Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:certificates [2021/02/10 09:19] – alte Version wiederhergestellt (2021/01/26 09:32) Silke Meyer | de:certificates [2023/04/13 17:48] – Wolfgang Pempe | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ~~NOTOC~~ | ||
====== Zertifikate ====== | ====== Zertifikate ====== | ||
- | {{INLINETOC 2}} | + | |
===== Zertifikate für die SAML-basierte Kommunikation ===== | ===== Zertifikate für die SAML-basierte Kommunikation ===== | ||
Zeile 9: | Zeile 8: | ||
**Generell gilt:** Entities mit ungültigen, | **Generell gilt:** Entities mit ungültigen, | ||
</ | </ | ||
+ | |||
+ | \\ | ||
==== Informationen für Identity Provider / Attribute Authorities ==== | ==== Informationen für Identity Provider / Attribute Authorities ==== | ||
Siehe unter [[de: | Siehe unter [[de: | ||
+ | |||
+ | \\ | ||
==== Informationen für Service Provider ==== | ==== Informationen für Service Provider ==== | ||
Unabhängig davon, welche der u.g. Varianten zum Einsatz kommen, müssen das für die SAML-basierte Kommunikation verwendete Zertifikat und der zugehörige Private Key in der SP-Konfiguration hinterlegt werden. Beim Shibboleth SP ist dies das Element '' | Unabhängig davon, welche der u.g. Varianten zum Einsatz kommen, müssen das für die SAML-basierte Kommunikation verwendete Zertifikat und der zugehörige Private Key in der SP-Konfiguration hinterlegt werden. Beim Shibboleth SP ist dies das Element '' | ||
- | === Zertifikate der DFN-PKI === | ||
- | Siehe hierzu unter https:// | ||
- | Wenn Sie berechtigt sind, Zertifikate von der DFN-PKI zu beantragen, wählen Sie bei der Beantragung bitte das Profil " | ||
- | === Zertifikate | + | \\ |
- | Alternativ können | + | |
+ | === Zertifikate | ||
+ | Für die SAML-basierte Kommunikation empfehlen sich **39 Monate gültige Zertifikate aus der [[https:// | ||
+ | Wenn Sie berechtigt sind, Zertifikate von der DFN-PKI zu beantragen, wählen Sie bei der Beantragung bitte das Profil " | ||
+ | |||
+ | \\ | ||
=== Eigene/ | === Eigene/ | ||
- | Für an der DFN-AAI teilnehmende Einrichtungen/Organisationen, | + | Für Zertifikate aus einer eigenen/lokalen CA gelten |
- | **Hinweis: | + | |
- | **Wichtig: | + | \\ |
- | Eine gute Anleitung zum Betrieb einer eigenen CA findet sich [[https:// | + | |
- | Zu berücksichtigende Parameter: | + | |
- | * Root Private Key: RSA, 4096 Bit | + | |
- | * Gültigkeit des Root Zertifikats: | + | |
- | * Gültigkeit der ausgestellten Zertifikate: | + | |
- | * Key-Länge der ausgestellten Zertifikate: | + | |
- | * Signatur-Algorithmus: | + | |
- | * Der CN des ausgestellten Zertifikats entspricht dem FQDN des jeweiligen IdP-/ | + | |
=== Selbst-signierte Zertifikate === | === Selbst-signierte Zertifikate === | ||
- | Die dritte Möglichkeit ist die Verwendung von selbst-signierten Zertifikaten mit einer Gültigkeitsdauer von maximal 39 Monaten. Wir empfehlen zur korrekten Erstellung die Dokumentation der [[https:// | + | Die dritte Möglichkeit ist die Verwendung von selbst-signierten Zertifikaten mit einer Gültigkeitsdauer von maximal 39 Monaten. Wir empfehlen zur korrekten Erstellung die Dokumentation der [[https:// |
- | * Stellen Sie uns dasselbe Zertifikat | + | |
- | * Wenn Sie keine Möglichkeit haben, uns einen Download-Link zur Verfügung zu stellen, können Sie den Fingerprint des Server-Zertifikates telefonisch oder per Fax mit uns vergleichen. Kontaktieren Sie hierzu bitte die DFN-AAI Hotline (+49-711-63314-215, | + | \\ |
- | < | + | |
- | $ openssl x509 -noout -fingerprint -sha1 -in self-signed-server-cert.pem | + | === Zertifikate gängiger Zertifizierungsstellen === |
- | $ openssl x509 -noout -fingerprint -sha256 -in self-signed-server-cert.pem | + | Alternativ |
- | </ | + | |
- | * Sie können | + | |
- | + | ||
<callout color="# | <callout color="# | ||
Eine Ausnahme von den o.g. Regeln gilt bei SPs, die bereits in anderen Föderationen (mit anderen Zertifikats-Policies) registriert sind. In diesem Fall können die dort verwendeten Zertifikate auch für die DFN-AAI genutzt werden, auch wenn diese länger gültig sind. | Eine Ausnahme von den o.g. Regeln gilt bei SPs, die bereits in anderen Föderationen (mit anderen Zertifikats-Policies) registriert sind. In diesem Fall können die dort verwendeten Zertifikate auch für die DFN-AAI genutzt werden, auch wenn diese länger gültig sind. | ||
