Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
| de:certificates [2022/08/01 09:04] – Wolfgang Pempe | de:certificates [2022/08/22 11:19] – Überschrift für Schritt 6 (nach dem zweiten Mal 24h warten) eingefügt Thorsten Michels | ||
|---|---|---|---|
| Zeile 15: | Zeile 15: | ||
| ==== Informationen für Service Provider ==== | ==== Informationen für Service Provider ==== | ||
| Unabhängig davon, welche der u.g. Varianten zum Einsatz kommen, müssen das für die SAML-basierte Kommunikation verwendete Zertifikat und der zugehörige Private Key in der SP-Konfiguration hinterlegt werden. Beim Shibboleth SP ist dies das Element '' | Unabhängig davon, welche der u.g. Varianten zum Einsatz kommen, müssen das für die SAML-basierte Kommunikation verwendete Zertifikat und der zugehörige Private Key in der SP-Konfiguration hinterlegt werden. Beim Shibboleth SP ist dies das Element '' | ||
| + | |||
| + | \\ | ||
| === Zertifikate der DFN-PKI === | === Zertifikate der DFN-PKI === | ||
| Siehe hierzu unter https:// | Siehe hierzu unter https:// | ||
| - | Wenn Sie berechtigt sind, Zertifikate von der DFN-PKI zu beantragen, wählen Sie bei der Beantragung bitte das Profil " | + | Wenn Sie berechtigt sind, Zertifikate von der DFN-PKI zu beantragen, wählen Sie bei der Beantragung bitte das Profil " |
| - | === Zertifikate gängiger Zertifizierungsstellen === | + | \\ |
| - | Alternativ können Sie Zertifikate von CAs nutzen, die in den gängigen Standardbrowsern (Google Chrome, Firefox, Microsoft Edge) vorinstalliert sind. \\ | + | |
| === Eigene/ | === Eigene/ | ||
| Zeile 35: | Zeile 36: | ||
| * Signatur-Algorithmus: | * Signatur-Algorithmus: | ||
| * Der CN des ausgestellten Zertifikats entspricht dem FQDN des jeweiligen IdP-/ | * Der CN des ausgestellten Zertifikats entspricht dem FQDN des jeweiligen IdP-/ | ||
| + | |||
| + | \\ | ||
| + | |||
| + | === Zertifikate gängiger Zertifizierungsstellen === | ||
| + | Alternativ können Sie Zertifikate von CAs nutzen, die in den gängigen Standardbrowsern (Google Chrome, Firefox, Microsoft Edge) vorinstalliert sind. \\ | ||
| + | |||
| + | \\ | ||
| === Selbst-signierte Zertifikate === | === Selbst-signierte Zertifikate === | ||
| Zeile 46: | Zeile 54: | ||
| Eine Ausnahme von den o.g. Regeln gilt bei SPs, die bereits in anderen Föderationen (mit anderen Zertifikats-Policies) registriert sind. In diesem Fall können die dort verwendeten Zertifikate auch für die DFN-AAI genutzt werden, auch wenn diese länger gültig sind. | Eine Ausnahme von den o.g. Regeln gilt bei SPs, die bereits in anderen Föderationen (mit anderen Zertifikats-Policies) registriert sind. In diesem Fall können die dort verwendeten Zertifikate auch für die DFN-AAI genutzt werden, auch wenn diese länger gültig sind. | ||
| </ | </ | ||
| + | |||
| + | \\ | ||
| === Bitte nicht verwenden === | === Bitte nicht verwenden === | ||
| Zeile 51: | Zeile 61: | ||
| == Wildcard-Zertifikate == | == Wildcard-Zertifikate == | ||
| Die Nutzung von Wildcards in Zertifikaten ist nur in begründeten Ausnahmefällen gestattet. | Die Nutzung von Wildcards in Zertifikaten ist nur in begründeten Ausnahmefällen gestattet. | ||
| + | |||
| + | \\ | ||
| == Letsencrypt == | == Letsencrypt == | ||
| - | Für die Signierung und Verschlüsselung der SAML-Komunikation raten wir dringend von Letsenycrpt-Zertifikaten ab, da diese nur eine Gültigkeit von 90 Tagen haben. Ein Zertifikats-Rollover müsste jedes Mal manuell in der Metadatenverwaltung erfolgen. Auch die SP-Konfiguration muss beim Rollover 2x geändert werden. Wir empfehlen daher den Einsatz selbst-signierter Zertifikate. | + | Für die Signierung und Verschlüsselung der SAML-Komunikation raten wir dringend von Letsenycrpt-Zertifikaten ab, da diese nur eine Gültigkeit von 90 Tagen haben. Ein Zertifikats-Rollover müsste jedes Mal manuell in der Metadatenverwaltung erfolgen. Auch die SP-Konfiguration muss beim Rollover 2x geändert werden. Wir empfehlen daher den Einsatz selbst-signierter Zertifikate |
| **Nächster Schritt:** [[de: | **Nächster Schritt:** [[de: | ||
| + | |||
| + | \\ | ||
| ==== Zertifikatstausch ==== | ==== Zertifikatstausch ==== | ||
| Zeile 171: | Zeile 185: | ||
| * Starten Sie den Dienst '' | * Starten Sie den Dienst '' | ||
| * Jetzt können Sie gleich das alte Zertifikat aus den Metadaten des SP herausnehmen. **Warten** Sie dann erneut bis zu 24 Stunden (sicher ist sicher), bis sich die Änderung in der DFN-AAI bzw. in eduGAIN herumgesprochen hat. | * Jetzt können Sie gleich das alte Zertifikat aus den Metadaten des SP herausnehmen. **Warten** Sie dann erneut bis zu 24 Stunden (sicher ist sicher), bis sich die Änderung in der DFN-AAI bzw. in eduGAIN herumgesprochen hat. | ||
| - | | + | |
| + | === Schritt 6 beim Zertifikatswechel des SP: Zertifikate für SAML-Kommunikation tauschen === | ||
| + | |||
| + | | ||
| < | < | ||
| <!-- neues Zertifikat --> | <!-- neues Zertifikat --> | ||
| Zeile 192: | Zeile 209: | ||
| === Direkt verdrahtete IdPs/SPs === | === Direkt verdrahtete IdPs/SPs === | ||
| Wenn Sie SPs an der DFN-AAI vorbei direkt mit Ihrem IdP verbunden haben, haben Sie die Metadaten von IdP und SP manuell im jeweils anderen hinterlegt. Diese Metadatensätze müssen sie prüfen und ggf. manuell aktualisieren, | Wenn Sie SPs an der DFN-AAI vorbei direkt mit Ihrem IdP verbunden haben, haben Sie die Metadaten von IdP und SP manuell im jeweils anderen hinterlegt. Diese Metadatensätze müssen sie prüfen und ggf. manuell aktualisieren, | ||
| + | |||
| + | \\ | ||
| ===== Die SSL-Zertifikatskette auf Ihrem Webserver ===== | ===== Die SSL-Zertifikatskette auf Ihrem Webserver ===== | ||