Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze		 Předchozí verze
Následující verzeObě strany příští revize
cs:spravce:pripojovani:serverove_certifikaty [2018/05/16 08:55] – [Certifikát pro RadSec/IPsec] semik@cesnet.czcs:spravce:pripojovani:serverove_certifikaty [2018/11/01 15:26] – [Certifikát od CESNET CA3] semik@cesnet.cz
Řádek 24: Řádek 24:
  
 **Národní RADIUS používá certifikát vydaný [[http://pki.cesnet.cz/en/ch-cca-crt-crl.html|CESNET CA3]]**. **Národní RADIUS používá certifikát vydaný [[http://pki.cesnet.cz/en/ch-cca-crt-crl.html|CESNET CA3]]**.
- 
-Je vyžadováno aby CN subjectu certifikátu pro RadSec anebo IPsec obsahovalo jméno pod kterým je server organizace registrován v CESNET CAAS ([[http://lists.open.com.au/pipermail/radiator/2017-October/021035.html|důvody]]). Národní RADIUS **nepracuje** se subjAltName:DNS. 
  
 ===== Certifikát pro RADIUS ===== ===== Certifikát pro RADIUS =====
Řádek 45: Řádek 43:
 Nemůžeme ale slíbit, že CESNET CA Root bude používán až do konce své platnosti, tedy do roku 2029. Může dojít k situaci, kdy stávající 2048 klíč bude nedostatečně kvalitní, tento problém mají ale ostatní CA také. Nemůžeme ale slíbit, že CESNET CA Root bude používán až do konce své platnosti, tedy do roku 2029. Může dojít k situaci, kdy stávající 2048 klíč bude nedostatečně kvalitní, tento problém mají ale ostatní CA také.
  
-Nevýhodou řešení s CESNET CA Root je, že většina je služeb převedena na [[http://pki.cesnet.cz/cs/st-guide-tcs-server.html|službu TCS]], a tudíž nutnost importu dalšího kořene nepřinese uživatelům mnoho výhod navíc. CESNET CA3 vydává certikáty pro servery jen v omezené míře, pro RADIUS servery pro eduroam budou certifikáty vydávány bez omezení i pro ogranizace používající CESNET TCS.+Nevýhodou řešení s CESNET CA Root je, že většina je služeb převedena na [[https://pki.cesnet.cz/cs/st-guide-tcs-server2.html|službu TCS]], a tudíž nutnost importu dalšího kořene nepřinese uživatelům mnoho výhod navíc. CESNET CA3 vydává certikáty pro servery jen v omezené míře, pro RADIUS servery pro eduroam budou certifikáty vydávány bez omezení i pro ogranizace používající CESNET TCS.
  
 ==== Certifikát od TCS ==== ==== Certifikát od TCS ====
Řádek 60: Řádek 58:
 ====== Časté problémy s certifikáty ====== ====== Časté problémy s certifikáty ======
  
 +===== OpenSSL pro Windows =====
 +
 +Je ke stažení: https://sourceforge.net/projects/openssl/
  
  
Řádek 87: Řádek 88:
  
 <code> <code>
-openssl pkcs12 -chain -inkey certifikat.key -in certifikat.crt -name "popisek" -out certifikat.p12 -export+openssl pkcs12 -chain -CAfile chain_CA.pem -inkey certifikat.key -in certifikat.crt -name "popisek" -out certifikat.p12 -export
 </code> </code>
  
-Pokud nemáte na systému správně nainstalované OpenSSL bude možná nutné použít -CAfile jako argument mu předat [[http://www.cesnet.cz/pki/|kořenový certifikát CESNET CA]]. +Parametr -CAfile musíte použít na Windows na Linuxu pokud nemáte certifikát v cestě kde ho OpenSSL očekává. Obsahem je certifikát CA která vydala certifikát pro váš RADIUS a nebo celý řetěz. V eduroamu tedy od [[https://pki.cesnet.cz/cs/ch-tcs-crt-crl.html|služby TCS]] anebo od [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca|eduroam CA]].
 ===== Jak zobrazit obsah certifikátu? ===== ===== Jak zobrazit obsah certifikátu? =====
  
Řádek 122: Řádek 122:
 </code> </code>
  
-===== Ověření certifikátu radius1.eduroam.cz =====+===== Ověření certifikátu radius1.eduroam.cz pro RadSec =====
  
 Ověření toho jakým certifikátem se prezentuje národní RADIUS se provede pomocí OpenSSL: Ověření toho jakým certifikátem se prezentuje národní RADIUS se provede pomocí OpenSSL:
Řádek 132: Řádek 132:
 {{:cs:spravce:pripojovani:ldap21-narodni.txt.gz|Příklad výstupu}}.  {{:cs:spravce:pripojovani:ldap21-narodni.txt.gz|Příklad výstupu}}. 
  
-===== Ověření navázání spojení s radius1.eduroam.cz =====+===== Ověření navázání spojení s radius1.eduroam.cz pomocí RadSec ===== 
 + 
 +Na Windows:
  
 <code> <code>
-openssl s_client -connect radius1.eduroam.cz:2083 -CAfile  +openssl s_client -connect radius1.eduroam.cz:2083 -CAfile chain_CESNET_CA3.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < nul 
-/etc/freeradius/3.0/certs/chain_CESNET_CA3.pem -cert vas_certifikat.pem  +</code> 
--key klic_k_certifikatu.pem < /dev/null+ 
 +Na Linuxu: 
 + 
 +<code> 
 +openssl s_client -connect radius1.eduroam.cz:2083 -CAfile /etc/freeradius/3.0/certs/chain_CESNET_CA3.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < /dev/null
 </code> </code>
  
Řádek 145: Řádek 151:
  
 To že národní RADIUS akceptuje certifikát poznáte podle toho že se spojení naváže. Zda dopadlo ověření certifikátů národního RADIUS serveru dobře poznáte podle návratového kódu: To že národní RADIUS akceptuje certifikát poznáte podle toho že se spojení naváže. Zda dopadlo ověření certifikátů národního RADIUS serveru dobře poznáte podle návratového kódu:
 +
 +Na Linuxu:
  
 <code> <code>
 echo $? echo $?
 +</code>
 +
 +Na Windows:
 +
 +<code>
 +echo %errorlevel%
 </code> </code>
  
 Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku ''Verify return code'' Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku ''Verify return code''