</ | </ | ||
+ | | ||
+ | \\ | ||
+ | | ||
+ | === Vorsicht bei der Verwendung von Wildcard-Zertifikaten! === | ||
+ | Da Wildcard-Zertifikate für eine ganze Subdomain gelten und daher für mehrere Entities gleichzeitig verwendet werden können, ist der potentielle Schaden bei einer Kompromittierung des privaten Schlüssels deutlich höher als bei Zertifikaten für genau spezifizierte FQDNs. Daher sollten Wildcard-Zertifikate in der DFN-AAI nur verwendet werden, wenn das Einsatzszenario dies technisch erzwingt. Beispielsweise existieren insbesondere im Bibliotheksumfeld Softwaresysteme, | ||
+ | Ein und dasselbe Wildcard-Zertifikat sollte nicht auf verschiedenen Servern mit unterschiedlichen Diensten, Einsatzzwecken oder Schutzklassen verwendet werden. Aufgrund des höheren Schadenspotentials bei Kompromittierung sind Wildcard-Zertifikate kein probates Mittel der Arbeitsersparnis bei der Beantragung und dem Deployment von Zertifikaten. | ||
+ | \\ | ||
+ | Wildcard-Zertifikat werden in der DFN-AAI daher nur unterhalb von Sub-Domains oder Second-Level-Domains akzeptiert, die ausschließlich für einen klar abgegrenzten Zweck genutzt werden, also beispielsweise entweder für ''" | ||
- | === Bitte nicht verwenden === | + | \\ |
- | == Wildcard-Zertifikate == | + | === Keine Letsencrypt-Zertifikate |
- | Die Nutzung | + | Für die Signierung und Verschlüsselung der SAML-Komunikation raten wir dringend |
- | == Letsencrypt == | + | \\ |
- | Für die Signierung und Verschlüsselung der SAML-Komunikation raten wir dringend von Letsenycrpt-Zertifikaten ab, da diese nur eine Gültigkeit von 90 Tagen haben. Ein Zertifikats-Rollover müsste jedes Mal manuell in der Metadatenverwaltung erfolgen. Auch die SP-Konfiguration muss beim Rollover 2x geändert werden. Wir empfehlen daher den Einsatz selbst-signierter Zertifikate. | + | |
**Nächster Schritt:** [[de: | **Nächster Schritt:** [[de: | ||
- | ==== Zertifikatstausch ==== | + | ===== Zertifikatstausch |
Vielen Dank an die Schweizer Kolleg*innen für die ausführliche englischsprachige [[https:// | Vielen Dank an die Schweizer Kolleg*innen für die ausführliche englischsprachige [[https:// | ||
Wenn Sie ablaufende Zertifikate auf Ihrem AAI-Systemen austauschen müssen, gehen Sie wie folgt vor: | Wenn Sie ablaufende Zertifikate auf Ihrem AAI-Systemen austauschen müssen, gehen Sie wie folgt vor: | ||
- | === Schritt | + | ==== 1. Was muss getauscht werden? |
Stellen Sie fest, ob es um die Webserver-Zertifikate oder um die Zertifikate für die SAML-basierte Kommunikation geht. Das kann, muss aber nicht dasselbe Zertifikat sein. | Stellen Sie fest, ob es um die Webserver-Zertifikate oder um die Zertifikate für die SAML-basierte Kommunikation geht. Das kann, muss aber nicht dasselbe Zertifikat sein. | ||
- | === Schritt | + | ==== 2. Beschaffung eines neuen Zertifikates |
- | === -- DFN-PKI | + | siehe oben |
- | Bei Fragen zur Erstellung von privaten Schlüsseln und Zertifikatsanträgen, | + | |
+ | |||
+ | ==== 3. Ggf. Zertifikat am Webserver tauschen ==== | ||
+ | * Ersetzen | ||
+ | * Starten Sie den Webserver neu. | ||
+ | |||
+ | ==== 4. Zertifikatswechsel auf dem IdP ==== | ||
+ | * Editieren Sie die Datei '' | ||
+ | For key rollover, uncomment and point to your original keypair, and use the one above | ||
+ | to point to your new keypair. Once metadata has propagated, comment this one out again. | ||
+ | --> | ||
+ | |||
+ | <bean class=" | ||
+ | p: | ||
+ | p: | ||
+ | p: | ||
+ | </ | ||
- | | + | ==== 5. zweites Zertifikat für SAML-Kommunikation eintragen ==== |
- | user@host: | + | |
+ | idp.signing.key= / | ||
+ | idp.signing.cert= / | ||
+ | idp.encryption.key= / | ||
+ | idp.encryption.cert= / | ||
+ | idp.encryption.key.2= / | ||
+ | idp.encryption.cert.2= / | ||
</ | </ | ||
- | * Erstellen | + | * Starten |
- | user@host: | + | |
- | # Sie werden Folgendes abgefragt, evtl. befüllt mit Vorgaben aus Ihrer /etc/ssl/openssl.cnf | + | ==== 6. Zertifikat für SAML-Kommunikation in Metadatenverwaltung eintragen ==== |
