Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
|
cs:spravce:pripojovani:serverove_certifikaty [2018/05/16 21:58] jan.tomasek@cesnet.cz [CESNET CA3] |
cs:spravce:pripojovani:serverove_certifikaty [2019/09/21 13:44] jan.tomasek@cesnet.cz [CESNET CA3] |
||
|---|---|---|---|
| Řádek 1: | Řádek 1: | ||
| - | ====== Připojení k eduroam.cz: Získání serverových certifikátů ====== | + | ====== Certifikáty pro RADIUS server ====== |
| + | |||
| + | RADIUS server potřebuje certifikát pro dva různé účely. Prvním je bezpečné propojení s národním RADIUSem a druhým je EAP server, který slouží pro zabezpečení komunikace mezi uživatelským zařízením a RADIUS serverem. | ||
| ===== Certifikát pro RadSec/IPsec ===== | ===== Certifikát pro RadSec/IPsec ===== | ||
| Řádek 8: | Řádek 10: | ||
| ==== TCS ==== | ==== TCS ==== | ||
| * pro instituce připojené k CESNETu | * pro instituce připojené k CESNETu | ||
| - | * [[http://pki.cesnet.cz/cs/st-guide-tcs-server2.html|dokumnetace]] | + | * [[http://pki.cesnet.cz/cs/st-guide-tcs-server2.html|dokumentace]] |
| Řádek 17: | Řádek 19: | ||
| ==== CESNET CA3 ==== | ==== CESNET CA3 ==== | ||
| * používá národní RADIUS | * používá národní RADIUS | ||
| - | * výjimečně může vydat certifikát pro RADIUS server organizace, pro účely eduroamu má zbytečně přísná pravidla ověření žadatetele | ||
| * [[http://pki.cesnet.cz/cs/st-server-cca.html|dokumentace]] | * [[http://pki.cesnet.cz/cs/st-server-cca.html|dokumentace]] | ||
| + | |||
| + | ==== CESNET CA4 ==== | ||
| + | * bude používat národní RADIUS od 11/2019 | ||
| + | * [[:cs:spravce:pripojovani:serverove_certifikaty:cca4]] | ||
| ===== ===== | ===== ===== | ||
| Řádek 25: | Řádek 30: | ||
| **Národní RADIUS používá certifikát vydaný [[http://pki.cesnet.cz/en/ch-cca-crt-crl.html|CESNET CA3]]**. | **Národní RADIUS používá certifikát vydaný [[http://pki.cesnet.cz/en/ch-cca-crt-crl.html|CESNET CA3]]**. | ||
| - | ===== Certifikát pro RADIUS ===== | + | ===== Certifikát pro EAP server ===== |
| - | + | ||
| - | Aby RADIUS server mohl podporovat ověřování pomocí EAPu, musí mít | + | |
| - | X509 certifikát, tento certifikát ale **nemusí** být vydán CESNET | + | |
| - | CA3 ani TCS. Provozuje-li Vaše organizace vlastní CA, na kterou jsou uživatelé | + | |
| - | zvyklí, nic nebrání využití certifikátu od Vaší CA. Doporučujeme použití | + | |
| - | [[http://pki.cesnet.cz/cs/st-guide-tcs-server.html|certifikátu CESNET TCS]] | + | |
| - | který je podepsaný společností DigiCert. | + | |
| - | + | ||
| - | Diskuze k přechodu od CESNET CA k TCS anebo CESNET CCA3 je také v [[https://wiki.eduroam.cz/eduroam-admin/msg00508.html|archivu konference eduroam-admin]]. | + | |
| + | V případě výběru certifikační autority, která podepíše certifikát pro EAP server (pro PEAP/TTLS), má každá instituce v //eduroam//u mnohem větší volnost, ale také odpovědnost. Velmi dobré shrnutí všech úhlů pohledu na tuto problematiku obsahuje dokument [[https://wiki.geant.org/display/H2eduroam/EAP+Server+Certificate+considerations|EAP Server Certificate considerations]]. | ||
| - | ==== Certifikát od CESNET CA3 ==== | + | Bez ohledu na to, pro jakou CA se rozhodnete, je naprosto klíčové, aby zařízení vašich uživatelú ověřovala, že RADIUS server má certifikát na předem nakonfigurované jméno a že certifikát je od jedné konkrétní CA. Porušení jednoho nebo druhého bodu nezajistí dostatečnou ochranu přihlašovacích údajů. |
