Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:certificates [2022/08/01 09:08] – [Informationen für Service Provider] Wolfgang Pempe
+++ de:certificates [2022/12/01 15:31] – [Informationen für Service Provider] Wolfgang Pempe
@@ Zeile 18: / Zeile 18: @@
 \\
-=== Zertifikate der DFN-PKI ===
+=== Zertifikate der DFN-PKI bzw. DFN-Verein Community PKI===
-Siehe hierzu unter https://www.pki.dfn.de/dfn-aai-zertifikate/. Für die SAML-basierte Kommunikation empfehlen sich 3 Jahre gültige Zertifikate aus der [[https://www.pki.dfn.de/dfn-verein-community-pki|DFN-Verein Community PKI]].
+Für die SAML-basierte Kommunikation empfehlen sich **3 Jahre gültige Zertifikate aus der [[https://www.pki.dfn.de/dfn-verein-community-pki|DFN-Verein Community PKI]]**.
 Wenn Sie berechtigt sind, Zertifikate von der DFN-PKI zu beantragen, wählen Sie bei der Beantragung bitte das Profil "Shibboleth IdP SP" aus. Dieses Zertifikat laden Sie in der Metadatenverwaltung hoch.
@@ Zeile 25: / Zeile 25: @@
 === Eigene/lokale CA ===
-Für an der DFN-AAI teilnehmende Einrichtungen/Organisationen, die eine größere, zwei- bis dreistellige Anzahl von Entities, z.B. lokale SPs in der DFN-AAI betreiben, kann es sich lohnen, eine lokale CA aufzusetzen, um Zertifikate für die SAML-basierte Kommunikation auszustellen. In solch einem Fall muss nur das zugehörige CA-Zertifikat seitens des DFN-AAI-Teams verifiziert werden. Die Verifizierung erfolgt analog zu der [[#selbst-signierte_zertifikate|selbst-signierter Zertifikate]]. \\
+Für an der DFN-AAI teilnehmende Einrichtungen/Organisationen, die eine größere, zwei- bis dreistellige Anzahl von Entities, z.B. lokale SPs in der DFN-AAI betreiben, kann es sich lohnen, eine lokale CA aufzusetzen, um Zertifikate für die SAML-basierte Kommunikation auszustellen. \\
 **Hinweis:** Bei Bedarf können [[https://www.pki.dfn.de/internelokale-cas/|lokale CAs auch von der DFN-PCA gehostet werden]] (Kontakt: https://www.pki.dfn.de/pkikontakt/). \\
 **Wichtig:** Eine lokale CA will mit großer Sorgfalt betrieben werden! Insbesondere ist sicherzustellen, dass der Private Key, anhand dessen die auszustellenden Zertifikate signiert werden, besonders gut geschützt ist! \\
@@ Zeile 45: / Zeile 45: @@
 === Selbst-signierte Zertifikate ===
-Die dritte Möglichkeit ist die Verwendung von selbst-signierten Zertifikaten mit einer Gültigkeitsdauer von maximal 39 Monaten. Wir empfehlen zur korrekten Erstellung die Dokumentation der [[https://www.switch.ch/aai/guides/sp/configuration/#4|SWITCHaai]]. Hierbei ist darauf zu achten, dass die Laufzeit auf 3 Jahre bzw. max. 39 Monate zu setzen ist (keygen Tool: ''-y 3'', openssl: ''-days 1170''). \\
+Die dritte Möglichkeit ist die Verwendung von selbst-signierten Zertifikaten mit einer Gültigkeitsdauer von maximal 39 Monaten. Wir empfehlen zur korrekten Erstellung die Dokumentation der [[https://www.switch.ch/aai/guides/sp/configuration/#4|SWITCHaai]]. Hierbei ist darauf zu achten, dass die Laufzeit auf 3 Jahre bzw. max. 39 Monate zu setzen ist (keygen Tool: ''-y 3'', openssl: ''-days 1170'').
-**Selbst-signierte Zertifikate müssen vor der Aufnahme in die DFN-AAI Produktivumgebung verifiziert werden.** Hierfür stehe folgende Optionen zur Verfügung, nachdem Sie das Server-Zertifikat in der Metadatenverwaltung hochgeladen haben:
-  * Schicken Sie uns das Zertifikat in einer via S/MIME signierten E-Mail an [[hotline@aai.dfn.de|hotline@aai.dfn.de]]. Die Zertifizierungsstelle, die das S/MIME-Zertifikat ausgestellt hat, muss eine etablierte CA sein. Für uns ist es am einfachsten, wenn Sie den Inhalt der .pem-Datei direkt in die signierte E-Mail hineinkopieren.
+\\
-  * Alternativ können Sie uns das Zertifikat auf Ihrem Webserver zum **Download via https** bereitstellen (z.B. über den Metadata Handler Ihres Shibboleth SP oder über einen Download-Link zu der Datei). Der SSL-Download-Link muss von einer vertrauenswürdigen Zertifizierungsstelle abgesichert sein.
-  * Sollte keine der genannten Möglichkeiten infrage kommen, kontaktieren Sie uns bitte direkt (+49 30 884299-9124, [[hotline@aai.dfn.de|hotline@aai.dfn.de]]).
 <callout color="#ff9900" title="Ausnahmen">
@@ Zeile 185: / Zeile 183: @@
   * Starten Sie den Dienst ''shibd'' neu:<code bash>root@sp:~ # systemctl restart shibd</code>
   * Jetzt können Sie gleich das alte Zertifikat aus den Metadaten des SP herausnehmen. **Warten** Sie dann erneut bis zu 24 Stunden (sicher ist sicher), bis sich die Änderung in der DFN-AAI bzw. in eduGAIN herumgesprochen hat.
-  * Entfernen Sie das alte Zertifikat aus der SP-Konfiguration, indem Sie entweder löschen oder auskommentieren:<code xml>
+=== Schritt 6 beim Zertifikatswechel des SP: Zertifikate für SAML-Kommunikation tauschen ===
+  * Entfernen Sie das alte Zertifikat aus der SP-Konfiguration, indem Sie es entweder löschen oder auskommentieren:<code xml>
     <CredentialResolver type="Chaining">
         <!-- neues Zertifikat -->