eduroam

Procedura aggiornamento Certification Authority: Certificati radius server

https://www.eduroam.it

Come noto, a partire dal 1 Maggio 2020 il nuovo fornitore del servizio TCS non è più Digicert ma Sectigo Limited.

Tutti i certificati dei radius server di istituzioni che aderiscono ad eduroam in qualità di Identity Provider emessi da Digicert e in scadenza non potranno essere rinnovati ma dovranno essere emessi ex-novo .

A differenza di quanto avviene nei comuni browser che hanno built-in tutti i certificati delle Certification Authority (nel seguito CA) riconosciute, per i profili 802.1x (quindi anche eduroam) tipicamente si rende necessario configurare il dispositivo con la nuova CA che ha emesso il nuovo certificato del radius server.

CAT

L’uso di CAT (Configuration Assistant Tool) ha, nel corso di questi ultimi anni, semplificato le procedure di configurazione dei dispositivi per l’autenticazione alle reti eduroam.

Il suo scopo, infatti, è quello di supportare gli Identity Provider nella generazione di profili personalizzati per le piattaforme più diffuse ed agevolare, quindi, gli utenti finali nella configurazione del proprio dispositivo. L’uso di CAT, sebbene non obbligatorio, è sempre stato fortemente suggerito dagli operatori della Federazione Italiana al fine di agevolare il troubleshooting, minimizzare le problematiche relative alle configurazioni errate da parte degli utenti ed incrementare la sicurezza. Infatti, i dispositivi sono configurati per fidarsi solo di determinati certificati rilasciati da una specifica CA e, in alcuni casi, rilasciati ad uno specifico CN. In tal modo si evitano attacchi di tipo rogue server soprattutto in caso di CA rilevanti come, ad esempio, Let’s Encrypt e Comodo.

Cambio della Certification Authority

Il cambio della CA si rende necessario per i certificati emessi da Digicert che sono in scadenza e per i quali non è più possibile procedere al rinnovo ma è necessario provvedere all’emissione di un nuovo certificato da parte di un’altra CA che sia Sectigo, una CA commerciale o una CA privata).

Ciò significa, allo stesso tempo, che tutti gli utenti di realm (o domini) che sono autenticati dai suddetti radius dovranno procedere all’installazione del certificato della nuova CA pena l’impossibilità di autenticarsi ad eduroam.

Attraverso l’uso di CAT è possibile agevolare la migrazione alla nuova CA. Si suggerisce di pianificare con notevole anticipo la procedura ivi descritta.

  1. Attraverso il portale CAT creare un nuovo profilo analogo a quello in uso che però includa entrambe le CA (la vecchia Digicert e la nuova CA). Si suggerisce di disabilitare tutti gli altri profili per non creare confusione per l’utente finale. 
ATTENZIONE! Questa tipologia di profilo non è supportata dai dispositivi con Android versione < 7.1.
  2. Informare gli utenti affinché procedano al download e all’installazione del nuovo profilo. In tal modo tutti i dispositivi (eccezion fatta per Android < 7.1) saranno in grado di verificare il vecchio e il nuovo certificato.
  3. Dopo aver dato ai propri utenti un tempo ragionevole per configurare i loro dispositivi con il nuovo profilo, ad esempio 3/4 giorni, procedere all’installazione sui server radius del certificato emesso dalla nuova CA. 
Si suggerisce, per semplicità, che il nuovo certificato server abbia lo stesso CN. In alternativa è necessario aggiungere entrambi i CN (vecchio e nuovo) nel profilo CAT. 

ATTENZIONE: a partire da questo momento i dispositivi Android < 7.1 non saranno più in grado di autenticarsi ad eduroam.
  4. Al fine di minimizzare i disservizi agli utenti Android < 7.1, contestualmente all’installazione del certificato server, modificare il profilo in uso rimuovendo la CA Digicert e lasciando la sola nuova CA. Se si preferisce, creare un nuovo profilo. 
Informare gli utenti di dispositivi Android < 7.1 di procedere al download e all’installazione di tale profilo.

FAQ

Come posso verificare il certificato dei server radius della mia istituzione?

Il certificato del server radius può essere visualizzato consultando la configurazione del proprio radius server. Si ricorda, inoltre, che è disponibile, per tutti e soli i contatti tecnici eduroam, il portale Eduroam Self Service mediante il quale consultare la validità del certificato dei propri server radius.

Cos’è CAT?

CAT è l'acronimo di Configuration Assistant Tool. Il suo scopo è quello di supportare gli Identity Provider nella generazione di installer personalizzati per le piattaforme più diffuse ed agevolare, quindi, gli utenti finali nella configurazione del proprio dispositivo.

Chi può accedere a CAT?

Possono accedere a CAT solo i contatti tecnici degli enti federati in eduroam come Identity Provider previo invito, come descritto all’indirizzo https://docs.eduroam.it/procedura/cat.html

Per evitare il ripetersi in futuro di questa problematica, è possibile usare una CA privata?

Sì, è sempre possibile, a volte suggerito, usare una CA privata ove vi sia expertise. Una più dettagliata trattazione in merito è disponibile all’indirizzo https://docs.eduroam.it/identityprovider.html#certificati

La mia istituzione usa una CA interna: posso emettere certificati per i radius server?

I certificati dei server radius devono avere una serie di caratteristiche tali da renderli compatibili con la maggior parte dei sistemi operativi. Si noti che i certificati devono avere una serie di caratteristiche elencate all’indirizzo https://docs.eduroam.it/identityprovider.html#certificati

Suggerimenti per il futuro?

Giocare d’anticipo aiuta! Appena si è conoscenza del cambio della CA, che normalmente avviene a scadenza del contratto Géant ogni 5 anni, conviene emettere nuovi certificati con la vecchia CA poco prima del cambio così da avere più tempo per procedere al rollout del certificato. Nel frattempo è consigliata la modifica del profilo CAT con l’aggiunta della nuova CA. Infatti spesso capita che gli utenti autonomamente provvedono a scaricare nuovamente il profilo di installazione in seguito ad aggiornamenti del sistema operativo (es. Windows / Mac) o sostituzione dei dispositivi e in tal caso si troverebbero già il dispositivo pronto con la nuova CA.

 

 

 

Print Email