Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:certificates [2025/05/30 10:30] – "Zertifikatstausch am IdP" etwas detailliert. Thorsten Michelsde:certificates [2026/07/08 14:33] (aktuell) Wolfgang Pempe
Zeile 5: Zeile 5:
 Bei der SAML-basierten Kommunikation zwischen IdP und SP werden Zertifikate zur Signatur-Validierung sowie zum Verschlüsseln eingesetzt. Diese Zertifikate müssen für die betreffende Entity in der [[de:metadata_admin_tool|Metadatenverwaltung]] eingetragen werden. Bei der SAML-basierten Kommunikation zwischen IdP und SP werden Zertifikate zur Signatur-Validierung sowie zum Verschlüsseln eingesetzt. Diese Zertifikate müssen für die betreffende Entity in der [[de:metadata_admin_tool|Metadatenverwaltung]] eingetragen werden.
  
-Bei unseren Vorgaben bzgl. Signaturalgorithmus und Schlüssellänge richten wir uns nach dem Empfehlungen des BSI ([[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03116/BSI-TR-03116-4.pdf?__blob=publicationFile&v|BSI TR-03116]], Kapitel 3). +Bei unseren Vorgaben bzgl. Signaturalgorithmus und Schlüssellänge richten wir uns nach dem Empfehlungen des BSI ([[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03116/BSI-TR-03116-4.pdf?__blob=publicationFile&v|BSI TR-03116]], Kapitel 3) und der [[https://www.elektronische-vertrauensdienste.de/EVD/DE/Aktuelles/Meldungen/anbieter/RSA2048.html|Bundesnetzagentur]]
 <callout color="#ff9900" title="Zertifikate müssen gültig sein"> <callout color="#ff9900" title="Zertifikate müssen gültig sein">
 **Generell gilt:** Entities mit ungültigen, d.h. abgelaufenen oder zurückgezogenen Zertifikaten werden automatisch aus der DFN-AAI Produktivföderation entfernt! **Generell gilt:** Entities mit ungültigen, d.h. abgelaufenen oder zurückgezogenen Zertifikaten werden automatisch aus der DFN-AAI Produktivföderation entfernt!
Zeile 34: Zeile 34:
  
 === Selbst-signierte Zertifikate === === Selbst-signierte Zertifikate ===
-Die dritte Möglichkeit ist die Verwendung von selbst-signierten Zertifikaten mit einer Gültigkeitsdauer von maximal 39 Monaten. Wir empfehlen zur korrekten Erstellung die Dokumentation ​der [[https://help.switch.ch/aai/guides/sp/embedded-certificate/?hostname=yourhost.example.org|SWITCHaai]]. Hierbei ist darauf zu achten, dass die Laufzeit auf 3 Jahre bzw. max. 39 Monate zu setzen ist (keygen Tool: ''-y 3'', openssl: ''-days 1170''). Die Schlüssellänge muss mindestens 3072 Bit betragen.+Die dritte Möglichkeit ist die Verwendung von selbst-signierten Zertifikaten mit einer Gültigkeitsdauer von **maximal 39 Monaten**.Die (RSA-)Schlüssellänge muss **mindestens 3072 Bit** betragen. Siehe hierzu diese [[de:aai:selfsigned_certs|Anleitung]].
  
 \\ \\
Zeile 81: Zeile 81:
 ==== 4. Zertifikatswechsel auf dem IdP ==== ==== 4. Zertifikatswechsel auf dem IdP ====
   * Editieren Sie die Datei ''conf/credentials.xml'': Entfernen Sie dort die Kommentarzeichen um das zweite ''BasicX509CredentialFactoryBean''.<file xml>        <!--   * Editieren Sie die Datei ''conf/credentials.xml'': Entfernen Sie dort die Kommentarzeichen um das zweite ''BasicX509CredentialFactoryBean''.<file xml>        <!--
-        For key rollover, uncomment and point to your original keypair, and use the one above 
-        to point to your new keypair. Once metadata has propagated, comment this one out again. 
-        --> 
-         
-        <bean class="net.shibboleth.idp.profile.spring.factory.BasicX509CredentialFactoryBean" 
-            p:privateKeyResource="%{idp.encryption.key.2}" 
-            p:certificateResource="%{idp.encryption.cert.2}" 
-            p:entityId-ref="entityID" /> 
-</file> 
-  * **ab IdP Version 4.3**: Editieren Sie die Datei ''conf/credentials.xml'': Entfernen Sie dort die Kommentarzeichen um das zweite ''BasicX509CredentialFactoryBean''.<file xml>        <!-- 
         For key rollover, uncomment and point to your original keypair, and use the one above         For key rollover, uncomment and point to your original keypair, and use the one above
         to point to your new keypair. Once metadata has propagated, comment this one out again.         to point to your new keypair. Once metadata has propagated, comment this one out again.
  • Zuletzt geändert: vor 14 Monaten