|TCS]] - doporučovaná varianta | + | |
- | * CN=TERENA SSL CA 3, O=TERENA, L=Amsterdam, ST=Noord-Holland, C=NL | + | ==== TCS ==== |
- | * CN=TERENA eScience SSL CA 3, O=TERENA, L=Amsterdam, ST=Noord-Holland, C=NL | + | * pro instituce připojené k CESNETu |
- | * CN=TERENA SSL High Assurance CA 3, O=TERENA, L=Amsterdam, ST=Noord-Holland, C=NL | + | * [[http://pki.cesnet.cz/cs/st-guide-tcs-server2.html|dokumnetace]] |
- | * CN=TERENA SSL CA 2, O=TERENA, L=Amsterdam, ST=Noord-Holland, C=NL | + | |
- | * CN=TERENA eScience SSL CA 2, O=TERENA, L=Amsterdam, ST=Noord-Holland, C=NL | + | |
- | * CN=TERENA SSL CA, O=TERENA, C=NL | + | ==== eduroam CA ==== |
- | * CN=TERENA eScience SSL CA, O=TERENA, C=NL | + | * pro instituce **NE**připojené k CESNETu |
- | * [[http://pki.cesnet.cz/cs/st-server-cca.html|CESNET CA3]] | + | * [[eduroamCA|dokumentace]] |
- | * cn=CESNET CA 3, o=CESNET CA, dc=cesnet-ca, dc=cz | + | |
- | * [[https://www.rapidssl.com/|RapidSSL]] - nedporučujeme, mění kořeny | + | ==== CESNET CA3 ==== |
- | * CN=RapidSSL CA, O=GeoTrust, Inc., C=US | + | * používá národní RADIUS |
- | * CN=RapidSSL SHA256 CA - G3, O=GeoTrust Inc., C=US | + | * výjimečně může vydat certifikát pro RADIUS server organizace, pro účely eduroamu má zbytečně přísná pravidla ověření žadatetele |
- | * CN=RapidSSL SHA256 CA - G2, O=GeoTrust Inc., C=US | + | * [[http://pki.cesnet.cz/cs/st-server-cca.html|dokumentace]] |
- | * CN=RapidSSL SHA256 CA, O=GeoTrust Inc., C=US | + | |
- | * <del>[[https://www.startssl.com/|StartSSL]]</del> | + | ===== ===== |
- | * <del>CN=StartCom Class 2 Primary Intermediate Server CA, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL</del> | + | |
- | * <del>CN=StartCom Class 1 DV Server CA, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL tj. kořen použitý službou vydávající certifikáty zdarma</del> | + | |
- | * <del>CN=StartCom Class 1 Primary Intermediate Server CA, OU=Secure Digital Certificate Signing, O=StartCom Ltd</del> | + | |
- | * <del>let's encrypt</del> nelze nepublikují CRL | + | |
- | * další CA nepřidáváme, pokud nemůžete získat certifikt od nějaké registrované CA, požádejte o vydání certifikátu emailem na [[info@eduroam.cz]]. | + | |
**Národní RADIUS používá certifikát vydaný [[http://pki.cesnet.cz/en/ch-cca-crt-crl.html|CESNET CA3]]**. | **Národní RADIUS používá certifikát vydaný [[http://pki.cesnet.cz/en/ch-cca-crt-crl.html|CESNET CA3]]**. | ||
- | Je vyžadováno aby CN subjectu certifikátu pro RadSec anebo IPsec obsahovalo jméno pod kterým je server organizace registrován v CESNET CAAS ([[http://lists.open.com.au/pipermail/radiator/2017-October/021035.html|důvody]]). Národní RADIUS **nepracuje** se subjAltName:DNS. | ||
===== Certifikát pro RADIUS ===== | ===== Certifikát pro RADIUS ===== | ||
Řádek 64: | Řádek 58: | ||
====== Časté problémy s certifikáty ====== | ====== Časté problémy s certifikáty ====== | ||
+ | ===== OpenSSL pro Windows ===== | ||
+ | |||
+ | Je ke stažení: https://sourceforge.net/projects/openssl/ | ||
Řádek 91: | Řádek 88: | ||
<code> | <code> | ||
- | openssl pkcs12 -chain -inkey certifikat.key -in certifikat.crt -name "popisek" -out certifikat.p12 -export | + | openssl pkcs12 -chain -CAfile chain_CA.pem -inkey certifikat.key -in certifikat.crt -name "popisek" -out certifikat.p12 -export |
</code> | </code> | ||
- | Pokud nemáte na systému správně nainstalované OpenSSL bude možná nutné použít -CAfile a jako argument mu předat [[http://www.cesnet.cz/pki/|kořenový certifikát CESNET CA]]. | + | Parametr -CAfile musíte použít na Windows a na Linuxu pokud nemáte certifikát v cestě kde ho OpenSSL očekává. Obsahem je certifikát CA která vydala certifikát pro váš RADIUS a nebo celý řetěz. V eduroamu tedy od [[https://pki.cesnet.cz/cs/ch-tcs-crt-crl.html|služby TCS]] anebo od [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca|eduroam CA]]. |
===== Jak zobrazit obsah certifikátu? ===== | ===== Jak zobrazit obsah certifikátu? ===== | ||
Řádek 137: | Řádek 133: | ||
===== Ověření navázání spojení s radius1.eduroam.cz ===== | ===== Ověření navázání spojení s radius1.eduroam.cz ===== | ||
+ | |||
+ | Na Windows: | ||
<code> | <code> | ||
- | openssl s_client -connect radius1.eduroam.cz:2083 -CAfile | + | openssl s_client -connect radius1.eduroam.cz:2083 -CAfile chain_CESNET_CA3.pem |
- | /etc/freeradius/3.0/certs/chain_CESNET_CA3.pem -cert vas_certifikat.pem | + | -cert vas_certifikat.pem -key klic_k_certifikatu.pem < nul |
- | -key klic_k_certifikatu.pem < /dev/null | + | </code> |
+ | |||
+ | Na Linuxu: | ||
+ | |||
+ | <code> | ||
+ | openssl s_client -connect radius1.eduroam.cz:2083 | ||
+ | -CAfile /etc/freeradius/3.0/certs/chain_CESNET_CA3.pem | ||
+ | -cert vas_certifikat.pem -key klic_k_certifikatu.pem < /dev/null | ||
</code> | </code> | ||
Řádek 149: | Řádek 154: | ||
To že národní RADIUS akceptuje certifikát poznáte podle toho že se spojení naváže. Zda dopadlo ověření certifikátů národního RADIUS serveru dobře poznáte podle návratového kódu: | To že národní RADIUS akceptuje certifikát poznáte podle toho že se spojení naváže. Zda dopadlo ověření certifikátů národního RADIUS serveru dobře poznáte podle návratového kódu: | ||
+ | |||
+ | Na Linuxu: | ||
<code> | <code> | ||
echo $? | echo $? | ||
+ | </code> | ||
+ | |||
+ | Na Windows: | ||
+ | |||
+ | <code> | ||
+ | echo %errorlevel% | ||
</code> | </code> | ||
Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku ''Verify return code''. | Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku ''Verify return code''. |