- | Country Name (2 letter code) [DE]: | + | <callout color="# |
- | State or Province Name (full name) []: <== Bundesland | + | **Veröffentlichen Sie das neue Zertifikat mindestens 24 Stunden vor dem nächsten Schritt zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten!** |
- | Locality Name (eg, city) []: <== Stadt | + | </ |
- | Organization Name (eg, company) []: <== Einrichtung | + | * Ein unterbrechungsfreier Betrieb ist nur möglich, wenn alle Service Provider weiterhin mit dem IdP kommunizieren können. Die SPs müssen sich vorab das neue Zertifikat aus den aktualisierten Föderationsmetadaten geholt haben. Besonders, wenn Sie an eduGAIN teilnehmen, müssen Sie davon ausgehen, dass manche SPs dies nur einmal pro Tag tun. |
- | Organizational Unit Name (eg, section) []: <== ggf. Abteilung o.ä. | + | * Wenn Sie bei der Erstellung des Zertifikatsantrags denselben privaten Schlüssel verwendet haben, den Sie auch für das ablaufende Zertifikat verwendet haben, ist die Veröffentlichung des neuen Zertifikates in Metadaten nicht so zeitkritisch. Das können Sie machen, wenn der Schlüssel nicht kompromittiert ist und nach wie vor den aktuellen technischen Anforderung entspricht. |
- | Common Name (eg, YOUR name) []: | + | |
- | A challenge password []: | + | ==== 7. Alt und neu in der Konfiguration vertauschen ==== |
- | An optional company name []: | + | <callout color="# |
+ | **Nach diesem Schritt warten Sie bitte erneut mindestens 24 Stunden, bevor Sie weitermachen.** | ||
+ | </ | ||
+ | * Nachdem das neue Zertifikat sich über die Metadaten herumgesprochen hat, entfernen Sie das alte Zertifikat aus den Föderationsmetadaten. | ||
+ | * Tauschen Sie in '' | ||
+ | idp.signing.key= / | ||
+ | idp.signing.cert= / | ||
+ | idp.encryption.key= | ||
+ | idp.encryption.cert= / | ||
+ | idp.encryption.key.2= / | ||
+ | idp.encryption.cert.2= / | ||
</ | </ | ||
- | * Geben Sie diesen Zertifikatsantrag im .pem-Format bei der DFN-PKI ein. Wählen Sie das Profil " | + | * Starten |
- | * Sie bekommen Ihr neues Zertifikat per E-Mail von der DFN-PKI. | + | |
- | === -- Sonstige Zertifizierungsstellen bzw. CAs === | + | ==== 8. Alte Zertifikate für SAML-Kommunikation aus Konfiguration entfernen ==== |
- | Konsultieren | + | * Entfernen |
+ | idp.signing.key= / | ||
+ | idp.signing.cert= / | ||
+ | idp.encryption.key= / | ||
+ | idp.encryption.cert= / | ||
+ | </ | ||
- | === -- Selbst-signierte Zertifikate | + | ==== 9. zweites Bean auskommentieren |
- | Selbst-signierte Zertifikate sind ausschließlich für die SAML-basierte Kommunikation geeignet! Sowohl Shibboleth IdP als auch Shibboleth SP werden mit einem '' | + | * Editieren Sie die Datei '' |
- | * [[https://www.switch.ch/ | + | For key rollover, uncomment and point to your original keypair, and use the one above |
- | * [[https://www.switch.ch/aai/ | + | to point to your new keypair. Once metadata has propagated, comment this one out again. |
- | * [[https:// | + | |
+ | <!-- | ||
+ | <bean class=" | ||
+ | p:privateKeyResource=" | ||
+ | p:certificateResource=" | ||
+ | p: | ||
+ | | ||
+ | </file> | ||
+ | * Starten Sie Tomcat neu. | ||
- | === Schritt | + | ===== Zertifikatstausch am SP ===== |
+ | |||
+ | ==== 1. Was muss getauscht werden? ==== | ||
+ | |||
+ | Stellen Sie fest, ob es um die Webserver-Zertifikate oder um die Zertifikate für die SAML-basierte Kommunikation geht. Das kann, muss aber nicht dasselbe Zertifikat sein. | ||
+ | |||
+ | ==== 2. Beschaffung eines neuen Zertifikates ==== | ||
+ | siehe oben | ||
+ | ==== 3. Ggf. Zertifikat am Webserver tauschen | ||
* Ersetzen Sie die alten, in der Webserverkonfiguration eingetragenen Dateien durch das neue Zertifikat, den privaten Schlüssel und die Zertifikatskette. (Unten auf dieser Seite ist erklärt, wie Sie die [[https:// | * Ersetzen Sie die alten, in der Webserverkonfiguration eingetragenen Dateien durch das neue Zertifikat, den privaten Schlüssel und die Zertifikatskette. (Unten auf dieser Seite ist erklärt, wie Sie die [[https:// | ||
* Starten Sie den Webserver neu. | * Starten Sie den Webserver neu. | ||
