| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:certificates [2021/01/24 18:56] – Wolfgang Pempe | de:certificates [2021/02/10 09:19] – alte Version wiederhergestellt (2021/01/26 09:32) Silke Meyer |
|---|
| |
| === Zertifikate gängiger Zertifizierungsstellen === | === Zertifikate gängiger Zertifizierungsstellen === |
| Alternativ können Sie Zertifikate von CAs nutzen, die in den gängigen Standardbrowsern (Google Chrome, Firefox, Microsoft Edge) vorinstalliert sind und deren Gültigkeitsdauer maximal 825 Tage beträgt. \\ | Alternativ können Sie Zertifikate von CAs nutzen, die in den gängigen Standardbrowsern (Google Chrome, Firefox, Microsoft Edge) vorinstalliert sind. \\ |
| |
| === Eigene/lokale CA === | === Eigene/lokale CA === |
| Für an der DFN-AAI teilnehmende Einrichtungen/Organisationen, die eine größere Anzahl von Entities, z.B. lokale SPs in der DFN-AAI betreiben, kann es sich lohnen, eine lokale CA aufzusetzen, um Zertifikate für die SAML-basierte Kommunikation auszustellen. In solch einem Fall muss nur das zugehörige CA-Zertifikat seitens des DFN-AAI-Teams verifiziert werden. Die Verifizierung erfolgt analog zu der [[#selbst-signierte_zertifikate|selbst-signierter Zertifikate]]. \\ | Für an der DFN-AAI teilnehmende Einrichtungen/Organisationen, die eine größere, zwei- bis dreistellige Anzahl von Entities, z.B. lokale SPs in der DFN-AAI betreiben, kann es sich lohnen, eine lokale CA aufzusetzen, um Zertifikate für die SAML-basierte Kommunikation auszustellen. In solch einem Fall muss nur das zugehörige CA-Zertifikat seitens des DFN-AAI-Teams verifiziert werden. Die Verifizierung erfolgt analog zu der [[#selbst-signierte_zertifikate|selbst-signierter Zertifikate]]. \\ |
| | **Hinweis:** Bei Bedarf können lokale CAs auch von der DFN-PCA gehostet werden (Kontakt: https://www.pki.dfn.de/pkikontakt/). \\ |
| **Wichtig:** Eine lokale CA will mit großer Sorgfalt betrieben werden! Insbesondere ist sicherzustellen, dass der Private Key, anhand dessen die auszustellenden Zertifikate signiert werden, besonders gut geschützt ist! \\ | **Wichtig:** Eine lokale CA will mit großer Sorgfalt betrieben werden! Insbesondere ist sicherzustellen, dass der Private Key, anhand dessen die auszustellenden Zertifikate signiert werden, besonders gut geschützt ist! \\ |
| Eine gute Anleitung zum Betrieb einer eigenen CA findet sich [[https://networklessons.com/uncategorized/openssl-certification-authority-ca-ubuntu-server|hier]]. \\ | Eine gute Anleitung zum Betrieb einer eigenen CA findet sich [[https://networklessons.com/uncategorized/openssl-certification-authority-ca-ubuntu-server|hier]]. \\ |
| Zu berücksichtigende Parameter: | Zu berücksichtigende Parameter: |
| * Ausreichende Länge des //Root Private Keys:// 4096 | * Root Private Key: RSA, 4096 Bit |
| * Gültigkeit des Root Zertifikats: max. 10 Jahre | * Gültigkeit des Root Zertifikats: 20 Jahre (empfohlen) |
| * Gültigkeit der ausgestellten Zertifikate: max. 39 Monate | * Gültigkeit der ausgestellten Zertifikate: max. 39 Monate |
| * Key-Länge der ausgestellten Zertifikate: mindestens 3072 Bit | * Key-Länge der ausgestellten Zertifikate: mindestens 3072 Bit |