Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
|
cs:spravce:pripojovani:serverove_certifikaty [2018/05/16 10:34] jan.tomasek@cesnet.cz |
cs:spravce:pripojovani:serverove_certifikaty [2018/08/24 12:50] jan.tomasek@cesnet.cz [Ověření navázání spojení s radius1.eduroam.cz] |
||
|---|---|---|---|
| Řádek 5: | Řádek 5: | ||
| Pro RadSec anebo IPsec musí správci připojované instituce získat certifikát od | Pro RadSec anebo IPsec musí správci připojované instituce získat certifikát od | ||
| uznávané CA: | uznávané CA: | ||
| - | * [[http://pki.cesnet.cz/cs/st-guide-tcs-server2.html|TCS]] | ||
| - | * pro instituce připojené k CESNETu | ||
| - | * eduroam CA | ||
| - | * pro instituce **NE**připojené k CESNETu | ||
| - | * [[http://pki.cesnet.cz/cs/st-server-cca.html|CESNET CA3]] | ||
| - | * používá národní RADIUS | ||
| - | * výjimečně může vydat certifikát pro RADIUS server organizace, pro účely eduroamu má zbytečně přísná pravidla ověření žadatetele | ||
| - | **Národní RADIUS používá certifikát vydaný [[http://pki.cesnet.cz/en/ch-cca-crt-crl.html|CESNET CA3]]**. | + | ==== TCS ==== |
| + | * pro instituce připojené k CESNETu | ||
| + | * [[http://pki.cesnet.cz/cs/st-guide-tcs-server2.html|dokumnetace]] | ||
| - | Je vyžadováno aby CN subjectu certifikátu pro RadSec anebo IPsec obsahovalo jméno pod kterým je server organizace registrován v CESNET CAAS ([[http://lists.open.com.au/pipermail/radiator/2017-October/021035.html|důvody]]). Národní RADIUS **nepracuje** se subjAltName:DNS. | + | |
| + | ==== eduroam CA ==== | ||
| + | * pro instituce **NE**připojené k CESNETu | ||
| + | * [[eduroamCA|dokumentace]] | ||
| + | |||
| + | ==== CESNET CA3 ==== | ||
| + | * používá národní RADIUS | ||
| + | * výjimečně může vydat certifikát pro RADIUS server organizace, pro účely eduroamu má zbytečně přísná pravidla ověření žadatetele | ||
| + | * [[http://pki.cesnet.cz/cs/st-server-cca.html|dokumentace]] | ||
| + | |||
| + | ===== ===== | ||
| + | |||
| + | |||
| + | **Národní RADIUS používá certifikát vydaný [[http://pki.cesnet.cz/en/ch-cca-crt-crl.html|CESNET CA3]]**. | ||
| ===== Certifikát pro RADIUS ===== | ===== Certifikát pro RADIUS ===== | ||
| Řádek 50: | Řádek 58: | ||
| ====== Časté problémy s certifikáty ====== | ====== Časté problémy s certifikáty ====== | ||
| + | ===== OpenSSL pro Windows ===== | ||
| + | |||
| + | Je ke stažení: https://sourceforge.net/projects/openssl/ | ||
| Řádek 77: | Řádek 88: | ||
| <code> | <code> | ||
| - | openssl pkcs12 -chain -inkey certifikat.key -in certifikat.crt -name "popisek" -out certifikat.p12 -export | + | openssl pkcs12 -chain -CAfile chain_CA.pem -inkey certifikat.key -in certifikat.crt -name "popisek" -out certifikat.p12 -export |
| </code> | </code> | ||
| - | Pokud nemáte na systému správně nainstalované OpenSSL bude možná nutné použít -CAfile a jako argument mu předat [[http://www.cesnet.cz/pki/|kořenový certifikát CESNET CA]]. | + | Parametr -CAfile musíte použít na Windows a na Linuxu pokud nemáte certifikát v cestě kde ho OpenSSL očekává. Obsahem je certifikát CA která vydala certifikát pro váš RADIUS a nebo celý řetěz. V eduroamu tedy od [[https://pki.cesnet.cz/cs/ch-tcs-crt-crl.html|služby TCS]] anebo od [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca|eduroam CA]]. |
| ===== Jak zobrazit obsah certifikátu? ===== | ===== Jak zobrazit obsah certifikátu? ===== | ||
| Řádek 122: | Řádek 132: | ||
| {{:cs:spravce:pripojovani:ldap21-narodni.txt.gz|Příklad výstupu}}. | {{:cs:spravce:pripojovani:ldap21-narodni.txt.gz|Příklad výstupu}}. | ||
| - | ===== Ověření navázání spojení s radius1.eduroam.cz ===== | + | ===== Ověření navázání spojení s radius1.eduroam.cz pomocí RadSec ===== |
| + | |||
| + | Na Windows: | ||
| <code> | <code> | ||
| - | openssl s_client -connect radius1.eduroam.cz:2083 -CAfile | + | openssl s_client -connect radius1.eduroam.cz:2083 -CAfile chain_CESNET_CA3.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < nul |
| - | /etc/freeradius/3.0/certs/chain_CESNET_CA3.pem -cert vas_certifikat.pem | + | </code> |
| - | -key klic_k_certifikatu.pem < /dev/null | + | |
| + | Na Linuxu: | ||
| + | |||
| + | <code> | ||
| + | openssl s_client -connect radius1.eduroam.cz:2083 -CAfile /etc/freeradius/3.0/certs/chain_CESNET_CA3.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < /dev/null | ||
| </code> | </code> | ||
| Řádek 135: | Řádek 151: | ||
| To že národní RADIUS akceptuje certifikát poznáte podle toho že se spojení naváže. Zda dopadlo ověření certifikátů národního RADIUS serveru dobře poznáte podle návratového kódu: | To že národní RADIUS akceptuje certifikát poznáte podle toho že se spojení naváže. Zda dopadlo ověření certifikátů národního RADIUS serveru dobře poznáte podle návratového kódu: | ||
| + | |||
| + | Na Linuxu: | ||
| <code> | <code> | ||
| echo $? | echo $? | ||
| + | </code> | ||
| + | |||
| + | Na Windows: | ||
| + | |||
| + | <code> | ||
| + | echo %errorlevel% | ||
| </code> | </code> | ||
| Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku ''Verify return code''. | Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku ''Verify return code''. | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz