Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:certificates [2019/07/11 17:01] – Wolfgang Pempe | de:certificates [2021/01/18 16:38] – Wolfgang Pempe | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ~ ~NOTOC~ ~ | + | ~~NOTOC~~ |
====== Zertifikate ====== | ====== Zertifikate ====== | ||
- | { {INLINETOC} } | + | {{INLINETOC |
===== Zertifikate für die SAML-basierte Kommunikation ===== | ===== Zertifikate für die SAML-basierte Kommunikation ===== | ||
Bei der SAML-basierten Kommunikation zwischen IdP und SP werden Zertifikate zur Signatur-Validierung sowie zum Verschlüsseln eingesetzt. Diese Zertifikate müssen für die betreffende Entity in der [[de: | Bei der SAML-basierten Kommunikation zwischen IdP und SP werden Zertifikate zur Signatur-Validierung sowie zum Verschlüsseln eingesetzt. Diese Zertifikate müssen für die betreffende Entity in der [[de: | ||
+ | <callout color="# | ||
**Generell gilt:** Entities mit ungültigen, | **Generell gilt:** Entities mit ungültigen, | ||
+ | </ | ||
==== Informationen für Identity Provider / Attribute Authorities ==== | ==== Informationen für Identity Provider / Attribute Authorities ==== | ||
- | Siehe unter [[de:shibidp3prepare-zert# | + | Siehe unter [[de:shibidp: |
==== Informationen für Service Provider ==== | ==== Informationen für Service Provider ==== | ||
Zeile 30: | Zeile 32: | ||
* Sie können uns das Zertifikat auch in einer via S/MIME signierten E-Mail an [[hotline@aai.dfn.de|hotline@aai.dfn.de]] schicken. Die Zertifizierungsstelle, | * Sie können uns das Zertifikat auch in einer via S/MIME signierten E-Mail an [[hotline@aai.dfn.de|hotline@aai.dfn.de]] schicken. Die Zertifizierungsstelle, | ||
| | ||
- | < | + | < |
Eine Ausnahme von den o.g. Regeln gilt bei SPs, die bereits in anderen Föderationen (mit anderen Zertifikats-Policies) registriert sind. In diesem Fall können die dort verwendeten Zertifikate auch für die DFN-AAI genutzt werden, auch wenn diese länger gültig sind. | Eine Ausnahme von den o.g. Regeln gilt bei SPs, die bereits in anderen Föderationen (mit anderen Zertifikats-Policies) registriert sind. In diesem Fall können die dort verwendeten Zertifikate auch für die DFN-AAI genutzt werden, auch wenn diese länger gültig sind. | ||
</ | </ | ||
Zeile 53: | Zeile 55: | ||
Stellen Sie fest, ob es um die Webserver-Zertifikate oder um die Zertifikate für die SAML-basierte Kommunikation geht. Das kann, muss aber nicht dasselbe Zertifikat sein. | Stellen Sie fest, ob es um die Webserver-Zertifikate oder um die Zertifikate für die SAML-basierte Kommunikation geht. Das kann, muss aber nicht dasselbe Zertifikat sein. | ||
- | === Schritt 2: Beschaffung eines neuen Zertifikates | + | === Schritt 2: Beschaffung/ |
+ | === - DFN-PKI === | ||
Bei Fragen zur Erstellung von privaten Schlüsseln und Zertifikatsanträgen, | Bei Fragen zur Erstellung von privaten Schlüsseln und Zertifikatsanträgen, | ||
Zeile 74: | Zeile 76: | ||
* Geben Sie diesen Zertifikatsantrag im .pem-Format bei der DFN-PKI ein. Wählen Sie das Profil " | * Geben Sie diesen Zertifikatsantrag im .pem-Format bei der DFN-PKI ein. Wählen Sie das Profil " | ||
* Sie bekommen Ihr neues Zertifikat per E-Mail von der DFN-PKI. | * Sie bekommen Ihr neues Zertifikat per E-Mail von der DFN-PKI. | ||
+ | === - Sonstige Zertifizierungsstellen bzw. CAs === | ||
+ | Konsultieren Sie hierzu die Dokumentation des jeweiligen Anbieters bzw. dessen Kundensupport. | ||
=== Schritt 3: Ggf. Zertifikat am Webserver tauschen === | === Schritt 3: Ggf. Zertifikat am Webserver tauschen === | ||
Zeile 119: | Zeile 123: | ||
</ | </ | ||
* Starten Sie den Dienst '' | * Starten Sie den Dienst '' | ||
- | * Der Zwischenstand ist nun folgender: Der Service Provider | + | * Der Zwischenstand ist nun folgender: Der Service Provider |
* **Veröffentlichen Sie das neue Zertifikat zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten und warten Sie auch hier vorsichtshalber 24 Stunden mit dem nächsten Schritt.** | * **Veröffentlichen Sie das neue Zertifikat zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten und warten Sie auch hier vorsichtshalber 24 Stunden mit dem nächsten Schritt.** | ||
* Konfigurieren Sie den SP um, so dass das neue Zertifikat an erster Stelle steht:< | * Konfigurieren Sie den SP um, so dass das neue Zertifikat an erster Stelle steht:< | ||
Zeile 324: | Zeile 328: | ||
read: | read: | ||
</ | </ | ||
- | **Nächster Schritt:** [[de: | + |