| - | [[http://pki.cesnet.cz/cs/ch-crt-crl.html#cesnet_ca_3|CESNET CA3]] má certifikát uložený v HW a tento certifikát je podepsán [[http://pki.cesnet.cz/cs/ch-crt-crl.html#cesnet_ca_root|CESNET CA Root]]. Certifikát CESNET CA Root je uložen ve formě nezávislé na HW. Pokud bude nutné nahradit certifikát CESNET CA3, bude možné pomocí CESNET CA Root podepsat certifikát jiné mezilehlé CA, která nahradí CESNET CA3. Uživatelé, kteří mají nastavenou důvěru pro hlavní kořen CESNET CA Root, nebudou muset nic měnit. Toto řešení slibuje, že kořen, který si uživatelé nainstalují, přežije obměnu HW a SW řešení. | + | Zhruba lze volbu CA, která podepíše certifikát EAP serveru, shrnout takto: |
| + | * provozujete-li vlastní CA, použijte ji | ||
| + | * v případě, že nemáte vlastní CA: | ||
| + | * použijte službu [[http://pki.cesnet.cz/cs/st-guide-tcs-server2.html|TCS]] (instituce připojené k CESNETu) | ||
| + | * použijte komerční CA (ostatní) | ||
| + | * Let's Encrypt by měl jít použít, pokud je možné na RADIUS serveru provozovat HTTP server, kvůli obnově certifikátu v 3měsíčních intervalech | ||
| + | * pokud máte více než jeden RADIUS server, použijte pro EAP jediné jméno, např. radius.vas-realm.cz, ruční konfigurace některých zařízení je pak snazší | ||
| + | * zajistěte, že uživatelé budou svá zařízení konfigurovat pomocí [[https://www.eduroam.cz/cs/uzivatel/sw/uvod|eduroam CAT]] | ||
| - | Nemůžeme ale slíbit, že CESNET CA Root bude používán až do konce své platnosti, tedy do roku 2029. Může dojít k situaci, kdy stávající 2048 klíč bude nedostatečně kvalitní, tento problém mají ale ostatní CA také. | ||
| - | Nevýhodou řešení s CESNET CA Root je, že většina je služeb převedena na [[http://pki.cesnet.cz/cs/st-guide-tcs-server.html|službu TCS]], a tudíž nutnost importu dalšího kořene nepřinese uživatelům mnoho výhod navíc. CESNET CA3 vydává certikáty pro servery jen v omezené míře, pro RADIUS servery pro eduroam budou certifikáty vydávány bez omezení i pro ogranizace používající CESNET TCS. | + | ====== Časté problémy s certifikáty ====== |
| - | ==== Certifikát od TCS ==== | + | ===== OpenSSL pro Windows ===== |
| - | + | ||
| - | [[https://pki.cesnet.cz/cs/st-guide-tcs-server2.html|Certifikáty TCS]] od firmy DigiCert jsou v současné době (rok 2016) doporučovanou volbou v podstatě pro všechny služby. Důvodem preference je, že certifikát [[https://pki.cesnet.cz/cs/ch-tcs-ssl-ca-3-crt-crl.html|DigiCert Assured ID Root CA]], který firma DigiCert používá, je předinstalován na drtivé většině platform. Dalším důvodem je, že služba je federovaná, a tudíž proces schvalování je posunut podstatně blíže uživatelům služby. | + | |
| - | + | ||
| - | Většina organizací připojených k //eduroam//u má na službu TCS nárok, protože jsou současně připojené i k síti CESNET 2. U některých organizací nemusí být získání služby TCS možné. Ověření dostupnosti můžete provést mailovým dotazem na adrese [[tcs-ra@cesnet.cz]]. | + | |
| - | + | ||
| - | ==== Self-sign certifikát na "20" let ==== | + | |
| - | + | ||
