Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
|
cs:spravce:pripojovani:serverove_certifikaty [2018/08/23 12:40] jan.tomasek@cesnet.cz [Časté problémy s certifikáty] |
cs:spravce:pripojovani:serverove_certifikaty [2018/11/01 16:26] jan.tomasek@cesnet.cz [Certifikát od CESNET CA3] |
||
|---|---|---|---|
| Řádek 43: | Řádek 43: | ||
| Nemůžeme ale slíbit, že CESNET CA Root bude používán až do konce své platnosti, tedy do roku 2029. Může dojít k situaci, kdy stávající 2048 klíč bude nedostatečně kvalitní, tento problém mají ale ostatní CA také. | Nemůžeme ale slíbit, že CESNET CA Root bude používán až do konce své platnosti, tedy do roku 2029. Může dojít k situaci, kdy stávající 2048 klíč bude nedostatečně kvalitní, tento problém mají ale ostatní CA také. | ||
| - | Nevýhodou řešení s CESNET CA Root je, že většina je služeb převedena na [[http://pki.cesnet.cz/cs/st-guide-tcs-server.html|službu TCS]], a tudíž nutnost importu dalšího kořene nepřinese uživatelům mnoho výhod navíc. CESNET CA3 vydává certikáty pro servery jen v omezené míře, pro RADIUS servery pro eduroam budou certifikáty vydávány bez omezení i pro ogranizace používající CESNET TCS. | + | Nevýhodou řešení s CESNET CA Root je, že většina je služeb převedena na [[https://pki.cesnet.cz/cs/st-guide-tcs-server2.html|službu TCS]], a tudíž nutnost importu dalšího kořene nepřinese uživatelům mnoho výhod navíc. CESNET CA3 vydává certikáty pro servery jen v omezené míře, pro RADIUS servery pro eduroam budou certifikáty vydávány bez omezení i pro ogranizace používající CESNET TCS. |
| ==== Certifikát od TCS ==== | ==== Certifikát od TCS ==== | ||
| Řádek 122: | Řádek 122: | ||
| </code> | </code> | ||
| - | ===== Ověření certifikátu radius1.eduroam.cz ===== | + | ===== Ověření certifikátu radius1.eduroam.cz pro RadSec ===== |
| Ověření toho jakým certifikátem se prezentuje národní RADIUS se provede pomocí OpenSSL: | Ověření toho jakým certifikátem se prezentuje národní RADIUS se provede pomocí OpenSSL: | ||
| Řádek 132: | Řádek 132: | ||
| {{:cs:spravce:pripojovani:ldap21-narodni.txt.gz|Příklad výstupu}}. | {{:cs:spravce:pripojovani:ldap21-narodni.txt.gz|Příklad výstupu}}. | ||
| - | ===== Ověření navázání spojení s radius1.eduroam.cz ===== | + | ===== Ověření navázání spojení s radius1.eduroam.cz pomocí RadSec ===== |
| + | |||
| + | Na Windows: | ||
| <code> | <code> | ||
| - | openssl s_client -connect radius1.eduroam.cz:2083 -CAfile | + | openssl s_client -connect radius1.eduroam.cz:2083 -CAfile chain_CESNET_CA3.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < nul |
| - | /etc/freeradius/3.0/certs/chain_CESNET_CA3.pem -cert vas_certifikat.pem | + | </code> |
| - | -key klic_k_certifikatu.pem < /dev/null | + | |
| + | Na Linuxu: | ||
| + | |||
| + | <code> | ||
| + | openssl s_client -connect radius1.eduroam.cz:2083 -CAfile /etc/freeradius/3.0/certs/chain_CESNET_CA3.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < /dev/null | ||
| </code> | </code> | ||
| Řádek 145: | Řádek 151: | ||
| To že národní RADIUS akceptuje certifikát poznáte podle toho že se spojení naváže. Zda dopadlo ověření certifikátů národního RADIUS serveru dobře poznáte podle návratového kódu: | To že národní RADIUS akceptuje certifikát poznáte podle toho že se spojení naváže. Zda dopadlo ověření certifikátů národního RADIUS serveru dobře poznáte podle návratového kódu: | ||
| + | |||
| + | Na Linuxu: | ||
| <code> | <code> | ||
| echo $? | echo $? | ||
| + | </code> | ||
| + | |||
| + | Na Windows: | ||
| + | |||
| + | <code> | ||
| + | echo %errorlevel% | ||
| </code> | </code> | ||
| Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku ''Verify return code''. | Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku ''Verify return code''. | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz