Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
cs:spravce:pripojovani:serverove_certifikaty [2019/12/21 12:06] – CA3 -> CA4 239a8d2a8a211996c346195d534ad6f1ab7222b3@einfra.cesnet.cz | cs:spravce:pripojovani:serverove_certifikaty [2025/05/05 11:41] (aktuální) – Jan Čáslavský | ||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
- | ====== Certifikáty | + | ====== Certifikáty ====== |
- | RADIUS server potřebuje | + | RADIUS server potřebuje |
- | ===== Certifikát pro RadSec/ | + | ===== Certifikát pro spojení s národním RADIUSem |
- | Pro RadSec | + | Certifikát pro spojení s národním RADIUSem přes RadSec |
- | uznávané | + | |
- | ==== TCS ==== | + | ==== eduroam CA 2 ==== |
- | * pro instituce připojené k CESNETu | + | |
- | * [[http:// | + | |
+ | Druhá verze samobslužné certifikační autority určená pro instituce připojené do eduroam. | ||
- | ==== eduroam CA ==== | + | |
- | | + | |
- | * [[eduroamCA|dokumentace]] | + | * [[eduroamCA2|dokumentace]] |
- | ==== CESNET CA4 ==== | + | \\ |
- | * používá národní RADIUS | + | |
- | * [[: | + | |
- | ==== CESNET CA3 ==== | + | ===== Certifikát pro EAP server ===== |
- | * používal národní RADIUS do 11/2019 | + | |
- | * [[http:// | + | |
+ | {{ : | ||
- | ===== ===== | + | Rozdíl mezi certifikáty pro RadSec Server a pro EAP server |
- | + | ||
- | + | ||
- | **Národní RADIUS používá certifikát vydaný [[https:// | + | |
- | + | ||
- | ===== Certifikát | + | |
- | + | ||
- | V případě výběru certifikační autority, která podepíše certifikát | + | |
Bez ohledu na to, pro jakou CA se rozhodnete, je naprosto klíčové, aby zařízení vašich uživatelú ověřovala, | Bez ohledu na to, pro jakou CA se rozhodnete, je naprosto klíčové, aby zařízení vašich uživatelú ověřovala, | ||
Řádek 40: | Řádek 28: | ||
* provozujete-li vlastní CA, použijte ji | * provozujete-li vlastní CA, použijte ji | ||
* v případě, že nemáte vlastní CA: | * v případě, že nemáte vlastní CA: | ||
- | * použijte službu [[http:// | ||
* použijte komerční CA (ostatní) | * použijte komerční CA (ostatní) | ||
* Let's Encrypt by měl jít použít, pokud je možné na RADIUS serveru provozovat HTTP server, kvůli obnově certifikátu v 3měsíčních intervalech | * Let's Encrypt by měl jít použít, pokud je možné na RADIUS serveru provozovat HTTP server, kvůli obnově certifikátu v 3měsíčních intervalech | ||
- | | + | * Můžete použít i certifikát od eduroam CA 2, který máte pro RadSec/ |
+ | | ||
* zajistěte, že uživatelé budou svá zařízení konfigurovat pomocí [[https:// | * zajistěte, že uživatelé budou svá zařízení konfigurovat pomocí [[https:// | ||
+ | \\ | ||
+ | |||
+ | ===== Certifikát pro národní RADIUS ===== | ||
+ | |||
+ | ==== eduPKI CA G 01 ==== | ||
+ | |||
+ | eduPKI CA je interní certifikační autorita pro služby GÉANTu, která vydává certifikáty těm, kteří si nejsou schopni opatřit vhodné certifikáty pro své služby od místní CA. Certifikáty eduPKI CA nejsou ve výchozím nastavení veřejně důvěryhodné prohlížeči a operačními systémy. | ||
+ | |||
+ | * certifikáty od této CA používají servery národního RADIUSu (flr[1-3].eduroam.cz) | ||
+ | * platnost 5 let | ||
+ | * [[https:// | ||
+ | |||
+ | \\ | ||
====== Časté problémy s certifikáty ====== | ====== Časté problémy s certifikáty ====== | ||
Řádek 52: | Řádek 53: | ||
Je ke stažení: https:// | Je ke stažení: https:// | ||
- | |||
- | |||
===== DER -> PEM ===== | ===== DER -> PEM ===== | ||
DER je binární kódování ASN.1 řetězců. PEM je ASCII reprezentace téhož. Převod mezi oběma formáty se v případě certifikátu provádí pomocí příkazu: | DER je binární kódování ASN.1 řetězců. PEM je ASCII reprezentace téhož. Převod mezi oběma formáty se v případě certifikátu provádí pomocí příkazu: | ||
- | < | + | < |
openssl x509 -inform DER -outform PEM < | openssl x509 -inform DER -outform PEM < | ||
</ | </ | ||
Řádek 68: | Řádek 67: | ||
Převod z formátu PKCS#12 do PEM se provádí pomocí příkazu: | Převod z formátu PKCS#12 do PEM se provádí pomocí příkazu: | ||
- | < | + | < |
openssl pkcs12 -in certifikat.p12 -out certifikat.pem -nodes | openssl pkcs12 -in certifikat.p12 -out certifikat.pem -nodes | ||
