Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:certificates [2022/12/01 15:31] – [Informationen für Service Provider] Wolfgang Pempede:certificates [2023/01/06 14:26] Wolfgang Pempe
Zeile 25: Zeile 25:
  
 === Eigene/lokale CA === === Eigene/lokale CA ===
-Für an der DFN-AAI teilnehmende Einrichtungen/Organisationen, die eine größere, zwei- bis dreistellige Anzahl von Entities, z.B. lokale SPs in der DFN-AAI betreiben, kann es sich lohnen, eine lokale CA aufzusetzen, um Zertifikate für die SAML-basierte Kommunikation auszustellen. \\ +Für Zertifikate aus einer eigenen/lokalen CA gelten die selben Regeln wie für selbst-signierte Zertifikate, siehe unten
-**Hinweis:** Bei Bedarf können [[https://www.pki.dfn.de/internelokale-cas/|lokale CAs auch von der DFN-PCA gehostet werden]] (Kontakt: https://www.pki.dfn.de/pkikontakt/). \\ +
-**Wichtig:** Eine lokale CA will mit großer Sorgfalt betrieben werden! Insbesondere ist sicherzustellen, dass der Private Key, anhand dessen die auszustellenden Zertifikate signiert werdenbesonders gut geschützt ist! \\ +
-Eine gute Anleitung zum Betrieb einer eigenen CA findet sich [[https://networklessons.com/uncategorized/openssl-certification-authority-ca-ubuntu-server|hier]]. \\ +
-Zu berücksichtigende Parameter:  +
-  * Root Private Key: RSA, 4096 Bit +
-  * Gültigkeit des Root Zertifikats: 20 Jahre (empfohlen) +
-  * Gültigkeit der ausgestellten Zertifikate: max. 39 Monate +
-  * Key-Länge der ausgestellten Zertifikate: 4096 Bit +
-  * Signatur-Algorithmus: sha256 +
-  * Der CN des ausgestellten Zertifikats entspricht dem FQDN des jeweiligen IdP-/SP-Hosts +
  
 \\ \\
  • Zuletzt geändert: vor 3 Tagen