Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:certificates [2021/07/13 10:21] – [Zertifikatstausch] Nochmal zum Mitschreiben: Zert. muss erst in MDV Silke Meyerde:certificates [2021/07/14 09:37] – [Informationen für Service Provider] Silke Meyer
Zeile 36: Zeile 36:
  
 === Selbst-signierte Zertifikate === === Selbst-signierte Zertifikate ===
-Die dritte Möglichkeit ist die Verwendung von selbst-signierten Zertifikaten mit einer Gültigkeitsdauer von maximal 39 Monaten. Wir empfehlen zur korrekten Erstellung die Dokumentation ​der [[https://www.switch.ch/aai/guides/sp/configuration/#4|SWITCHaai]]. Selbst-signierte Zertifikate müssen vor der Aufnahme in die DFN-AAI Produktivumgebung verifiziert werden. Hierfür stehe folgende Optionen zur Verfügung, nachdem Sie das Server-Zertifikat in der Metadatenverwaltung hochgeladen haben: +Die dritte Möglichkeit ist die Verwendung von selbst-signierten Zertifikaten mit einer Gültigkeitsdauer von maximal 39 Monaten. Wir empfehlen zur korrekten Erstellung die Dokumentation ​der [[https://www.switch.ch/aai/guides/sp/configuration/#4|SWITCHaai]]. **Selbst-signierte Zertifikate müssen vor der Aufnahme in die DFN-AAI Produktivumgebung verifiziert werden.** Hierfür stehe folgende Optionen zur Verfügung, nachdem Sie das Server-Zertifikat in der Metadatenverwaltung hochgeladen haben: 
-  * Stellen Sie uns dasselbe Zertifikat auf Ihrem Webserver zum Download via https bereit (z.B. über den Metadata Handler Ihres Shibboleth SP oder über einen Download-Link zu der Datei). Der SSL-Download-Link muss von einer vertrauenswürdigen Zertifizierungsstelle abgesichert sein. +  * Schicken Sie uns das Zertifikat in einer via S/MIME signierten E-Mail an [[hotline@aai.dfn.de|hotline@aai.dfn.de]]. Die Zertifizierungsstelle, die das S/MIME-Zertifikat ausgestellt hat, muss eine etablierte CA sein. Für uns ist es am einfachsten, wenn Sie den Inhalt der .pem-Datei direkt in die signierte E-Mail hineinkopieren. 
-  * Wenn Sie keine Möglichkeit habenuns einen Download-Link zur Verfügung zu stellen, können Sie den Fingerprint des Server-Zertifikates telefonisch oder per Fax mit uns vergleichen. Kontaktieren Sie hierzu bitte die DFN-AAI Hotline (+49-711-63314-215, [[hotline@aai.dfn.de|hotline@aai.dfn.de]]). So lassen Sie sich die Fingerprints ausgeben: +  * Alternativ können Sie uns das Zertifikat auf Ihrem Webserver zum **Download via https** bereitstellen (z.B. über den Metadata Handler Ihres Shibboleth SP oder über einen Download-Link zu der Datei). Der SSL-Download-Link muss von einer vertrauenswürdigen Zertifizierungsstelle abgesichert sein. 
-<code> +  * Sollte keine der genannten Möglichkeiten infrage kommenkontaktieren Sie uns bitte direkt (+49 30 884299-9124, [[hotline@aai.dfn.de|hotline@aai.dfn.de]]). 
-$ openssl x509 -noout -fingerprint -sha1 -in self-signed-server-cert.pem +
-$ openssl x509 -noout -fingerprint -sha256 -in self-signed-server-cert.pem +
-</code> +
-  * Sie können uns das Zertifikat auch in einer via S/MIME signierten E-Mail an [[hotline@aai.dfn.de|hotline@aai.dfn.de]] schicken. Die Zertifizierungsstelle, die das S/MIME-Zertifikat ausgestellt hat, muss eine etablierte CA sein. +
-  +
 <callout color="#ff9900" title="Ausnahmen"> <callout color="#ff9900" title="Ausnahmen">
 Eine Ausnahme von den o.g. Regeln gilt bei SPs, die bereits in anderen Föderationen (mit anderen Zertifikats-Policies) registriert sind. In diesem Fall können die dort verwendeten Zertifikate auch für die DFN-AAI genutzt werden, auch wenn diese länger gültig sind. Eine Ausnahme von den o.g. Regeln gilt bei SPs, die bereits in anderen Föderationen (mit anderen Zertifikats-Policies) registriert sind. In diesem Fall können die dort verwendeten Zertifikate auch für die DFN-AAI genutzt werden, auch wenn diese länger gültig sind.
  • Zuletzt geändert: vor 2 Monaten