| - | Self-sign certifikát na dostatečně dlouhou dobu řeší problém s faktem, že obě předchozí služby mohou být ukončeny a vyvolat tak nutnost měnit konfiguraci uživatelských zařízení na celé instituci. Dalším důvodem proč zvolit tuto možnost je, že stále existují klientská zařízení, která nejdou pro připojení k eduroamu správně nastavit. Nebývá možné nastavit jméno očekávaného RADIUS serveru, je ale možné kontrolovat alespoň CA (např. Android <7, Windows Phone). Pokud se použije privátní CA je zajištěno že nikdo nemůže úspěšně získat uživatelské identity ze správně nastavených zařízení. | + | |
| - | + | ||
| - | Na druhou stranu provozování vlastní CA vyžaduje zkušeného správce a zdaleka nelze tuto cestu doporučit každému. | + | |
| - | ====== Časté problémy s certifikáty ====== | + | |
| + | Je ke stažení: https://sourceforge.net/projects/openssl/ | ||
| Řádek 63: | Řádek 56: | ||
| ===== DER -> PEM ===== | ===== DER -> PEM ===== | ||
| - | DER je binární kódování ASN.1 řetězců. PEM je ascii reprezentace téhož. Převod mezi oběma formáty se v případě certifikátu provádí pomocí | + | DER je binární kódování ASN.1 řetězců. PEM je ASCII reprezentace téhož. Převod mezi oběma formáty se v případě certifikátu provádí pomocí příkazu: |
| <code> | <code> | ||
| openssl x509 -inform DER -outform PEM <certifikat.der >certifikat.pem | openssl x509 -inform DER -outform PEM <certifikat.der >certifikat.pem | ||
| Řádek 77: | Řádek 70: | ||
| openssl pkcs12 -in certifikat.p12 -out certifikat.pem -nodes | openssl pkcs12 -in certifikat.p12 -out certifikat.pem -nodes | ||
| </code> | </code> | ||
| - | Pokud soubor ''certifikat.p12'' vyexportujete z prohlížeče, tak téměř jistě bude obsahovat i certifikát certifikační autority, která ho vydala. V souboru ''certifikat.pem'' je jak certifikát samotný tak i příslušný privátní klíč. | + | Pokud soubor ''certifikat.p12'' vyexportujete z prohlížeče, téměř jistě bude obsahovat i certifikát certifikační autority, která ho vydala. V souboru ''certifikat.pem'' je jak certifikát samotný, tak i příslušný privátní klíč. |
| Řádek 85: | Řádek 78: | ||
| <code> | <code> | ||
| - | openssl pkcs12 -chain -inkey certifikat.key -in certifikat.crt -name "popisek" -out certifikat.p12 -export | + | openssl pkcs12 -chain -CAfile chain_CA.pem -inkey certifikat.key -in certifikat.crt -name "popisek" -out certifikat.p12 -export |
| </code> | </code> | ||
| - | Pokud nemáte na systému správně nainstalované OpenSSL bude možná nutné použít -CAfile a jako argument mu předat [[http://www.cesnet.cz/pki/|kořenový certifikát CESNET CA]]. | + | Parametr -CAfile musíte použít na Windows a na Linuxu, pokud nemáte certifikát v cestě, kde ho OpenSSL očekává. Obsahem je certifikát CA, která vydala certifikát pro váš RADIUS a nebo celý řetěz. V eduroamu tedy od [[https://pki.cesnet.cz/cs/ch-tcs-crt-crl.html|služby TCS]] anebo od [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca|eduroam CA]]. |
| ===== Jak zobrazit obsah certifikátu? ===== | ===== Jak zobrazit obsah certifikátu? ===== | ||
| Řádek 96: | Řádek 88: | ||
| </code> | </code> | ||
| - | Pomocí výše uvedeného příkazu se můžete přesvědčit, že certifikát má požadovanou extenzi TLS server. Výpis by měl obsahovat | + | Pomocí výše uvedeného příkazu se můžete přesvědčit, že certifikát má požadovanou extenzi TLS server. Výpis by měl obsahovat: |
| <code> | <code> | ||
| Řádek 111: | Řádek 103: | ||
| - | ===== Jak zjistit jestli certifikát a privátní klíč patří k sobě? ===== | + | ===== Jak zjistit, jestli certifikát a privátní klíč patří k sobě? ===== |
