Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
|
cs:spravce:pripojovani:serverove_certifikaty [2019/09/21 13:44] jan.tomasek@cesnet.cz [CESNET CA3] |
cs:spravce:pripojovani:serverove_certifikaty [2021/05/20 10:52] jan.tomasek@cesnet.cz [Certifikát pro EAP server] |
||
|---|---|---|---|
| Řádek 17: | Řádek 17: | ||
| * [[eduroamCA|dokumentace]] | * [[eduroamCA|dokumentace]] | ||
| - | ==== CESNET CA3 ==== | + | ==== CESNET CA4 ==== |
| * používá národní RADIUS | * používá národní RADIUS | ||
| + | * [[:cs:spravce:pripojovani:serverove_certifikaty:cca4]] | ||
| + | |||
| + | ==== CESNET CA3 ==== | ||
| + | * používal národní RADIUS do 11/2019 | ||
| * [[http://pki.cesnet.cz/cs/st-server-cca.html|dokumentace]] | * [[http://pki.cesnet.cz/cs/st-server-cca.html|dokumentace]] | ||
| - | ==== CESNET CA4 ==== | ||
| - | * bude používat národní RADIUS od 11/2019 | ||
| - | * [[:cs:spravce:pripojovani:serverove_certifikaty:cca4]] | ||
| ===== ===== | ===== ===== | ||
| - | **Národní RADIUS používá certifikát vydaný [[http://pki.cesnet.cz/en/ch-cca-crt-crl.html|CESNET CA3]]**. | + | **Národní RADIUS používá certifikát vydaný [[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html|CESNET CA4]]**. |
| ===== Certifikát pro EAP server ===== | ===== Certifikát pro EAP server ===== | ||
| Řádek 36: | Řádek 37: | ||
| Bez ohledu na to, pro jakou CA se rozhodnete, je naprosto klíčové, aby zařízení vašich uživatelú ověřovala, že RADIUS server má certifikát na předem nakonfigurované jméno a že certifikát je od jedné konkrétní CA. Porušení jednoho nebo druhého bodu nezajistí dostatečnou ochranu přihlašovacích údajů. | Bez ohledu na to, pro jakou CA se rozhodnete, je naprosto klíčové, aby zařízení vašich uživatelú ověřovala, že RADIUS server má certifikát na předem nakonfigurované jméno a že certifikát je od jedné konkrétní CA. Porušení jednoho nebo druhého bodu nezajistí dostatečnou ochranu přihlašovacích údajů. | ||
| - | Zhruba lze volbu CA, která podepíše certifikát EAP serveru, shrnout takto: | + | {{ :cs:spravce:pripojovani:autentizace_802_1x-v2.png?600|}} Zhruba lze volbu CA, která podepíše certifikát EAP serveru, shrnout takto: |
| * provozujete-li vlastní CA, použijte ji | * provozujete-li vlastní CA, použijte ji | ||
| * v případě, že nemáte vlastní CA: | * v případě, že nemáte vlastní CA: | ||
| Řádek 127: | Řádek 128: | ||
| <code> | <code> | ||
| - | openssl s_client -connect radius1.eduroam.cz:2083 -CAfile chain_CESNET_CA3.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < nul | + | openssl s_client -connect radius1.eduroam.cz:2083 -CAfile chain_CESNET_CA4.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < nul |
| </code> | </code> | ||
| Řádek 133: | Řádek 134: | ||
| <code> | <code> | ||
| - | openssl s_client -connect radius1.eduroam.cz:2083 -CAfile /etc/freeradius/3.0/certs/chain_CESNET_CA3.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < /dev/null | + | openssl s_client -connect radius1.eduroam.cz:2083 -CAfile /etc/freeradius/3.0/certs/chain_CESNET_CA4.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < /dev/null |
| </code> | </code> | ||
| Řádek 158: | Řádek 159: | ||
| ===== /DC=org/DC=edupki/CN=eduPKI CA G 01 ===== | ===== /DC=org/DC=edupki/CN=eduPKI CA G 01 ===== | ||
| - | Pokud při pokusu o připojení na RadSec server na národním RADIUSu vidíte CA eduPKI CA G 01, pak Váš RADIUS s národním RADIUSem komunikuje ze špatné IP adresy (špatně nastavený NAT) a nebo je Váš RADIUS z nějakého důvodu deaktivován v CESNET CAAS. | + | Pokud při pokusu o připojení na RadSec server na národním RADIUSu vidíte CA eduPKI CA G 01, pak Váš RADIUS s národním RADIUSem komunikuje ze špatné IP adresy (špatně nastavený NAT) a nebo je Váš RADIUS z nějakého důvodu deaktivován v [[https://admin.eduroam.cz/|administrativní aplikaci]]. |
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz