Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:certificates [2021/07/13 10:21] – [Zertifikatstausch] Nochmal zum Mitschreiben: Zert. muss erst in MDV Silke Meyer
+++ de:certificates [2021/07/13 15:43] – [Informationen für Service Provider] Keine Zertifikatsverifizierung mehr per Fax ;) Silke Meyer
@@ Zeile 36: / Zeile 36: @@
 === Selbst-signierte Zertifikate ===
-Die dritte Möglichkeit ist die Verwendung von selbst-signierten Zertifikaten mit einer Gültigkeitsdauer von maximal 39 Monaten. Wir empfehlen zur korrekten Erstellung die Dokumentation der [[https://www.switch.ch/aai/guides/sp/configuration/#4|SWITCHaai]]. Selbst-signierte Zertifikate müssen vor der Aufnahme in die DFN-AAI Produktivumgebung verifiziert werden. Hierfür stehe folgende Optionen zur Verfügung, nachdem Sie das Server-Zertifikat in der Metadatenverwaltung hochgeladen haben:
+Die dritte Möglichkeit ist die Verwendung von selbst-signierten Zertifikaten mit einer Gültigkeitsdauer von maximal 39 Monaten. Wir empfehlen zur korrekten Erstellung die Dokumentation der [[https://www.switch.ch/aai/guides/sp/configuration/#4|SWITCHaai]]. **Selbst-signierte Zertifikate müssen vor der Aufnahme in die DFN-AAI Produktivumgebung verifiziert werden.** Hierfür stehe folgende Optionen zur Verfügung, nachdem Sie das Server-Zertifikat in der Metadatenverwaltung hochgeladen haben:
-  * Stellen Sie uns dasselbe Zertifikat auf Ihrem Webserver zum Download via https bereit (z.B. über den Metadata Handler Ihres Shibboleth SP oder über einen Download-Link zu der Datei). Der SSL-Download-Link muss von einer vertrauenswürdigen Zertifizierungsstelle abgesichert sein.
+  * Schicken Sie uns das Zertifikat in einer via S/MIME signierten E-Mail an [[hotline@aai.dfn.de|hotline@aai.dfn.de]]. Die Zertifizierungsstelle, die das S/MIME-Zertifikat ausgestellt hat, muss eine etablierte CA sein. Für uns ist es am einfachsten, wenn Sie den Inhalt der .pem-Datei direkt in die signierte E-Mail hineinkopieren.
-  * Wenn Sie keine Möglichkeit haben, uns einen Download-Link zur Verfügung zu stellen, können Sie den Fingerprint des Server-Zertifikates telefonisch oder per Fax mit uns vergleichen. Kontaktieren Sie hierzu bitte die DFN-AAI Hotline (+49-711-63314-215, [[hotline@aai.dfn.de|hotline@aai.dfn.de]]). So lassen Sie sich die Fingerprints ausgeben:
+  * Alternativ können Sie uns das Zertifikat auf Ihrem Webserver zum **Download via https** bereitstellen (z.B. über den Metadata Handler Ihres Shibboleth SP oder über einen Download-Link zu der Datei). Der SSL-Download-Link muss von einer vertrauenswürdigen Zertifizierungsstelle abgesichert sein.
+  * Letzter Ausweg: Wenn Sie keinen der beiden ersten Wege beschreiten können, können Sie den **Fingerprint** des Server-Zertifikates **telefonisch** mit uns vergleichen. Kontaktieren Sie hierzu bitte die DFN-AAI Hotline (+49-711-63314-215, [[hotline@aai.dfn.de|hotline@aai.dfn.de]]). So lassen Sie sich die Fingerprints ausgeben:
 <code>
 $ openssl x509 -noout -fingerprint -sha1 -in self-signed-server-cert.pem
 $ openssl x509 -noout -fingerprint -sha256 -in self-signed-server-cert.pem
 </code>
-  * Sie können uns das Zertifikat auch in einer via S/MIME signierten E-Mail an [[hotline@aai.dfn.de|hotline@aai.dfn.de]] schicken. Die Zertifizierungsstelle, die das S/MIME-Zertifikat ausgestellt hat, muss eine etablierte CA sein.
 <callout color="#ff9900" title="Ausnahmen">
 Eine Ausnahme von den o.g. Regeln gilt bei SPs, die bereits in anderen Föderationen (mit anderen Zertifikats-Policies) registriert sind. In diesem Fall können die dort verwendeten Zertifikate auch für die DFN-AAI genutzt werden, auch wenn diese länger gültig sind.