Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
cs:spravce:pripojovani:serverove_certifikaty [2019/12/21 12:06] – CA3 -> CA4 239a8d2a8a211996c346195d534ad6f1ab7222b3@einfra.cesnet.czcs:spravce:pripojovani:serverove_certifikaty [2025/05/05 11:41] (aktuální) Jan Čáslavský
Řádek 1: Řádek 1:
-====== Certifikáty pro RADIUS server ======+====== Certifikáty ======
  
-RADIUS server potřebuje certifikát pro dva různé účely. Prvním je bezpečné propojení s národním RADIUSem a druhým je EAP server, který slouží pro zabezpečení komunikace mezi uživatelským zařízením a RADIUS serverem.+RADIUS server potřebuje certifikáty pro dva různé účely. Prvním je bezpečné propojení s národním RADIUSem a druhým je pro EAP server, který slouží pro zabezpečení komunikace mezi uživatelským zařízením a RADIUS serverem.
  
-===== Certifikát pro RadSec/IPsec =====+===== Certifikát pro spojení s národním RADIUSem =====
  
-Pro RadSec anebo IPsec musí správci připojované instituce získat certifikát od +Certifikát pro spojení s národním RADIUSem přes RadSec nebo IPsecmusí správci připojované organizace získat od certifikační autority eduroam CA 2:
-uznávané CA:+
  
-==== TCS ==== +==== eduroam CA 2 ====
-  * pro instituce připojené k CESNETu +
-  * [[http://pki.cesnet.cz/cs/st-guide-tcs-server2.html|dokumentace]]+
  
 +Druhá verze samobslužné certifikační autority určená pro instituce připojené do eduroam.
  
-==== eduroam CA ==== +  * pro všechny instituce 
-  * pro instituce **NE**připojené k CESNETu +  platnost 5 let 
-  * [[eduroamCA|dokumentace]]+  * [[eduroamCA2|dokumentace]]
  
-==== CESNET CA4 ==== +\\
-  * používá národní RADIUS +
-  * [[:cs:spravce:pripojovani:serverove_certifikaty:cca4]]+
  
-==== CESNET CA3 ==== +===== Certifikát pro EAP server =====
-  * používal národní RADIUS do 11/2019 +
-  * [[http://pki.cesnet.cz/cs/st-server-cca.html|dokumentace]]+
  
 +{{ :cs:spravce:pripojovani:autentizace_802_1x-v3.png?600|}} V případě výběru certifikační autority, která podepíše certifikát pro EAP server (pro PEAP/TTLS), má každá instituce v //eduroam//u mnohem větší volnost, ale také odpovědnost. Velmi dobré shrnutí všech úhlů pohledu na tuto problematiku obsahuje dokument [[https://wiki.geant.org/display/H2eduroam/EAP+Server+Certificate+considerations|EAP Server Certificate considerations]]. 
  
-===== ===== +Rozdíl mezi certifikáty pro RadSec Server a pro EAP server je naznačen v obrázku. Ty pro RadSec server chrání spojení mezi RADIUS serverem organizace a národním RADIUSem (modrá a fuchsiová linka) a ty pro EAP server chrání provoz mezi uživatelským zařízením a RADIUSem organizace ze které uživatel pochází, tedy před veřejným Internetem, ale také před samotnou eduroam infrastrukturou.
- +
- +
-**Národní RADIUS používá certifikát vydaný [[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html|CESNET CA4]]**. +
- +
-===== Certifikát pro EAP server ===== +
- +
-V případě výběru certifikační autority, která podepíše certifikát pro EAP server (pro PEAP/TTLS), má každá instituce v //eduroam//mnohem větší volnost, ale také odpovědnost. Velmi dobré shrnutí všech úhlů pohledu na tuto problematiku obsahuje dokument [[https://wiki.geant.org/display/H2eduroam/EAP+Server+Certificate+considerations|EAP Server Certificate considerations]]+
  
