Contenuti
- Introduzione
- Federazione
- Procedura
- Eduroam Self Service
- Template di configurazione
- Supporto
- Avvisi
- Procedura aggiornamento Certification Authority certificati radius server
- Premessa
- CAT
- Cambio della Certification Authority
- FAQ
- Come posso verificare il certificato dei server radius della mia istituzione?
- Cos’è CAT?
- Chi può accedere a CAT?
- Per evitare il ripetersi in futuro di questa problematica, è possibile usare una CA privata?
- La mia istituzione usa una CA interna: posso emettere certificati per i radius server?
- Suggerimenti per il futuro?
- Windows 11 versione 22H2
- Procedura aggiornamento Certification Authority certificati radius server
Procedura aggiornamento Certification Authority certificati radius server¶
Questo avviso si rivolge ai:
contatti tecnici di istituzioni che hanno aderito ad eduroam come Identity Provider
e i cui certificati server siano stati rilasciati da Sectigo, specialmente se in scadenza
Premessa¶
Come noto, a partire dal 1 Gennaio 2025 il nuovo fornitore del servizio TCS non è più Sectigo ma HARICA. Tutti i certificati dei radius server di istituzioni che aderiscono ad eduroam in qualità di Identity Provider emessi da Sectigo e in scadenza non potranno essere rinnovati ma dovranno essere emessi ex-novo.
A differenza di quanto avviene nei comuni browser che hanno built-in tutti i certificati delle Certification Authority (nel seguito CA) riconosciute, per i profili 802.1x (quindi anche eduroam) tipicamente si rende necessario configurare il dispositivo con la nuova CA che ha emesso il nuovo certificato del radius server.
CAT¶
L’uso di CAT (Configuration Assistant Tool) ha, nel corso di questi ultimi anni, semplificato le procedure di configurazione dei dispositivi per l’autenticazione alle reti eduroam.
Il suo scopo, infatti, è quello di supportare gli Identity Provider nella generazione di profili personalizzati per le piattaforme più diffuse ed agevolare, quindi, gli utenti finali nella configurazione del proprio dispositivo.
L’uso di CAT, sebbene non obbligatorio, è sempre stato fortemente suggerito dagli operatori della Federazione Italiana al fine di agevolare il troubleshooting, minimizzare le problematiche relative alle configurazioni errate da parte degli utenti ed incrementare la sicurezza. Infatti, i dispositivi sono configurati per fidarsi solo di determinati certificati rilasciati da una specifica CA e, in alcuni casi, rilasciati ad uno specifico CN. In tal modo si evitano attacchi di tipo rogue server soprattutto in caso di CA rilevanti come, ad esempio, Let’s Encrypt.
CAT semplifica la configurazione dei profili ma per l'installazione degli stessi si suggerisce l'applicazione geteduroam (https://www.geteduroam.app). Si ricorda che c'è un ritardo di circa 15 minuti affinché le modifiche applicate su CAT vengano propagate a geteduroam.
Cambio della Certification Authority¶
Il cambio della CA si rende necessario per i certificati emessi da Sectigo che sono in scadenza e per i quali non è più possibile procedere al rinnovo ma è necessario provvedere all’emissione di un nuovo certificato da parte di un’altra CA (che sia HARICA, una CA commerciale o una CA privata).
Ciò significa, allo stesso tempo, che tutti gli utenti di realm (o domini) che sono autenticati dai suddetti radius dovranno procedere all’installazione del certificato della nuova CA pena l’impossibilità di autenticarsi ad eduroam.
Attraverso l’uso di CAT è possibile agevolare la migrazione alla nuova CA. Si suggerisce di pianificare con notevole anticipo la procedura ivi descritta.
Attraverso il portale CAT (https://cat.eduroam.org) accedere al proprio profilo e aggiungere la nuova CA HARICA TLS Root CA 2021 (nelle versioni ECC o RSA a seconda del formato scelto), mantenendo presenti le vecchie CA Sectigo.
ECC:
Root-CA.pemRSA:
Root-CA.pem
Informare gli utenti affinché procedano al download e all’installazione del nuovo profilo o utilizzino l'app geteduroam. In tal modo tutti i dispositivi saranno in grado di verificare il vecchio e il nuovo certificato.
Dopo aver dato ai propri utenti un tempo ragionevole per configurare i loro dispositivi con il nuovo profilo, ad esempio 3/4 giorni, procedere all’installazione sui server radius del certificato emesso dalla nuova CA.
Si suggerisce, per semplicità, che il nuovo certificato server abbia lo stesso CN. In alternativa è necessario aggiungere entrambi i CN (vecchio e nuovo) nel profilo CAT.
Il server RADIUS/EAP deve inviare il certificato server, il certificato intermedio HARICA GEANT TLS e il Cross Certificate from HARICA Root CA 2015 to 2021 come secondo certificato intermedio
Certificati ECC:
GEANT.pemCross-Certificate-from-HARICA-Root-CA-2015-to-2021.pemCertificati RSA:
GEANT.pemCross-Certificate-from-HARICA-Root-CA-2015-to-2021.pem
Al termine della migrazione (ovvero quando il vecchio certificato scade o viene revocato e viene sostituito con il nuovo come indicato al punto precedente), per mantenere il profilo pulito, modificare il profilo CAT rimuovendo la vecchia CA Sectigo.
Avvertimento
Se si riscontrano problemi con i client Windows utilizzando la configurazione sopra, è necessario aggiungere la HARICA Root CA 2015 su CAT
ECC:
Root-CA-2015.pemRSA:
Root-CA-2015.pem
FAQ¶
Come posso verificare il certificato dei server radius della mia istituzione?¶
Il certificato del server radius può essere visualizzato consultando la configurazione del proprio radius server.
Si ricorda, inoltre, che è disponibile, per tutti e soli i contatti tecnici eduroam, il portale Eduroam Self Service mediante il quale consultare la validità del certificato dei propri server radius.
Cos’è CAT?¶
CAT è l'acronimo di Configuration Assistant Tool. Il suo scopo è quello di supportare gli Identity Provider nella generazione di installer personalizzati per le piattaforme più diffuse ed agevolare, quindi, gli utenti finali nella configurazione del proprio dispositivo.
Chi può accedere a CAT?¶
Possono accedere a CAT solo i contatti tecnici degli enti federati in eduroam come Identity Provider previo invito. Per ulteriori informazioni consultare la pagina dedicata
Per evitare il ripetersi in futuro di questa problematica, è possibile usare una CA privata?¶
Sì, è sempre possibile, a volte suggerito, usare una CA privata ove vi sia expertise. Una più dettagliata trattazione in merito è disponibile nella sezione certificati.
La mia istituzione usa una CA interna: posso emettere certificati per i radius server?¶
I certificati dei server radius devono avere una serie di caratteristiche tali da renderli compatibili con la maggior parte dei sistemi operativi. Si noti che i certificati devono avere una serie di caratteristiche elencate nella sezione certificati.
Suggerimenti per il futuro?¶
Giocare d’anticipo aiuta! Appena si è conoscenza del cambio della CA, che normalmente avviene a scadenza del contratto Géant ogni 5 anni, conviene emettere nuovi certificati con la vecchia CA poco prima del cambio così da avere più tempo per procedere al rollout del certificato. Nel frattempo è consigliata la modifica del profilo CAT con l’aggiunta della nuova CA. Infatti spesso capita che gli utenti autonomamente provvedono a scaricare nuovamente il profilo di installazione in seguito ad aggiornamenti del sistema operativo (es. Windows / Mac) o sostituzione dei dispositivi e in tal caso si troverebbero già il dispositivo pronto con la nuova CA.