Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:certificates [2022/09/13 15:35] – [Informationen für Service Provider] Wolfgang Pempe | de:certificates [2023/01/06 14:27] – Wolfgang Pempe |
---|
| |
=== Zertifikate der DFN-PKI bzw. DFN-Verein Community PKI=== | === Zertifikate der DFN-PKI bzw. DFN-Verein Community PKI=== |
Siehe hierzu unter https://www.pki.dfn.de/dfn-aai-zertifikate/. Für die SAML-basierte Kommunikation empfehlen sich **3 Jahre gültige Zertifikate aus der [[https://www.pki.dfn.de/dfn-verein-community-pki|DFN-Verein Community PKI]]**. | Für die SAML-basierte Kommunikation empfehlen sich **3 Jahre gültige Zertifikate aus der [[https://www.pki.dfn.de/dfn-verein-community-pki|DFN-Verein Community PKI]]**. |
Wenn Sie berechtigt sind, Zertifikate von der DFN-PKI zu beantragen, wählen Sie bei der Beantragung bitte das Profil "Shibboleth IdP SP" aus. Dieses Zertifikat laden Sie in der Metadatenverwaltung hoch. | Wenn Sie berechtigt sind, Zertifikate von der DFN-PKI zu beantragen, wählen Sie bei der Beantragung bitte das Profil "Shibboleth IdP SP" aus. Dieses Zertifikat laden Sie in der Metadatenverwaltung hoch. |
| |
| |
=== Eigene/lokale CA === | === Eigene/lokale CA === |
Für an der DFN-AAI teilnehmende Einrichtungen/Organisationen, die eine größere, zwei- bis dreistellige Anzahl von Entities, z.B. lokale SPs in der DFN-AAI betreiben, kann es sich lohnen, eine lokale CA aufzusetzen, um Zertifikate für die SAML-basierte Kommunikation auszustellen. In solch einem Fall muss nur das zugehörige CA-Zertifikat seitens des DFN-AAI-Teams verifiziert werden. Die Verifizierung erfolgt analog zu der [[#selbst-signierte_zertifikate|selbst-signierter Zertifikate]]. \\ | Für Zertifikate aus einer eigenen/lokalen CA gelten die selben Regeln wie für selbst-signierte Zertifikate, siehe unten. |
**Hinweis:** Bei Bedarf können [[https://www.pki.dfn.de/internelokale-cas/|lokale CAs auch von der DFN-PCA gehostet werden]] (Kontakt: https://www.pki.dfn.de/pkikontakt/). \\ | |
**Wichtig:** Eine lokale CA will mit großer Sorgfalt betrieben werden! Insbesondere ist sicherzustellen, dass der Private Key, anhand dessen die auszustellenden Zertifikate signiert werden, besonders gut geschützt ist! \\ | |
Eine gute Anleitung zum Betrieb einer eigenen CA findet sich [[https://networklessons.com/uncategorized/openssl-certification-authority-ca-ubuntu-server|hier]]. \\ | |
Zu berücksichtigende Parameter: | |
* Root Private Key: RSA, 4096 Bit | |
* Gültigkeit des Root Zertifikats: 20 Jahre (empfohlen) | |
* Gültigkeit der ausgestellten Zertifikate: max. 39 Monate | |
* Key-Länge der ausgestellten Zertifikate: 4096 Bit | |
* Signatur-Algorithmus: sha256 | |
* Der CN des ausgestellten Zertifikats entspricht dem FQDN des jeweiligen IdP-/SP-Hosts | |
| |
\\ | \\ |
| |
=== Zertifikate gängiger Zertifizierungsstellen === | === Selbst-signierte Zertifikate === |
Alternativ können Sie Zertifikate von CAs nutzen, die in den gängigen Standardbrowsern (Google Chrome, Firefox, Microsoft Edge) vorinstalliert sind. \\ | Die dritte Möglichkeit ist die Verwendung von selbst-signierten Zertifikaten mit einer Gültigkeitsdauer von maximal 39 Monaten. Wir empfehlen zur korrekten Erstellung die Dokumentation der [[https://www.switch.ch/aai/guides/sp/configuration/#4|SWITCHaai]]. Hierbei ist darauf zu achten, dass die Laufzeit auf 3 Jahre bzw. max. 39 Monate zu setzen ist (keygen Tool: ''-y 3'', openssl: ''-days 1170''). |
| |
\\ | \\ |
| |
=== Selbst-signierte Zertifikate === | === Zertifikate gängiger Zertifizierungsstellen === |
Die dritte Möglichkeit ist die Verwendung von selbst-signierten Zertifikaten mit einer Gültigkeitsdauer von maximal 39 Monaten. Wir empfehlen zur korrekten Erstellung die Dokumentation der [[https://www.switch.ch/aai/guides/sp/configuration/#4|SWITCHaai]]. Hierbei ist darauf zu achten, dass die Laufzeit auf 3 Jahre bzw. max. 39 Monate zu setzen ist (keygen Tool: ''-y 3'', openssl: ''-days 1170''). \\ | Alternativ können Zertifikate aus CAs genutzt werden, die in den gängigen Standardbrowsern (Google Chrome, Firefox, Microsoft Edge) vorinstalliert sind. \\ |
**Selbst-signierte Zertifikate müssen vor der Aufnahme in die DFN-AAI Produktivumgebung verifiziert werden.** Hierfür stehe folgende Optionen zur Verfügung, nachdem Sie das Server-Zertifikat in der Metadatenverwaltung hochgeladen haben: | |
* Schicken Sie uns das Zertifikat in einer via S/MIME signierten E-Mail an [[hotline@aai.dfn.de|hotline@aai.dfn.de]]. Die Zertifizierungsstelle, die das S/MIME-Zertifikat ausgestellt hat, muss eine etablierte CA sein. Für uns ist es am einfachsten, wenn Sie den Inhalt der .pem-Datei direkt in die signierte E-Mail hineinkopieren. | |
* Alternativ können Sie uns das Zertifikat auf Ihrem Webserver zum **Download via https** bereitstellen (z.B. über den Metadata Handler Ihres Shibboleth SP oder über einen Download-Link zu der Datei). Der SSL-Download-Link muss von einer vertrauenswürdigen Zertifizierungsstelle abgesichert sein. | |
* Sollte keine der genannten Möglichkeiten infrage kommen, kontaktieren Sie uns bitte direkt (+49 30 884299-9124, [[hotline@aai.dfn.de|hotline@aai.dfn.de]]). | |
| |
<callout color="#ff9900" title="Ausnahmen"> | <callout color="#ff9900" title="Ausnahmen"> |