- | === Schritt | + | ==== 4. Zertifikate für SAML-Kommunikation tauschen ==== |
- | * **Veröffentlichen Sie das neue Zertifikat mindestens 24 Stunden vor dem Termin zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten!** | + | Der **SP benötigt |
- | * Aktualisieren Sie Zertifikat und privaten Schlüssel auf Ihrem IdP. Prüfen Sie, ob die Links in '' | + | * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Es ist wichtig, dass der Benutzer, mit dessen Kennung der '' |
- | idp.signing.key= / | + | |
- | idp.signing.cert= / | + | |
- | idp.encryption.key= / | + | |
- | idp.encryption.cert= / | + | |
- | </ | + | |
- | * Starten Sie Tomcat neu. | + | |
- | * Sollten Sie nach dem Rollover Probleme mit einzelnen anderen Systemen in der DFN-AAI oder in eduGAIN haben, kann es sich um temporäre Probleme handeln, die darauf zurückzuführen sind, dass nicht alle Teilnehmenden die Föderationsmetadaten bei sich im selben Intervall aktualisieren. | + | |
- | + | ||
- | === Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen === | + | |
- | Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel | + | |
- | * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Es ist wichtig, dass der Benutzer, mit dessen Kennung der '' | + | |
# Benutzerkennung feststellen: | # Benutzerkennung feststellen: | ||
- | root@sp # ps aux | grep shib | grep -v grep | + | root@sp:~ # ps aux | grep shib | grep -v grep |
_shibd | _shibd | ||
# Gruppenzugehörigkeiten nachschlagen: | # Gruppenzugehörigkeiten nachschlagen: | ||
- | root@sp # id _shibd | + | root@sp:~ # id _shibd |
uid=112(_shibd) gid=121(_shibd) groups=121(_shibd), | uid=112(_shibd) gid=121(_shibd) groups=121(_shibd), | ||
# Abgleich mit den neuen Dateien: | # Abgleich mit den neuen Dateien: | ||
Zeile 138: | Zeile 182: | ||
certificate="/ | certificate="/ | ||
</ | </ | ||
- | * Prüfen Sie die SP-Konfiguration:< | + | * Prüfen Sie die SP-Konfiguration:< |
- | root@sp # shibd -tc / | + | root@sp:~ # shibd -tc / |
overall configuration is loadable, check console for non-fatal problems | overall configuration is loadable, check console for non-fatal problems | ||
</ | </ | ||
- | * Starten Sie den Dienst '' | + | * Starten Sie den Dienst '' |
* Der Zwischenstand ist nun folgender: Der Service Provider kann SAML-Assertions entschlüsseln, | * Der Zwischenstand ist nun folgender: Der Service Provider kann SAML-Assertions entschlüsseln, | ||
- | * **Veröffentlichen Sie das neue Zertifikat zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten und warten Sie auch hier vorsichtshalber | + | <callout color="# |
+ | **Veröffentlichen Sie das neue Zertifikat zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten und warten Sie 24 Stunden mit dem nächsten Schritt.** | ||
+ | </ | ||
+ | |||
+ | ==== 5. Zertifikate für SAML-Kommunikation tauschen ==== | ||
* Konfigurieren Sie den SP um, so dass das neue Zertifikat an erster Stelle steht:< | * Konfigurieren Sie den SP um, so dass das neue Zertifikat an erster Stelle steht:< | ||
< | < | ||
Zeile 156: | Zeile 205: | ||
certificate="/ | certificate="/ | ||
</ | </ | ||
- | * Prüfen Sie die SP-Konfiguration:< | + | * Prüfen Sie die SP-Konfiguration:< |
- | root@sp # shibd -tc / | + | root@sp:~ # shibd -tc / |
overall configuration is loadable, check console for non-fatal problems | overall configuration is loadable, check console for non-fatal problems | ||
</ | </ | ||
- | * Starten Sie den Dienst '' | + | * Starten Sie den Dienst '' |
- | * Jetzt können | + | |
- | * Entfernen Sie das alte Zertifikat aus der SP-Konfiguration, | + | <callout color="# |
+ | **Entfernen | ||
+ | </ | ||
+ | ==== 6. Altes Zertifikat aus der SP-Konfiguration entfernen ==== | ||
+ | |||
+ | * Entfernen Sie das alte Zertifikat aus der SP-Konfiguration, | ||
< | < | ||
<!-- neues Zertifikat --> | <!-- neues Zertifikat --> | ||
Zeile 175: | Zeile 229: | ||
--> | --> | ||
</ | </ | ||
- | * Prüfen Sie die SP-Konfiguration:< | + | * Prüfen Sie die SP-Konfiguration:< |
- | root@sp # shibd -tc / | + | root@sp:~ # shibd -tc / |
overall configuration is loadable, check console for non-fatal problems | overall configuration is loadable, check console for non-fatal problems | ||
