Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze		 Předchozí verze
Následující verzeObě strany příští revize
cs:spravce:pripojovani:serverove_certifikaty [2018/05/16 08:34] semik@cesnet.czcs:spravce:pripojovani:serverove_certifikaty [2018/08/24 10:50] – [Ověření navázání spojení s radius1.eduroam.cz] semik@cesnet.cz
Řádek 5: Řádek 5:
 Pro RadSec anebo IPsec musí správci připojované instituce získat certifikát od Pro RadSec anebo IPsec musí správci připojované instituce získat certifikát od
 uznávané CA: uznávané CA:
-  * [[http://pki.cesnet.cz/cs/st-guide-tcs-server2.html|TCS]] 
-    * pro instituce připojené k CESNETu 
-  * eduroam CA 
-    * pro instituce **NE**připojené k CESNETu 
-  * [[http://pki.cesnet.cz/cs/st-server-cca.html|CESNET CA3]] 
-    * používá národní RADIUS 
-    * výjimečně může vydat certifikát pro RADIUS server organizace, pro účely eduroamu má zbytečně přísná pravidla ověření žadatetele 
  
-**Národní RADIUS používá certifikát vydaný [[http://pki.cesnet.cz/en/ch-cca-crt-crl.html|CESNET CA3]]**.+==== TCS ==== 
 +  pro instituce připojené k CESNETu 
 +  * [[http://pki.cesnet.cz/cs/st-guide-tcs-server2.html|dokumnetace]]
  
-Je vyžadováno aby CN subjectu certifikátu pro RadSec anebo IPsec obsahovalo jméno pod kterým je server organizace registrován v CESNET CAAS ([[http://lists.open.com.au/pipermail/radiator/2017-October/021035.html|důvody]]). Národní RADIUS **nepracuje** se subjAltName:DNS.+ 
 +==== eduroam CA ==== 
 +  * pro instituce **NE**připojené k CESNETu 
 +  * [[eduroamCA|dokumentace]] 
 + 
 +==== CESNET CA3 ==== 
 +  * používá národní RADIUS 
 +  * výjimečně může vydat certifikát pro RADIUS server organizace, pro účely eduroamu má zbytečně přísná pravidla ověření žadatetele 
 +  * [[http://pki.cesnet.cz/cs/st-server-cca.html|dokumentace]] 
 + 
 +===== ===== 
 + 
 + 
 +**Národní RADIUS používá certifikát vydaný [[http://pki.cesnet.cz/en/ch-cca-crt-crl.html|CESNET CA3]]**.
  
 ===== Certifikát pro RADIUS ===== ===== Certifikát pro RADIUS =====
Řádek 50: Řádek 58:
 ====== Časté problémy s certifikáty ====== ====== Časté problémy s certifikáty ======
  
 +===== OpenSSL pro Windows =====
 +
 +Je ke stažení: https://sourceforge.net/projects/openssl/
  
  
Řádek 77: Řádek 88:
  
 <code> <code>
-openssl pkcs12 -chain -inkey certifikat.key -in certifikat.crt -name "popisek" -out certifikat.p12 -export+openssl pkcs12 -chain -CAfile chain_CA.pem -inkey certifikat.key -in certifikat.crt -name "popisek" -out certifikat.p12 -export
 </code> </code>
  
-Pokud nemáte na systému správně nainstalované OpenSSL bude možná nutné použít -CAfile jako argument mu předat [[http://www.cesnet.cz/pki/|kořenový certifikát CESNET CA]]. +Parametr -CAfile musíte použít na Windows na Linuxu pokud nemáte certifikát v cestě kde ho OpenSSL očekává. Obsahem je certifikát CA která vydala certifikát pro váš RADIUS a nebo celý řetěz. V eduroamu tedy od [[https://pki.cesnet.cz/cs/ch-tcs-crt-crl.html|služby TCS]] anebo od [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca|eduroam CA]].
 ===== Jak zobrazit obsah certifikátu? ===== ===== Jak zobrazit obsah certifikátu? =====
  
Řádek 122: Řádek 132:
 {{:cs:spravce:pripojovani:ldap21-narodni.txt.gz|Příklad výstupu}}.  {{:cs:spravce:pripojovani:ldap21-narodni.txt.gz|Příklad výstupu}}. 
  
-===== Ověření navázání spojení s radius1.eduroam.cz =====+===== Ověření navázání spojení s radius1.eduroam.cz pomocí RadSec ===== 
 + 
 +Na Windows:
  
 <code> <code>
-openssl s_client -connect radius1.eduroam.cz:2083 -CAfile  +openssl s_client -connect radius1.eduroam.cz:2083 -CAfile chain_CESNET_CA3.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < nul 
-/etc/freeradius/3.0/certs/chain_CESNET_CA3.pem -cert vas_certifikat.pem  +</code> 
--key klic_k_certifikatu.pem < /dev/null+ 
 +Na Linuxu: 
 + 
 +<code> 
 +openssl s_client -connect radius1.eduroam.cz:2083 -CAfile /etc/freeradius/3.0/certs/chain_CESNET_CA3.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < /dev/null
 </code> </code>
  
Řádek 135: Řádek 151:
  
 To že národní RADIUS akceptuje certifikát poznáte podle toho že se spojení naváže. Zda dopadlo ověření certifikátů národního RADIUS serveru dobře poznáte podle návratového kódu: To že národní RADIUS akceptuje certifikát poznáte podle toho že se spojení naváže. Zda dopadlo ověření certifikátů národního RADIUS serveru dobře poznáte podle návratového kódu:
 +
 +Na Linuxu:
  
 <code> <code>
 echo $? echo $?
 +</code>
 +
 +Na Windows:
 +
 +<code>
 +echo %errorlevel%
 </code> </code>
  
 Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku ''Verify return code'' Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku ''Verify return code''