Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:certificates [2022/08/01 09:04] – Wolfgang Pempe | de:certificates [2022/08/22 11:19] – Überschrift für Schritt 6 (nach dem zweiten Mal 24h warten) eingefügt Thorsten Michels | ||
---|---|---|---|
Zeile 15: | Zeile 15: | ||
==== Informationen für Service Provider ==== | ==== Informationen für Service Provider ==== | ||
Unabhängig davon, welche der u.g. Varianten zum Einsatz kommen, müssen das für die SAML-basierte Kommunikation verwendete Zertifikat und der zugehörige Private Key in der SP-Konfiguration hinterlegt werden. Beim Shibboleth SP ist dies das Element '' | Unabhängig davon, welche der u.g. Varianten zum Einsatz kommen, müssen das für die SAML-basierte Kommunikation verwendete Zertifikat und der zugehörige Private Key in der SP-Konfiguration hinterlegt werden. Beim Shibboleth SP ist dies das Element '' | ||
+ | |||
+ | \\ | ||
=== Zertifikate der DFN-PKI === | === Zertifikate der DFN-PKI === | ||
Siehe hierzu unter https:// | Siehe hierzu unter https:// | ||
- | Wenn Sie berechtigt sind, Zertifikate von der DFN-PKI zu beantragen, wählen Sie bei der Beantragung bitte das Profil " | + | Wenn Sie berechtigt sind, Zertifikate von der DFN-PKI zu beantragen, wählen Sie bei der Beantragung bitte das Profil " |
- | === Zertifikate gängiger Zertifizierungsstellen === | + | \\ |
- | Alternativ können Sie Zertifikate von CAs nutzen, die in den gängigen Standardbrowsern (Google Chrome, Firefox, Microsoft Edge) vorinstalliert sind. \\ | + | |
=== Eigene/ | === Eigene/ | ||
Zeile 35: | Zeile 36: | ||
* Signatur-Algorithmus: | * Signatur-Algorithmus: | ||
* Der CN des ausgestellten Zertifikats entspricht dem FQDN des jeweiligen IdP-/ | * Der CN des ausgestellten Zertifikats entspricht dem FQDN des jeweiligen IdP-/ | ||
+ | |||
+ | \\ | ||
+ | |||
+ | === Zertifikate gängiger Zertifizierungsstellen === | ||
+ | Alternativ können Sie Zertifikate von CAs nutzen, die in den gängigen Standardbrowsern (Google Chrome, Firefox, Microsoft Edge) vorinstalliert sind. \\ | ||
+ | |||
+ | \\ | ||
=== Selbst-signierte Zertifikate === | === Selbst-signierte Zertifikate === | ||
Zeile 46: | Zeile 54: | ||
Eine Ausnahme von den o.g. Regeln gilt bei SPs, die bereits in anderen Föderationen (mit anderen Zertifikats-Policies) registriert sind. In diesem Fall können die dort verwendeten Zertifikate auch für die DFN-AAI genutzt werden, auch wenn diese länger gültig sind. | Eine Ausnahme von den o.g. Regeln gilt bei SPs, die bereits in anderen Föderationen (mit anderen Zertifikats-Policies) registriert sind. In diesem Fall können die dort verwendeten Zertifikate auch für die DFN-AAI genutzt werden, auch wenn diese länger gültig sind. | ||
</ | </ | ||
+ | |||
+ | \\ | ||
=== Bitte nicht verwenden === | === Bitte nicht verwenden === | ||
Zeile 51: | Zeile 61: | ||
== Wildcard-Zertifikate == | == Wildcard-Zertifikate == | ||
Die Nutzung von Wildcards in Zertifikaten ist nur in begründeten Ausnahmefällen gestattet. | Die Nutzung von Wildcards in Zertifikaten ist nur in begründeten Ausnahmefällen gestattet. | ||
+ | |||
+ | \\ | ||
== Letsencrypt == | == Letsencrypt == | ||
- | Für die Signierung und Verschlüsselung der SAML-Komunikation raten wir dringend von Letsenycrpt-Zertifikaten ab, da diese nur eine Gültigkeit von 90 Tagen haben. Ein Zertifikats-Rollover müsste jedes Mal manuell in der Metadatenverwaltung erfolgen. Auch die SP-Konfiguration muss beim Rollover 2x geändert werden. Wir empfehlen daher den Einsatz selbst-signierter Zertifikate. | + | Für die Signierung und Verschlüsselung der SAML-Komunikation raten wir dringend von Letsenycrpt-Zertifikaten ab, da diese nur eine Gültigkeit von 90 Tagen haben. Ein Zertifikats-Rollover müsste jedes Mal manuell in der Metadatenverwaltung erfolgen. Auch die SP-Konfiguration muss beim Rollover 2x geändert werden. Wir empfehlen daher den Einsatz selbst-signierter Zertifikate |
**Nächster Schritt:** [[de: | **Nächster Schritt:** [[de: | ||
+ | |||
+ | \\ | ||
==== Zertifikatstausch ==== | ==== Zertifikatstausch ==== | ||
Zeile 171: | Zeile 185: | ||
* Starten Sie den Dienst '' | * Starten Sie den Dienst '' | ||
* Jetzt können Sie gleich das alte Zertifikat aus den Metadaten des SP herausnehmen. **Warten** Sie dann erneut bis zu 24 Stunden (sicher ist sicher), bis sich die Änderung in der DFN-AAI bzw. in eduGAIN herumgesprochen hat. | * Jetzt können Sie gleich das alte Zertifikat aus den Metadaten des SP herausnehmen. **Warten** Sie dann erneut bis zu 24 Stunden (sicher ist sicher), bis sich die Änderung in der DFN-AAI bzw. in eduGAIN herumgesprochen hat. | ||
- | | + | |
+ | === Schritt 6 beim Zertifikatswechel des SP: Zertifikate für SAML-Kommunikation tauschen === | ||
+ | |||
+ | | ||
< | < | ||
<!-- neues Zertifikat --> | <!-- neues Zertifikat --> | ||
Zeile 192: | Zeile 209: | ||
=== Direkt verdrahtete IdPs/SPs === | === Direkt verdrahtete IdPs/SPs === | ||
Wenn Sie SPs an der DFN-AAI vorbei direkt mit Ihrem IdP verbunden haben, haben Sie die Metadaten von IdP und SP manuell im jeweils anderen hinterlegt. Diese Metadatensätze müssen sie prüfen und ggf. manuell aktualisieren, | Wenn Sie SPs an der DFN-AAI vorbei direkt mit Ihrem IdP verbunden haben, haben Sie die Metadaten von IdP und SP manuell im jeweils anderen hinterlegt. Diese Metadatensätze müssen sie prüfen und ggf. manuell aktualisieren, | ||
+ | |||
+ | \\ | ||
===== Die SSL-Zertifikatskette auf Ihrem Webserver ===== | ===== Die SSL-Zertifikatskette auf Ihrem Webserver ===== |