</ | </ | ||
- | * Starten Sie den Dienst '' | + | * Starten Sie den Dienst '' |
+ | |||
+ | ==== Direkt verdrahtete IdPs/SPs ==== | ||
+ | Wenn Sie SPs an der DFN-AAI vorbei direkt mit Ihrem IdP verbunden haben, haben Sie die Metadaten von IdP und SP manuell im jeweils anderen hinterlegt. Diese Metadatensätze müssen sie prüfen und ggf. manuell aktualisieren, | ||
- | === Direkt verdrahtete IdPs/SPs === | ||
- | Wenn Sie SPs in der DFN-AAI vorbei direkt mit Ihrem IdP verbunden haben, haben Sie die Metadaten von IdP und SP manuell im jeweils anderen hinterlegt. Diese Metadatensätze müssen sie prüfen und ggf. manuell aktualisieren, | ||
===== Die SSL-Zertifikatskette auf Ihrem Webserver ===== | ===== Die SSL-Zertifikatskette auf Ihrem Webserver ===== | ||
Zeile 193: | Zeile 249: | ||
* Sie erstellen eine dritte Datei mit der kompletten Zertifikatskette. z.B. / | * Sie erstellen eine dritte Datei mit der kompletten Zertifikatskette. z.B. / | ||
* Serverzertifikat | * Serverzertifikat | ||
- | * das/die Zwischenzertifikat(e) (Intermediate) | + | * das Zwischenzertifikat (Intermediate) |
- | * Root-Zertifikat der CA | + | |
Die Zertifikate werden in dieser Reihenfolge direkt untereinander gehängt. Dazwischen dürfen Kommentare eingefügt werden (mit "#" | Die Zertifikate werden in dieser Reihenfolge direkt untereinander gehängt. Dazwischen dürfen Kommentare eingefügt werden (mit "#" | ||
Zeile 209: | Zeile 264: | ||
* Wenn es ein weiteres Intermediate-Zertifikat gibt, vergleichen Sie obigen Issuer-Hash mit dem Hash des zweiten Intermediate-Zertifikates und so weiter. Auf diese Weise arbeiten Sie sich durch die Kette " | * Wenn es ein weiteres Intermediate-Zertifikat gibt, vergleichen Sie obigen Issuer-Hash mit dem Hash des zweiten Intermediate-Zertifikates und so weiter. Auf diese Weise arbeiten Sie sich durch die Kette " | ||
- | Beim Apache Webserver wird der Pfad zu dieser Datei als '' | + | Beim Apache Webserver wird der Pfad zu dieser Datei als '' |
==== Überprüfung der Zertifikatskette ==== | ==== Überprüfung der Zertifikatskette ==== | ||
Zeile 217: | Zeile 272: | ||
$ openssl s_client -connect idp.domain.tld: | $ openssl s_client -connect idp.domain.tld: | ||
</ | </ | ||
- | Unten sehen als Beispiel die Antwort des Webservers von dfn.de. Alternativ können Sie externe Dienste wie z.B. die Website von [[https:// | + | Unten sehen als Beispiel die Antwort des Webservers von wayf.aai.dfn.de. Alternativ können Sie externe Dienste wie z.B. die Website von [[https:// |
< | < | ||
- | $ openssl s_client -connect dfn.de:443 | + | $ openssl s_client -connect |
CONNECTED(00000003) | CONNECTED(00000003) | ||
depth=3 C = DE, O = T-Systems Enterprise Services GmbH, OU = T-Systems Trust Center, CN = T-TeleSec GlobalRoot Class 2 | depth=3 C = DE, O = T-Systems Enterprise Services GmbH, OU = T-Systems Trust Center, CN = T-TeleSec GlobalRoot Class 2 | ||
Zeile 228: | Zeile 283: | ||
depth=1 C = DE, O = Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., OU = DFN-PKI, CN = DFN-Verein Global Issuing CA | depth=1 C = DE, O = Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., OU = DFN-PKI, CN = DFN-Verein Global Issuing CA | ||
verify return:1 | verify return:1 | ||
- | depth=0 C = DE, ST = Berlin, L = Berlin, O = Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., OU = Geschaeftsstelle, CN = cloud.dfn.de | + | depth=0 C = DE, ST = Berlin, L = Berlin, O = Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., CN = wayf.aai.dfn.de |
verify return:1 | verify return:1 | ||
--- | --- | ||
Certificate chain | Certificate chain | ||
- | 0 s:/C=DE/ST=Berlin/L=Berlin/O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V./ | + | 0 s:C = DE, ST = Berlin, L = Berlin, O = Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., CN = wayf.aai.dfn.de |
- | i:/C=DE/O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V./OU=DFN-PKI/CN=DFN-Verein Global Issuing CA | + | i:C = DE, O = Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., OU = DFN-PKI, CN = DFN-Verein Global Issuing CA |
- | 1 s:/C=DE/O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V./OU=DFN-PKI/CN=DFN-Verein Global Issuing CA | + | |
- | i:/C=DE/O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V./OU=DFN-PKI/CN=DFN-Verein Certification Authority 2 | + | |
- | 2 s:/C=DE/O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V./OU=DFN-PKI/CN=DFN-Verein Certification Authority 2 | + | 1 s:C = DE, O = Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., OU = DFN-PKI, CN = DFN-Verein Global Issuing CA |
- | i:/C=DE/O=T-Systems Enterprise Services GmbH/OU=T-Systems Trust Center/CN=T-TeleSec GlobalRoot Class 2 | + | i:C = DE, O = Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., OU = DFN-PKI, CN = DFN-Verein Certification Authority 2 |
+ | | ||
+ | | ||
+ | 2 s:C = DE, O = Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., OU = DFN-PKI, CN = DFN-Verein Certification Authority 2 | ||
+ | i:C = DE, O = T-Systems Enterprise Services GmbH, OU = T-Systems Trust Center, CN = T-TeleSec GlobalRoot Class 2 | ||
+ | | ||
+ | | ||
--- | --- | ||
Server certificate | Server certificate | ||
-----BEGIN CERTIFICATE----- | -----BEGIN CERTIFICATE----- | ||
- | MIILADCCCeigAwIBAgIMH1sBXceqcYtKUpghMA0GCSqGSIb3DQEBCwUAMIGNMQsw | + | MIII9jCCB96gAwIBAgIMJxwuQghQ6vPgo0CGMA0GCSqGSIb3DQEBCwUAMIGNMQsw |
CQYDVQQGEwJERTFFMEMGA1UECgw8VmVyZWluIHp1ciBGb2VyZGVydW5nIGVpbmVz | CQYDVQQGEwJERTFFMEMGA1UECgw8VmVyZWluIHp1ciBGb2VyZGVydW5nIGVpbmVz | ||
IERldXRzY2hlbiBGb3JzY2h1bmdzbmV0emVzIGUuIFYuMRAwDgYDVQQLDAdERk4t | IERldXRzY2hlbiBGb3JzY2h1bmdzbmV0emVzIGUuIFYuMRAwDgYDVQQLDAdERk4t | ||
- | UEtJMSUwIwYDVQQDDBxERk4tVmVyZWluIEdsb2JhbCBJc3N1aW5nIENBMB4XDTE4 | + | UEtJMSUwIwYDVQQDDBxERk4tVmVyZWluIEdsb2JhbCBJc3N1aW5nIENBMB4XDTIy |
- | MDcwMzE0MTAyNloXDTIwMTAwNTE0MTAyNlowgagxCzAJBgNVBAYTAkRFMQ8wDQYD | + | MDgxNzA5MTEyMFoXDTIzMDkxNzA5MTEyMFowgZAxCzAJBgNVBAYTAkRFMQ8wDQYD |
VQQIDAZCZXJsaW4xDzANBgNVBAcMBkJlcmxpbjFFMEMGA1UECgw8VmVyZWluIHp1 | VQQIDAZCZXJsaW4xDzANBgNVBAcMBkJlcmxpbjFFMEMGA1UECgw8VmVyZWluIHp1 | ||
ciBGb2VyZGVydW5nIGVpbmVzIERldXRzY2hlbiBGb3JzY2h1bmdzbmV0emVzIGUu | ciBGb2VyZGVydW5nIGVpbmVzIERldXRzY2hlbiBGb3JzY2h1bmdzbmV0emVzIGUu | ||
- | IFYuMRkwFwYDVQQLDBBHZXNjaGFlZnRzc3RlbGxlMRUwEwYDVQQDDAxjbG91ZC5k | + | IFYuMRgwFgYDVQQDDA93YXlmLmFhaS5kZm4uZGUwggIiMA0GCSqGSIb3DQEBAQUA |
- | Zm4uZGUwggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQDa+P1wLGUrtzxK | + | A4ICDwAwggIKAoICAQDTgelyxRfx9V5DF5tNGrWEud9NAKFLJ6AtT2sH9k+9hIUb |
- | Rdk8tD62eqjjVBoM1jfNVuajbVpj4DfiYMOwiejSZ0ZV5Yh/KHUR8qe5T/ | + | LQq2JsX9u8FpxMb8aE/g8aFmDkqqYqHAfkSW5Z8KvV++YS+TvJppBOQnXKx8JbIM |
- | MsbfycSL2BP2U0t6VwEQDdU9nTHMI7tZIUS9uSHEWRkggOrmR/THriocz1ozqdpg | + | OPi/PZblPerLXooBd30akjA3f+9PEX5Hb8ufl7p4JBPo1hJ8LE6tZi0aqoRElNJj |
- | VH1opFWFUs/ | + | me0iiu7eboF6AVyH0vYSC9NQs1dbJ7GnS4dfagYjWMquqmJnwvYIWCtCkNypsXeZ |
- | vcbpKdzdhaZVdgLlf6ZWkdGqGdfeztUOjzh10S7tkwNJBM/9gJQLbCfh+aifOhOk | + | MbEYmDGuI+K2+74j4p8gr2Y9odOK/Tx544R0VeYaMyl9xdje2eT78PScMl/0uHKF |
- | AqD3EMNk5SaXHsWohOYDO72SdlxwN+4O14t3LatfMv5PGQ9E++pUsNnauT6GuxEq | + | sR7rz9sVFOeCv5LxWAr+drzRMGZRaLPalJWGulhVgCO9y0/ |
- | VJyz3vr284FRcw8W7R1bExqF1ICfi9E7THwwvDYeZue2tl8Ki6f5ZP83t9pJdVuj | + | 4R6Pie5Cj2Uo8LtMScCnFnj6kooZNTKetC+/zUeYxPpCpTJB3vtKuoImwY+BY9Fa |
- | JxrHRwRxpY5vdFSjrU+xWj7/wiWShAM3AsIhIDgdV+Y9CoxLv1yYWxOmIP9E1iZM | + | HAqlD30LbRc16ULxI67+NH/pFbKfwlNVYp5X/wSN1UuU02BRLHvAeEcxuNlG50Mj |
- | kL8Ama38MDblJMoJPhE7Jr6o17mrTAr993/3TvIKGHx2kMEEEyoD/wdFjQPU0mYl | + | OI4etFfkI443cXnTB9EGkdAS/P6aOoh3A2BhtXRFkQ5udbNYe2SCRXpZ+m+4XOIy |
- | JWM4bmdISLI73wkf8UTvnYR/7VERRXNUZG+gGqek51ax4CLrS/ | + | ZEzpvB0d3L+nKKjJ5qJVnCcOqWNb8wn2INtxSpFU7Vdcm16zeXsRh7SjcYQqdeh6 |
- | A+0Bwzwaa+jHl1nrCtbVQUnc6F2qn8BsviqbWstA1/RT7VMRq9pCq0VNwxSL3cyT | + | v761ePDMy3ERYyyrtKJh7Lp+YD1Jjw100X0axMwUb/oz41KjA8qTvRkn5YSIZwID |
- | PwK0LFnh5FVOQyXy27v6xMpqnD4E0wIDAQABo4IGQTCCBj0wWQYDVR0gBFIwUDAI | + | AQABo4IETzCCBEswVwYDVR0gBFAwTjAIBgZngQwBAgIwDQYLKwYBBAGBrSGCLB4w |
- | BgZngQwBAgIwDQYLKwYBBAGBrSGCLB4wDwYNKwYBBAGBrSGCLAEBBDARBg8rBgEE | + | DwYNKwYBBAGBrSGCLAEBBDAQBg4rBgEEAYGtIYIsAQEECjAQBg4rBgEEAYGtIYIs |
- | AYGtIYIsAQEEAwgwEQYPKwYBBAGBrSGCLAIBBAMIMAkGA1UdEwQCMAAwDgYDVR0P | + | AgEECjAJBgNVHRMEAjAAMA4GA1UdDwEB/ |
- | AQH/BAQDAgWgMBMGA1UdJQQMMAoGCCsGAQUFBwMBMB0GA1UdDgQWBBQ26+9hXeqO | + | BQcDATAdBgNVHQ4EFgQUrrmPRRWUYepArAkbkrf8yvHli9wwHwYDVR0jBBgwFoAU |
