cs:spravce:pripojovani:serverove_certifikaty

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
cs:spravce:pripojovani:serverove_certifikaty [2018/05/16 21:58]
semik@cesnet.cz [CESNET CA3]
cs:spravce:pripojovani:serverove_certifikaty [2018/08/24 12:51] (aktuální)
semik@cesnet.cz [Ověření certifikátu radius1.eduroam.cz]
Řádek 58: Řádek 58:
 ====== Časté problémy s certifikáty ====== ====== Časté problémy s certifikáty ======
  
 +===== OpenSSL pro Windows =====
 +
 +Je ke stažení: https://​sourceforge.net/​projects/​openssl/​
  
  
Řádek 85: Řádek 88:
  
 <​code>​ <​code>​
-openssl pkcs12 -chain -inkey certifikat.key -in certifikat.crt -name "​popisek"​ -out certifikat.p12 -export+openssl pkcs12 -chain ​-CAfile chain_CA.pem ​-inkey certifikat.key -in certifikat.crt -name "​popisek"​ -out certifikat.p12 -export
 </​code>​ </​code>​
  
-Pokud nemáte na systému správně nainstalované OpenSSL bude možná nutné ​použít ​-CAfile ​jako argument mu předat [[http://www.cesnet.cz/pki/|kořenový certifikát CESNET ​CA]]. +Parametr -CAfile musíte ​použít ​na Windows ​na Linuxu pokud nemáte certifikát v cestě kde ho OpenSSL očekává. Obsahem je certifikát CA která vydala certifikát pro váš RADIUS a nebo celý řetěz. V eduroamu tedy od [[https://pki.cesnet.cz/cs/ch-tcs-crt-crl.html|služby TCS]] anebo od [[https://​www.eduroam.cz/​cs/​spravce/​pripojovani/​eduroamca|eduroam ​CA]].
 ===== Jak zobrazit obsah certifikátu?​ ===== ===== Jak zobrazit obsah certifikátu?​ =====
  
Řádek 120: Řádek 122:
 </​code>​ </​code>​
  
-===== Ověření certifikátu radius1.eduroam.cz =====+===== Ověření certifikátu radius1.eduroam.cz ​pro RadSec ​=====
  
 Ověření toho jakým certifikátem se prezentuje národní RADIUS se provede pomocí OpenSSL: Ověření toho jakým certifikátem se prezentuje národní RADIUS se provede pomocí OpenSSL:
Řádek 130: Řádek 132:
 {{:​cs:​spravce:​pripojovani:​ldap21-narodni.txt.gz|Příklad výstupu}}. ​ {{:​cs:​spravce:​pripojovani:​ldap21-narodni.txt.gz|Příklad výstupu}}. ​
  
-===== Ověření navázání spojení s radius1.eduroam.cz =====+===== Ověření navázání spojení s radius1.eduroam.cz ​pomocí RadSec ​===== 
 + 
 +Na Windows:
  
 <​code>​ <​code>​
-openssl s_client -connect radius1.eduroam.cz:​2083 -CAfile  +openssl s_client -connect radius1.eduroam.cz:​2083 -CAfile ​chain_CESNET_CA3.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < nul 
-/​etc/​freeradius/​3.0/​certs/​chain_CESNET_CA3.pem -cert vas_certifikat.pem ​ +</​code>​ 
--key klic_k_certifikatu.pem < /dev/null+ 
 +Na Linuxu: 
 + 
 +<​code>​ 
 +openssl s_client -connect radius1.eduroam.cz:​2083 -CAfile ​/​etc/​freeradius/​3.0/​certs/​chain_CESNET_CA3.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < /dev/null
 </​code>​ </​code>​
  
Řádek 143: Řádek 151:
  
 To že národní RADIUS akceptuje certifikát poznáte podle toho že se spojení naváže. Zda dopadlo ověření certifikátů národního RADIUS serveru dobře poznáte podle návratového kódu: To že národní RADIUS akceptuje certifikát poznáte podle toho že se spojení naváže. Zda dopadlo ověření certifikátů národního RADIUS serveru dobře poznáte podle návratového kódu:
 +
 +Na Linuxu:
  
 <​code>​ <​code>​
 echo $? echo $?
 +</​code>​
 +
 +Na Windows:
 +
 +<​code>​
 +echo %errorlevel%
 </​code>​ </​code>​
  
 Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku ''​Verify return code''​. ​ Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku ''​Verify return code''​. ​
Poslední úprava:: 2018/05/16 21:58