 Bez ohledu na to, pro jakou CA se rozhodnete, je naprosto klíčové, aby zařízení vašich uživatelú ověřovala, že RADIUS server má certifikát na předem nakonfigurované jméno a že certifikát je od jedné konkrétní CA. Porušení jednoho nebo druhého bodu nezajistí dostatečnou ochranu přihlašovacích údajů. Bez ohledu na to, pro jakou CA se rozhodnete, je naprosto klíčové, aby zařízení vašich uživatelú ověřovala, že RADIUS server má certifikát na předem nakonfigurované jméno a že certifikát je od jedné konkrétní CA. Porušení jednoho nebo druhého bodu nezajistí dostatečnou ochranu přihlašovacích údajů.
Řádek 40: Řádek 28:
   * provozujete-li vlastní CA, použijte ji   * provozujete-li vlastní CA, použijte ji
   * v případě, že nemáte vlastní CA:   * v případě, že nemáte vlastní CA:
-    * použijte službu [[http://pki.cesnet.cz/cs/st-guide-tcs-server2.html|TCS]] (instituce připojené k CESNETu) 
     * použijte komerční CA (ostatní)     * použijte komerční CA (ostatní)
     * Let's Encrypt by měl jít použít, pokud je možné na RADIUS serveru provozovat HTTP server, kvůli obnově certifikátu v 3měsíčních intervalech     * Let's Encrypt by měl jít použít, pokud je možné na RADIUS serveru provozovat HTTP server, kvůli obnově certifikátu v 3měsíčních intervalech
-  * pokud máte více než jeden RADIUS server, použijte pro EAP jediné jméno, např. radius.vas-realm.cz, ruční konfigurace některých zařízení je pak snazší+    * Můžete použít i certifikát od eduroam CA 2, který máte pro RadSec/IPsec 
 +  * pokud máte více než jeden RADIUS server, použijte pro EAP jediné jméno, např. radius.example.com, ruční konfigurace některých zařízení je pak snazší
   * zajistěte, že uživatelé budou svá zařízení konfigurovat pomocí [[https://www.eduroam.cz/cs/uzivatel/sw/uvod|eduroam CAT]]    * zajistěte, že uživatelé budou svá zařízení konfigurovat pomocí [[https://www.eduroam.cz/cs/uzivatel/sw/uvod|eduroam CAT]] 
  
 +\\
 +
 +===== Certifikát pro národní RADIUS =====
 +
 +==== eduPKI CA G 01 ====
 +
 +eduPKI CA je interní certifikační autorita pro služby GÉANTu, která vydává certifikáty těm, kteří si nejsou schopni opatřit vhodné certifikáty pro své služby od místní CA. Certifikáty eduPKI CA nejsou ve výchozím nastavení veřejně důvěryhodné prohlížeči a operačními systémy. 
 +
 +  * certifikáty od této CA používají servery národního RADIUSu (flr[1-3].eduroam.cz)
 +  * platnost 5 let
 +  * [[https://www.edupki.org/edupki-ca|dokumentace]]
 +
 +\\
  
 ====== Časté problémy s certifikáty ====== ====== Časté problémy s certifikáty ======
Řádek 52: Řádek 53:
  
 Je ke stažení: https://sourceforge.net/projects/openssl/ Je ke stažení: https://sourceforge.net/projects/openssl/
- 
- 
  
 ===== DER -> PEM ===== ===== DER -> PEM =====
  
 DER je binární kódování ASN.1 řetězců. PEM je ASCII reprezentace téhož. Převod mezi oběma formáty se v případě certifikátu provádí pomocí příkazu: DER je binární kódování ASN.1 řetězců. PEM je ASCII reprezentace téhož. Převod mezi oběma formáty se v případě certifikátu provádí pomocí příkazu:
-<code>+<code bash>
 openssl x509 -inform DER -outform PEM <certifikat.der >certifikat.pem openssl x509 -inform DER -outform PEM <certifikat.der >certifikat.pem
 </code> </code>
Řádek 68: Řádek 67:
  
 Převod z formátu PKCS#12 do PEM se provádí pomocí příkazu: Převod z formátu PKCS#12 do PEM se provádí pomocí příkazu:
-<code>+<code bash>
 openssl pkcs12 -in certifikat.p12 -out certifikat.pem -nodes openssl pkcs12 -in certifikat.p12 -out certifikat.pem -nodes
 </code> </code>
Řádek 78: Řádek 77:
 Převod z formátu PEM do PKCS#12 se provádí pomocí příkazu: Převod z formátu PEM do PKCS#12 se provádí pomocí příkazu:
  
-<code>+<code bash>
 openssl pkcs12 -chain -CAfile chain_CA.pem -inkey certifikat.key -in certifikat.crt -name "popisek" -out certifikat.p12 -export openssl pkcs12 -chain -CAfile chain_CA.pem -inkey certifikat.key -in certifikat.crt -name "popisek" -out certifikat.p12 -export
 </code> </code>
  
-Parametr -CAfile musíte použít na Windows a na Linuxu, pokud nemáte certifikát v cestě, kde ho OpenSSL očekává. Obsahem je certifikát CA, která vydala certifikát pro váš RADIUS a nebo celý řetěz. V eduroamu tedy od [[https://pki.cesnet.cz/cs/ch-tcs-crt-crl.html|služby TCS]] anebo od [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca|eduroam CA]].+Parametr -CAfile musíte použít na Windows a na Linuxu, pokud nemáte certifikát v cestě, kde ho OpenSSL očekává. Obsahem je certifikát CA, která vydala certifikát pro váš RADIUS a nebo celý řetěz. V eduroamu tedy od [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca2|eduroam CA 2]].
 ===== Jak zobrazit obsah certifikátu? ===== ===== Jak zobrazit obsah certifikátu? =====
  