- | HzSRjAWBkkRU380gVDAfBgNVHSMEGDAWgBRrOpiL+fJTidrgrbIyHgkf6Ko7dDAp | + | azqYi/nyU4na4K2yMh4JH+iqO3QwGgYDVR0RBBMwEYIPd2F5Zi5hYWkuZGZuLmRl |
- | BgNVHREEIjAgghB3d3cuY2xvdWQuZGZuLmRlggxjbG91ZC5kZm4uZGUwgY0GA1Ud | + | MIGNBgNVHR8EgYUwgYIwP6A9oDuGOWh0dHA6Ly9jZHAxLnBjYS5kZm4uZGUvZGZu |
- | HwSBhTCBgjA/oD2gO4Y5aHR0cDovL2NkcDEucGNhLmRmbi5kZS9kZm4tY2EtZ2xv | + | LWNhLWdsb2JhbC1nMi9wdWIvY3JsL2NhY3JsLmNybDA/oD2gO4Y5aHR0cDovL2Nk |
- | YmFsLWcyL3B1Yi9jcmwvY2FjcmwuY3JsMD+gPaA7hjlodHRwOi8vY2RwMi5wY2Eu | + | cDIucGNhLmRmbi5kZS9kZm4tY2EtZ2xvYmFsLWcyL3B1Yi9jcmwvY2FjcmwuY3Js |
- | ZGZuLmRlL2Rmbi1jYS1nbG9iYWwtZzIvcHViL2NybC9jYWNybC5jcmwwgdsGCCsG | + | MIHbBggrBgEFBQcBAQSBzjCByzAzBggrBgEFBQcwAYYnaHR0cDovL29jc3AucGNh |
- | AQUFBwEBBIHOMIHLMDMGCCsGAQUFBzABhidodHRwOi8vb2NzcC5wY2EuZGZuLmRl | + | LmRmbi5kZS9PQ1NQLVNlcnZlci9PQ1NQMEkGCCsGAQUFBzAChj1odHRwOi8vY2Rw |
- | L09DU1AtU2VydmVyL09DU1AwSQYIKwYBBQUHMAKGPWh0dHA6Ly9jZHAxLnBjYS5k | + | MS5wY2EuZGZuLmRlL2Rmbi1jYS1nbG9iYWwtZzIvcHViL2NhY2VydC9jYWNlcnQu |
- | Zm4uZGUvZGZuLWNhLWdsb2JhbC1nMi9wdWIvY2FjZXJ0L2NhY2VydC5jcnQwSQYI | + | Y3J0MEkGCCsGAQUFBzAChj1odHRwOi8vY2RwMi5wY2EuZGZuLmRlL2Rmbi1jYS1n |
- | KwYBBQUHMAKGPWh0dHA6Ly9jZHAyLnBjYS5kZm4uZGUvZGZuLWNhLWdsb2JhbC1n | + | bG9iYWwtZzIvcHViL2NhY2VydC9jYWNlcnQuY3J0MIIB9AYKKwYBBAHWeQIEAgSC |
- | Mi9wdWIvY2FjZXJ0L2NhY2VydC5jcnQwggPVBgorBgEEAdZ5AgQCBIIDxQSCA8ED | + | AeQEggHgAd4AdgCt9776fP8QyIudPZwePhhqtGcpXc+xDCTKhYY069yCigAAAYKr |
- | vwB2AG9Tdqwx8DEZ2JkApFEV/ | + | EmbRAAAEAwBHMEUCIQDSmTwCWlCZATCfLURkGOxyR6pgKvj4d+TlKaMPXifttQIg |
- | AEcwRQIgd3fkPk9o74LcUBwTHWvxvDX+35MBVGxA2jlWAw0jWukCIQCVzbfAhRKW | + | JOOE+3NXWghkYUJ36/Q+vSbxeRlS5FACic+kyzbAyQUAdQDoPtDaPvUGNTLnVyi8 |
- | 9xj9kkeSrdllFa91l/y4FkOoYuu6DdT+KwB2AO5Lvbd1zmC64UJpH6vhnmajD35f | + | iWvJA9PL0RFr7Otp4Xd9bQa9bgAAAYKrEmhKAAAEAwBGMEQCIDHPHuRKGYvrzd69 |
- | sHLYgwDEe4l6qP3LAAABZGB6+GoAAAQDAEcwRQIhANvki+irHTEFedCKATceIstB | + | GBjuuuPfW3PGKOvY5yPd47ulHifCAiAfmBQHB5LIex3DO17m3aQlT+cgV01eLykK |
- | cOg92i2BnZZ2gsqDvBZkAiAo2fCCAVVhNsyCrjeAYQXR+5WoeICO1hVDzO82oNb7 | + | EjF1mtq9qwB2AG9Tdqwx8DEZ2JkApFEV/3cVHBHZAsEAKQaNsgiaN9kTAAABgqsS |
- | 6wB1AFWB1MIWkDYBSuoLm1c8U/DA5Dh4cCUIFy+jqh0HE9MMAAABZGB6+LoAAAQD | + | ZMUAAAQDAEcwRQIhAJ3/1gN+37V04DsHihKJH0Ireh04yaOHx3EWnqLXsaGMAiBy |
- | AEYwRAIgP0Q4ASg+6/5JC1htaQM9yD7SQh77mrwUvC38HZgZlOsCIDiWF+hENcnT | + | 8/C02kJgI5SLeFlJZghoIIT2rqy/iu8M8v+F0Cnq2wB1AFWB1MIWkDYBSuoLm1c8 |
- | scbdWGd1I7aQhKXcWIQ/9XCY/Inh/ | + | U/DA5Dh4cCUIFy+jqh0HE9MMAAABgqsSZTQAAAQDAEYwRAIgDY0Wn4W8l8W7Jw8T |
- | U1WJsvd6AwEE880AAAFkYHr3iwAABAMASDBGAiEA6e4Sbrb9UH7hJMSbmB7YPsl8 | + | cy8rYjYCDc8j/opI+EsDK8+Q4OMCICGxPKaWwV04+7QOh5bdi0vNgm38V9RHP9F/ |
- | ANyLI+ymp5zfrz6LteYCIQCmg1hM2yeZGESX7fGCJLohoNLj5ahCJCNazXTyNPQW | + | ps1wheNyMA0GCSqGSIb3DQEBCwUAA4IBAQBsn0WeEePbkHi0/RRCzFS8HDg4AIXV |
- | GAB2ALvZ37wfinG1k5Qjl6qSe0c4V5UKq1LoGpCWZDaOHtGFAAABZGB6+qoAAAQD | + | nk7R3x0XsgnHFpMJEM2mRJlMJrjYNjYa/X6ynsXg78yGqRvPhdqRX1oqUI1lDaLa |
- | AEcwRQIhAKwv448AaBJTi+/Vz3X7fd0jj3xnWh/ | + | Znj9+ZMfcfcTaDL74yE0jTbPGz4ayBA7dJJ9w2kSKwF0Mc0VLYNfuekSmqQJ1i4G |
- | vTMdhuzwA507K/ | + | T1Z6ThTm3gNdv5tOnhImwOVYT62BwyzY6/wB4dPo32R9hdQjMETh9oREQ4NyKXPw |
- | hKESEoQYdZaBcUVYAAABZGB6+1wAAAQDAEcwRQIgDsXtQFLwZyY0r9wiSiJzavqC | + | nrJ8a6vsyPKkyDjTh88AdxAdlozqXQrYC8/hGsbQcrdbSHxXuYAWF8ErW4HuZ+PZ |
- | 06XaTi46GccQu0S+zLQCIQCUZWgZPVq/lQHuaqEvAselE3diktVqFoeQMCI9xWuK | + | jiH9LG5qUw6EIvaYgiuxm8HVU4NOvF2cqwbtLfft1klxpqywN2jTIJEy |
- | bAB1AKS5CZC0GFgUh7sTosxncAo8NZgE+RvfuON3zQ7IDdwQAAABZGB6+v0AAAQD | + | |
- | AEYwRAIgZLf0wwR8C5ZHxC7ulDIELpD9HH1osZnWHifnNl3pm+gCIEH6Gaua3Ajw | + | |
- | A3UKVZIyCcHvz9WZcxDjeCSdKwnp7l7SAHYAsh4FzIuizYogTodm+Su5iiUgZ2va | + | |
- | +nDnsklTLe+LkF4AAAFkYHr50QAABAMARzBFAiEA/BXqVMfACv8Qw4WCyHMqLkK4 | + | |
- | fcZDVvTeKT1tGGVdSOYCICjbxC1/Da5WUmOT8qegrULrn+S3L3zEG9z/ | + | |
- | MA0GCSqGSIb3DQEBCwUAA4IBAQA89lw9hf3GUonrM10rvyEY3LmnrCcopSaPmmZ2 | + | |
- | FUkXLjDvRLY5ZDz3QCxdB5Hpvd3TFquVw4c3txpzy+lK6eUFEOd8oueyjiFKr8Up | + | |
- | a1zMbuIIi/8/ | + | |
- | WG1k2UmmZGU6M9/SrathKRBS8zXMPHM8Pi4P8O+30Q7lYxVWK8+BoM8nGlp8AfSl | + | |
- | jipzpp8akIAhs1KnXFEg93Lz+13hrKciPTQg+RPQEYBnLi6+m49VbjYXzssgbAg/ | + | |