</ | </ | ||
Řádek 78: | Řádek 77: | ||
Převod z formátu PEM do PKCS#12 se provádí pomocí příkazu: | Převod z formátu PEM do PKCS#12 se provádí pomocí příkazu: | ||
- | < | + | < |
openssl pkcs12 -chain -CAfile chain_CA.pem -inkey certifikat.key -in certifikat.crt -name " | openssl pkcs12 -chain -CAfile chain_CA.pem -inkey certifikat.key -in certifikat.crt -name " | ||
</ | </ | ||
- | Parametr -CAfile musíte použít na Windows a na Linuxu, pokud nemáte certifikát v cestě, kde ho OpenSSL očekává. Obsahem je certifikát CA, která vydala certifikát pro váš RADIUS a nebo celý řetěz. V eduroamu tedy od [[https:// | + | Parametr -CAfile musíte použít na Windows a na Linuxu, pokud nemáte certifikát v cestě, kde ho OpenSSL očekává. Obsahem je certifikát CA, která vydala certifikát pro váš RADIUS a nebo celý řetěz. V eduroamu tedy od [[https:// |
===== Jak zobrazit obsah certifikátu? | ===== Jak zobrazit obsah certifikátu? | ||
- | < | + | < |
openssl x509 -text -noout < | openssl x509 -text -noout < | ||
</ | </ | ||
Řádek 91: | Řádek 90: | ||
Pomocí výše uvedeného příkazu se můžete přesvědčit, | Pomocí výše uvedeného příkazu se můžete přesvědčit, | ||
- | < | + | < |
X509v3 Extended Key Usage: | X509v3 Extended Key Usage: | ||
TLS Web Server Authentication | TLS Web Server Authentication | ||
Řádek 99: | Řádek 98: | ||
===== Jak odstranit zaheslování privátního klíče? ===== | ===== Jak odstranit zaheslování privátního klíče? ===== | ||
- | < | + | < |
openssl rsa -in privatni-klic.pem -out privatni-klic-bez-hesla.pem | openssl rsa -in privatni-klic.pem -out privatni-klic-bez-hesla.pem | ||
</ | </ | ||
Řádek 108: | Řádek 107: | ||
Vypište si a porovnejte modulus certifikátu a privátního klíče: | Vypište si a porovnejte modulus certifikátu a privátního klíče: | ||
- | < | + | < |
openssl x509 -noout -modulus < cert.pem | openssl x509 -noout -modulus < cert.pem | ||
openssl rsa -noout -modulus < key.pem | openssl rsa -noout -modulus < key.pem | ||
</ | </ | ||
- | ===== Ověření | + | ===== Ověření RadSec |
- | Ověření, jakým certifikátem se prezentuje | + | Ověření, jakým certifikátem se prezentuje |
- | < | + | < |
- | openssl s_client -connect | + | openssl s_client -connect |
</ | </ | ||
- | {{: | + | ===== Ověření navázání spojení se servery národního RADIUSu pomocí RadSec ===== |
- | ===== Ověření | + | V příkladu budeme kontrolovat možnost spojení s první adresou národního RADIUSu. Pro ověření |
- | Na Windows: | + | < |
- | + | openssl s_client -connect | |
- | < | + | |
- | openssl s_client -connect | + | |
- | </ | + | |
- | + | ||
- | Na Linuxu: | + | |
- | + | ||
- | < | + | |
- | openssl s_client -connect radius1.eduroam.cz: | + | |
</ | </ | ||
Výše uvedeným přikazem lze (po zadání správných cest k certifikátům) ověřit sestavení spojení z vašeho RADIUS serveru na národní RADIUS. Ve výstupu je nutné ověřit, že byl správně ověřen certifikát národního RADIUSu, to je řádek '' | Výše uvedeným přikazem lze (po zadání správných cest k certifikátům) ověřit sestavení spojení z vašeho RADIUS serveru na národní RADIUS. Ve výstupu je nutné ověřit, že byl správně ověřen certifikát národního RADIUSu, to je řádek '' | ||
- | |||
- | {{: | ||
Že národní RADIUS akceptuje certifikát, | Že národní RADIUS akceptuje certifikát, | ||
- | Na Linuxu: | + | < |
- | + | ||
- | < | + | |
echo $? | echo $? | ||
</ | </ | ||
- | Na Windows: | + | Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku '' |
- | + | ||
- | < | + | |
- | echo %errorlevel% | + | |
- | </ | + | |
- | + | ||
- | Pokud je návratový kod nenulový, certifikát národního RADIUS serveru nebyl správně ověřen nebo došlo k jiné chybě. Více informací by mělo být k dispozici na konci výstupu OpenSSL v řádku '' | + | |
- | + | ||
- | ===== / | + | |
- | + | ||
- | Pokud při pokusu o připojení na RadSec server na národním RADIUSu vidíte CA eduPKI CA G 01, pak Váš RADIUS s národním RADIUSem komunikuje ze špatné IP adresy (špatně nastavený NAT) a nebo je Váš RADIUS z nějakého důvodu deaktivován v CESNET CAAS. | + | |
- | + | ||
- | + |