-<code>+<code bash>
 openssl x509 -text -noout <certifikat.pem openssl x509 -text -noout <certifikat.pem
 </code> </code>
Řádek 91: Řádek 90:
 Pomocí výše uvedeného příkazu se můžete přesvědčit, že certifikát má požadovanou extenzi TLS server. Výpis by měl obsahovat: Pomocí výše uvedeného příkazu se můžete přesvědčit, že certifikát má požadovanou extenzi TLS server. Výpis by měl obsahovat:
  
-<code>+<code ini>
   X509v3 Extended Key Usage:    X509v3 Extended Key Usage: 
     TLS Web Server Authentication     TLS Web Server Authentication
Řádek 99: Řádek 98:
 ===== Jak odstranit zaheslování privátního klíče? ===== ===== Jak odstranit zaheslování privátního klíče? =====
  
-<code>+<code bash>
 openssl rsa -in privatni-klic.pem -out privatni-klic-bez-hesla.pem openssl rsa -in privatni-klic.pem -out privatni-klic-bez-hesla.pem
 </code> </code>
Řádek 108: Řádek 107:
 Vypište si a porovnejte modulus certifikátu a privátního klíče: Vypište si a porovnejte modulus certifikátu a privátního klíče:
  
-<code>+<code bash>
 openssl x509 -noout -modulus < cert.pem openssl x509 -noout -modulus < cert.pem
 openssl rsa -noout -modulus < key.pem openssl rsa -noout -modulus < key.pem
 </code> </code>
  
-===== Ověření certifikátu radius1.eduroam.cz pro RadSec =====+===== Ověření RadSec certifikátu národního RADIUSu =====
  
-Ověření, jakým certifikátem se prezentuje národní RADIUS, se provede pomocí OpenSSL:+Ověření, jakým certifikátem se prezentuje konkrétní server národního RADIUSu, se provede pomocí OpenSSL. Zde je příklad pro server flr1.eduroam.cz:
  
-<code> +<code bash
-openssl s_client -connect radius1.eduroam.cz:2083 -showcerts+openssl s_client -connect flr1.eduroam.cz:2083 -showcerts
 </code> </code>
  
-{{:cs:spravce:pripojovani:ldap21-narodni.txt.gz|Příklad výstupu}}. +===== Ověření navázání spojení se servery národního RADIUSu pomocí RadSec =====
  
-===== Ověření navázání spojení s radius1.eduroam.cz pomocí RadSec =====+V příkladu budeme kontrolovat možnost spojení s první adresou národního RADIUSu. Pro ověření možnosti spojení s ostatními adresami, stačí tuto adresu změnit.
  
-Na Windows: +<code bash
- +openssl s_client -connect flr1.eduroam.cz:2083 -CAfile eduPKI_CA_G_01.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < /dev/null
-<code> +
-openssl s_client -connect radius1.eduroam.cz:2083 -CAfile chain_CESNET_CA4.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < nul +
-</code> +
- +
-Na Linuxu: +
- +
-<code> +
-openssl s_client -connect radius1.eduroam.cz:2083 -CAfile /etc/freeradius/3.0/certs/chain_CESNET_CA4.pem -cert vas_certifikat.pem -key klic_k_certifikatu.pem < /dev/null+
 </code> </code>
  
 Výše uvedeným přikazem lze (po zadání správných cest k certifikátům) ověřit sestavení spojení z vašeho RADIUS serveru na národní RADIUS. Ve výstupu je nutné ověřit, že byl správně ověřen certifikát národního RADIUSu, to je řádek ''Verification: OK'' Výše uvedeným přikazem lze (po zadání správných cest k certifikátům) ověřit sestavení spojení z vašeho RADIUS serveru na národní RADIUS. Ve výstupu je nutné ověřit, že byl správně ověřen certifikát národního RADIUSu, to je řádek ''Verification: OK''
- 
-{{:cs:spravce:pripojovani:spojeni-narodni.txt.gz|Příklad výstupu}}. 
  
 Že národní RADIUS akceptuje certifikát, poznáte podle skutečnosti, že se spojení naváže. Zda dopadlo ověření certifikátů národního RADIUS serveru dobře, poznáte podle návratového kódu: Že národní RADIUS akceptuje certifikát, poznáte podle skutečnosti, že se spojení naváže. Zda dopadlo ověření certifikátů národního RADIUS serveru dobře, poznáte podle návratového kódu:
  
-Na Linuxu: +<code bash>
- +
-<code>+
 echo $? echo $?
 </code> </code>
  
-Na Windows: +Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku ''Verify return code''.
- +
-<code> +
-echo %errorlevel% +
-</code> +
- +
-Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku ''Verify return code'' +
- +
-===== /DC=org/DC=edupki/CN=eduPKI CA G 01 ===== +
- +
-Pokud při pokusu o připojení na RadSec server na národním RADIUSu vidíte CA eduPKI CA G 01, pak Váš RADIUS s národním RADIUSem komunikuje ze špatné IP adresy (špatně nastavený NAT) a nebo je Váš RADIUS z nějakého důvodu deaktivován v CESNET CAAS. +
- +
- +