- | 4wvpsOXAr0oxEHrg1NBax0xdcWQwdX2guinJ1l3h0X9AwZAa | + | |
-----END CERTIFICATE----- | -----END CERTIFICATE----- | ||
- | subject=/C=DE/ST=Berlin/L=Berlin/O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V./ | + | subject=C = DE, ST = Berlin, L = Berlin, O = Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., CN = wayf.aai.dfn.de |
- | issuer=/C=DE/O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V./OU=DFN-PKI/CN=DFN-Verein Global Issuing CA | + | issuer=C = DE, O = Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., OU = DFN-PKI, CN = DFN-Verein Global Issuing CA |
--- | --- | ||
No client certificate CA names sent | No client certificate CA names sent | ||
- | Peer signing digest: | + | Peer signing digest: |
- | Server Temp Key: DH, 4096 bits | + | Peer signature type: RSA-PSS |
+ | Server Temp Key: X25519, 253 bits | ||
--- | --- | ||
- | SSL handshake has read 7480 bytes and written | + | SSL handshake has read 5882 bytes and written |
Verification: | Verification: | ||
--- | --- | ||
- | New, TLSv1.2, Cipher is DHE-RSA-AES256-GCM-SHA384 | + | New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384 |
Server public key is 4096 bit | Server public key is 4096 bit | ||
- | Secure Renegotiation IS supported | + | Secure Renegotiation IS NOT supported |
Compression: | Compression: | ||
Expansion: NONE | Expansion: NONE | ||
No ALPN negotiated | No ALPN negotiated | ||
+ | Early data was not sent | ||
+ | Verify return code: 0 (ok) | ||
+ | --- | ||
+ | --- | ||
+ | Post-Handshake New Session Ticket arrived: | ||
+ | SSL-Session: | ||
+ | Protocol | ||
+ | Cipher | ||
+ | Session-ID: 284526F924E23FFDDA8286A63996DBB7EECBEBBCADAE3EAEB6DCD94A97ECCC64 | ||
+ | Session-ID-ctx: | ||
+ | Resumption PSK: 57A5B30716BB320C1D53CAF09D667C1D08AE179DB450063ED7305CBBD15B29C49AAFC7C8E381640717BA7FF6F3789F99 | ||
+ | PSK identity: None | ||
+ | PSK identity hint: None | ||
+ | SRP username: None | ||
+ | TLS session ticket lifetime hint: 7200 (seconds) | ||
+ | TLS session ticket: | ||
+ | 0000 - 83 6b 3a c5 50 ec c5 be-ab d4 49 ed 95 80 48 21 | ||
+ | 0010 - 4d c7 ff 8f 8d 0c cb 63-a4 1d 11 9f 7b 86 0c 65 | ||
+ | |||
+ | Start Time: 1673270213 | ||
+ | Timeout | ||
+ | Verify return code: 0 (ok) | ||
+ | Extended master secret: no | ||
+ | Max Early Data: 0 | ||
+ | --- | ||
+ | read R BLOCK | ||
+ | --- | ||
+ | Post-Handshake New Session Ticket arrived: | ||
SSL-Session: | SSL-Session: | ||
- | Protocol | + | Protocol |
- | Cipher | + | Cipher |
- | Session-ID: | + | Session-ID: |
Session-ID-ctx: | Session-ID-ctx: | ||
- | | + | |
PSK identity: None | PSK identity: None | ||
PSK identity hint: None | PSK identity hint: None | ||
SRP username: None | SRP username: None | ||
- | TLS session ticket lifetime hint: 300 (seconds) | + | TLS session ticket lifetime hint: 7200 (seconds) |
TLS session ticket: | TLS session ticket: | ||
- | 0000 - d0 92 ff 13 a3 e8 cd 3f-a3 0f 55 57 47 fa d4 9d .......?..UWG... | + | 0000 - a8 d0 1b 2e ca e6 70 cb-61 72 45 45 b7 e4 76 3e ......p.arEE..v> |
- | 0010 - cf 72 55 cb 48 3c b4 67-26 10 37 8d db 1e 40 f7 .rU.H< | + | 0010 - f7 59 ad 02 e7 8a 50 39-11 a7 81 8a 78 36 6b d6 .Y....P9....x6k. |
- | 0020 - 4a 6f cc 57 6c 02 74 6d-f9 d7 a6 8c d0 2a d7 f9 | + | |
- | 0030 - 50 67 6f 4a 63 44 73 64-66 d9 86 0f 19 fa 68 fe | + | |
- | 0040 - 7c 67 7e 9c 18 13 07 26-84 e9 6f 60 2a a5 5c 70 | + | |
- | 0050 - 70 6d e8 a5 56 11 67 2d-3c 5d 44 b6 5b ef 06 12 | + | |
- | 0060 - 27 dd 0d 10 4b 0a c1 04-98 2b 1b 03 c5 e0 7b 25 ' | + | |
- | 0070 - 0e b1 3c 7c 05 68 48 2a-32 80 aa 69 92 bd 7f 52 | + | |
- | 0080 - 4d 1a 81 f0 8b 2a 2c c3-00 12 13 c3 65 7a df 37 | + | |
- | 0090 - 13 4b 22 03 70 a3 56 5d-ba 16 58 0e 15 cf 07 e5 | + | |
- | 00a0 - 2c f8 69 70 52 de e9 4e-4e cc 87 cd 0d 2f a9 56 , | + | |
- | 00b0 - 2b 92 2d 6f 10 0b 44 7a-81 0d d4 5f 7a 47 7e 0d +.-o..Dz..._zG~. | + | |
- | Start Time: 1555333603 | + | Start Time: 1673270213 |
Timeout | Timeout | ||
Verify return code: 0 (ok) | Verify return code: 0 (ok) | ||
Extended master secret: no | Extended master secret: no | ||
+ | Max Early Data: 0 | ||
--- | --- | ||
- | read:errno=0 | + | read R BLOCK |
</ | </ | ||