Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:metadata_admin_tool:checklist [2020/03/24 15:02] Wolfgang Pempede:checklist [2020/07/16 08:20] Wolfgang Pempe
Zeile 1: Zeile 1:
 ====== Checkliste für das Ausfüllen der Metadaten ====== ====== Checkliste für das Ausfüllen der Metadaten ======
-Beachten Sie bitte auch die aktuell gültige Fassung des [[de:normative_documents|Metadata Registration Practice Statements]]+Beachten Sie bitte auch die aktuell gültige Fassung des [[de:normative_documents|Metadata Registration Practice Statements]].
  
 Bitte beherzigen Sie die Punkte dieser Checkliste, bevor Sie Ihren neuen IdP/SP in die Produktivföderation aufnehmen, bevor Sie also diesen Radio-Button klicken: Bitte beherzigen Sie die Punkte dieser Checkliste, bevor Sie Ihren neuen IdP/SP in die Produktivföderation aufnehmen, bevor Sie also diesen Radio-Button klicken:
Zeile 16: Zeile 16:
   * Für jedes System werden mindestens 4 **Kontaktadressen** hinterlegt: Administrativer Kontakt, technischer Kontakt, Supportkontakt und Sicherheitskontakt. Grundsätzlich sollten hier Funktionsadressen angegeben werden, insbesondere beim Sicherheitskontakt (z.B. die Ihres CERTs). Wenn Ihre Einrichtung bzw. Firma nicht über eine solche Stelle verfügt, verwenden Sie die Adresse derjenigen, die bei Sicherheitsvorfällen ansprechbar sind. Achten Sie bitte darauf, dass die in der Metadatenverwaltung hinterlegten E-Mail-Adressen aktuell gehalten werden!    * Für jedes System werden mindestens 4 **Kontaktadressen** hinterlegt: Administrativer Kontakt, technischer Kontakt, Supportkontakt und Sicherheitskontakt. Grundsätzlich sollten hier Funktionsadressen angegeben werden, insbesondere beim Sicherheitskontakt (z.B. die Ihres CERTs). Wenn Ihre Einrichtung bzw. Firma nicht über eine solche Stelle verfügt, verwenden Sie die Adresse derjenigen, die bei Sicherheitsvorfällen ansprechbar sind. Achten Sie bitte darauf, dass die in der Metadatenverwaltung hinterlegten E-Mail-Adressen aktuell gehalten werden! 
   * Halten Sie Ihr X.509-Zertifikat für die SAML-basierte Kommunikation bereit. Die vollständigen Informationen zu diesen Zertifikaten finden Sie hier: [[https://doku.tid.dfn.de/de:certificates|https://doku.tid.dfn.de/de:certificates]]. Das Wichtigste in Kürze:   * Halten Sie Ihr X.509-Zertifikat für die SAML-basierte Kommunikation bereit. Die vollständigen Informationen zu diesen Zertifikaten finden Sie hier: [[https://doku.tid.dfn.de/de:certificates|https://doku.tid.dfn.de/de:certificates]]. Das Wichtigste in Kürze:
-      * IdPs verwenden Zertifikate der DFN-PKI. Ab Juli gelten nur noch Zertifikate der **2. Generation der DFN-PKI**.+      * IdPs verwenden Zertifikate der DFN-PKI.
       * SPs dürfen DFN-PKI-Zertifikate (falls berechtigt), Zertifikate einer etablierten kommerziellen CA oder selbstsignierte Zertifikate verwenden.       * SPs dürfen DFN-PKI-Zertifikate (falls berechtigt), Zertifikate einer etablierten kommerziellen CA oder selbstsignierte Zertifikate verwenden.
       * Die SSL-Zertifikate dürfen eine **Gültigkeit von 39 Monaten** nicht überschreiten.       * Die SSL-Zertifikate dürfen eine **Gültigkeit von 39 Monaten** nicht überschreiten.
-      * Zertifikate, die mit dem **Signaturalgorithmus** sha1 erstellt wurden, akzeptieren wir aus Sicherheitsgründen nicht mehr. So können Sie dies am Beispiel von openssl prüfen:+      * CA-Zertifikate, die mit dem **Signaturalgorithmus** sha1 erstellt wurden, akzeptieren wir aus Sicherheitsgründen nicht mehr (gilt nicht für selbst-signierte Zertifikate). So können Sie dies am Beispiel von openssl prüfen:
  
 <code> <code>
Zeile 25: Zeile 25:
 </code> </code>
  
-  * Für Service Provider: Damit Ihr SP Attribute Queries und Artifact Queries ausführen kann, sollten SP-Zertifikate mit dem **Client-Attribut** ausgestattet sein. Bei der DFN-PKI sorgt das Profil "Shibboleth-IdP/-SP" dafür, dass es dabei ist. Wenn Sie nicht die DFN-PKI nutzen, können Sie sich an der [[https://www.switch.ch/aai/support/certificates/embeddedcerts-requirements-appendix-a/|Dokumentation unserer Schweizer Kolleg*innen]] orientieren. Wenn Sie keine Attribute Queries und Artifact Queries brauchen, dann deaktivieren Sie bitte dieses Feature in der SP-Konfiguration. Beim Shibboleth SP muss das Element <AttributeResolver type="Query"> auszukommentiert und shibd erneut gestartet werden. Außerdem sollten Sie den Binding URL für Artifact Resolution Services sowie alle SOAP-Bindings (Logout) entfernen. So überprüfen Sie Ihr SP-Zertifikat am Beispiel von openssl:+  * Für Service Provider, optionalFalls der betreffende SP Attribute Queries und Artifact Queries ausführen können soll, sollten SP-Zertifikate mit dem **Client-Attribut** ausgestattet sein. Bei der DFN-PKI sorgt das Profil "Shibboleth-IdP/-SP" dafür, dass es dabei ist. Wenn Sie nicht die DFN-PKI nutzen, können Sie sich an der [[https://www.switch.ch/aai/support/certificates/embeddedcerts-requirements-appendix-a/|Dokumentation unserer Schweizer Kolleg*innen]] orientieren. Wenn Sie keine Attribute Queries und Artifact Queries brauchen, dann deaktivieren Sie bitte dieses Feature in der SP-Konfiguration. Beim Shibboleth SP muss das Element <AttributeResolver type="Query"> auszukommentiert und shibd erneut gestartet werden. Außerdem sollten Sie den Binding URL für Artifact Resolution Services sowie alle SOAP-Bindings (Logout) entfernen. So überprüfen Sie Ihr SP-Zertifikat am Beispiel von openssl:
  
 <code> <code>
  • Zuletzt geändert: vor 13 Monaten