Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:certificates [2019/07/11 17:02]
Wolfgang Pempe
de:certificates [2020/10/15 11:39] (aktuell)
Silke Meyer
Zeile 1: Zeile 1:
 ~~NOTOC~~ ~~NOTOC~~
 ====== Zertifikate ====== ====== Zertifikate ======
-{{INLINETOC 3}}+{{INLINETOC 2}}
 ===== Zertifikate für die SAML-basierte Kommunikation ===== ===== Zertifikate für die SAML-basierte Kommunikation =====
  
 Bei der SAML-basierten Kommunikation zwischen IdP und SP werden Zertifikate zur Signatur-Validierung sowie zum Verschlüsseln eingesetzt. Diese Zertifikate müssen für die betreffende Entity in der [[de:metadata_admin_tool|Metadatenverwaltung]] eingetragen werden. Bei der SAML-basierten Kommunikation zwischen IdP und SP werden Zertifikate zur Signatur-Validierung sowie zum Verschlüsseln eingesetzt. Diese Zertifikate müssen für die betreffende Entity in der [[de:metadata_admin_tool|Metadatenverwaltung]] eingetragen werden.
  
 +<callout color="#ff9900" title="Zertifikate müssen gültig sein">
 **Generell gilt:** Entities mit ungültigen, d.h. abgelaufenen oder zurückgezogenen Zertifikaten werden automatisch aus der DFN-AAI Produktivföderation entfernt! **Generell gilt:** Entities mit ungültigen, d.h. abgelaufenen oder zurückgezogenen Zertifikaten werden automatisch aus der DFN-AAI Produktivföderation entfernt!
 +</callout>
  
 ==== Informationen für Identity Provider / Attribute Authorities ==== ==== Informationen für Identity Provider / Attribute Authorities ====
-Siehe unter [[de:shibidp3prepare-zert#dfn-pki-zertifikate|Vorbereitung: Zertifikate]]+Siehe unter [[de:shibidp:prepare-zert|Vorbereitung: Zertifikate]]
  
 ==== Informationen für Service Provider ==== ==== Informationen für Service Provider ====
Zeile 30: Zeile 32:
   * Sie können uns das Zertifikat auch in einer via S/MIME signierten E-Mail an [[hotline@aai.dfn.de|hotline@aai.dfn.de]] schicken. Die Zertifizierungsstelle, die das S/MIME-Zertifikat ausgestellt hat, muss eine etablierte CA sein.   * Sie können uns das Zertifikat auch in einer via S/MIME signierten E-Mail an [[hotline@aai.dfn.de|hotline@aai.dfn.de]] schicken. Die Zertifizierungsstelle, die das S/MIME-Zertifikat ausgestellt hat, muss eine etablierte CA sein.
      
-<callout type="danger" title="Ausnahmen">+<callout color="#ff9900" title="Ausnahmen">
 Eine Ausnahme von den o.g. Regeln gilt bei SPs, die bereits in anderen Föderationen (mit anderen Zertifikats-Policies) registriert sind. In diesem Fall können die dort verwendeten Zertifikate auch für die DFN-AAI genutzt werden, auch wenn diese länger gültig sind. Eine Ausnahme von den o.g. Regeln gilt bei SPs, die bereits in anderen Föderationen (mit anderen Zertifikats-Policies) registriert sind. In diesem Fall können die dort verwendeten Zertifikate auch für die DFN-AAI genutzt werden, auch wenn diese länger gültig sind.
 </callout> </callout>
Zeile 119: Zeile 121:
 </code> </code>
   * Starten Sie den Dienst ''shibd'' neu:<code>systemctl restart shibd</code>   * Starten Sie den Dienst ''shibd'' neu:<code>systemctl restart shibd</code>
-  * Der Zwischenstand ist nun folgender: Der Service Provider can SAML-Assertions entschlüsseln, die mit dem alten *oder* dem neuen Zertifikat verschlüsselt wurden. Er nutzt für Attribute Queries noch das alte Zertifikat.+  * Der Zwischenstand ist nun folgender: Der Service Provider kann SAML-Assertions entschlüsseln, die mit dem alten *oder* dem neuen Zertifikat verschlüsselt wurden. Er nutzt für Attribute Queries noch das alte Zertifikat.
   * **Veröffentlichen Sie das neue Zertifikat zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten und warten Sie auch hier vorsichtshalber 24 Stunden mit dem nächsten Schritt.**   * **Veröffentlichen Sie das neue Zertifikat zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten und warten Sie auch hier vorsichtshalber 24 Stunden mit dem nächsten Schritt.**
   * Konfigurieren Sie den SP um, so dass das neue Zertifikat an erster Stelle steht:<code xml>   * Konfigurieren Sie den SP um, so dass das neue Zertifikat an erster Stelle steht:<code xml>
Zeile 324: Zeile 326:
 read:errno=0 read:errno=0
 </code> </code>
-**Nächster Schritt:** [[de:functionaltest|Funktionstests]]+
  • Zuletzt geändert: vor 16 Monaten