| Vypište si a porovnejte modulus certifikátu a privátního klíče: | Vypište si a porovnejte modulus certifikátu a privátního klíče: | ||
| Řádek 120: | Řádek 112: | ||
| </code> | </code> | ||
| - | ===== Ověření certifikátu radius1.eduroam.cz ===== | + | ===== Ověření certifikátu radius1.eduroam.cz pro RadSec ===== |
| - | Ověření toho jakým certifikátem se prezentuje národní RADIUS se provede pomocí OpenSSL: | + | Ověření, jakým certifikátem se prezentuje národní RADIUS, se provede pomocí OpenSSL: |
| <code> | <code> | ||
| Řádek 130: | Řádek 122: | ||
| {{:cs:spravce:pripojovani:ldap21-narodni.txt.gz|Příklad výstupu}}. | {{:cs:spravce:pripojovani:ldap21-narodni.txt.gz|Příklad výstupu}}. | ||
| - | ===== Ověření navázání spojení s radius1.eduroam.cz ===== | + | ===== Ověření navázání spojení s radius1.eduroam.cz pomocí RadSec ===== |
| + | |||
| + | Na Windows: | ||
| <code> | <code> | ||
| - | openssl s_client -connect radius1.eduroam.cz:2083 -CAfile | + | openssl s_client -connect radius1.eduroam.cz:2083 -CAfile chain_CESNET_CA3.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < nul |
| - | /etc/freeradius/3.0/certs/chain_CESNET_CA3.pem -cert vas_certifikat.pem | + | |
| - | -key klic_k_certifikatu.pem < /dev/null | + | |
| </code> | </code> | ||
| - | Výše uvedeným přikazem lze (po zadání správných cest k certifikátům) ověřit sestavení spojení z vašeho RADIUS serveru na národní RADIUS. Ve výstupu je nutné ověřit že byl správně ověřen certifikát národního RADIUSu, to je řádek ''Verification: OK''. | + | Na Linuxu: |
| + | |||
| + | <code> | ||
| + | openssl s_client -connect radius1.eduroam.cz:2083 -CAfile /etc/freeradius/3.0/certs/chain_CESNET_CA3.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < /dev/null | ||
| + | </code> | ||
| + | |||
| + | Výše uvedeným přikazem lze (po zadání správných cest k certifikátům) ověřit sestavení spojení z vašeho RADIUS serveru na národní RADIUS. Ve výstupu je nutné ověřit, že byl správně ověřen certifikát národního RADIUSu, to je řádek ''Verification: OK''. | ||
| {{:cs:spravce:pripojovani:spojeni-narodni.txt.gz|Příklad výstupu}}. | {{:cs:spravce:pripojovani:spojeni-narodni.txt.gz|Příklad výstupu}}. | ||
| - | To že národní RADIUS akceptuje certifikát poznáte podle toho že se spojení naváže. Zda dopadlo ověření certifikátů národního RADIUS serveru dobře poznáte podle návratového kódu: | + | Že národní RADIUS akceptuje certifikát, poznáte podle skutečnosti, že se spojení naváže. Zda dopadlo ověření certifikátů národního RADIUS serveru dobře, poznáte podle návratového kódu: |
| + | |||
| + | Na Linuxu: | ||
| <code> | <code> | ||
| echo $? | echo $? | ||
| + | </code> | ||
| + | |||
| + | Na Windows: | ||
| + | |||
| + | <code> | ||
| + | echo %errorlevel% | ||
| </code> | </code> | ||
| Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku ''Verify return code''. | Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku ''Verify return code''. | ||
| + | |||
| + | ===== /DC=org/DC=edupki/CN=eduPKI CA G 01 ===== | ||
| + | |||
| + | Pokud při pokusu o připojení na RadSec server na národním RADIUSu vidíte CA eduPKI CA G 01, pak Váš RADIUS s národním RADIUSem komunikuje ze špatné IP adresy (špatně nastavený NAT) a nebo je Váš RADIUS z nějakého důvodu deaktivován v CESNET CAAS. | ||
| + | |||
| + | |||
| + | |||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz