Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | |
| de:shibidp:prepare-zert [2025/01/13 16:06] – [Zertifikate für Webserver und SAML-basierte Kommunikation] Wolfgang Pempe | de:shibidp:prepare-zert [2026/02/18 11:22] (aktuell) – Wolfgang Pempe |
|---|
| * für die SAML-basierte Kommunikation, also das Signieren und Verschlüsseln des SAML-Traffics. Hierfür können Zertifikate mit einer Laufzeit von 3 Jahren bzw. 39 Monaten aus der [[https://www.pki.dfn.de/dfn-verein-community-pki|DFN-Verein Community PKI]] oder von einer [[de:certificates#eigene_lokale_ca|lokalen CA]] ausgestellte Zertifikate verwendet werden. Auch [[de:certificates#selbst-signierte_zertifikate|selbst-signierte]] Zertifikate können verwendet werden. | * für die SAML-basierte Kommunikation, also das Signieren und Verschlüsseln des SAML-Traffics. Hierfür können Zertifikate mit einer Laufzeit von 3 Jahren bzw. 39 Monaten aus der [[https://www.pki.dfn.de/dfn-verein-community-pki|DFN-Verein Community PKI]] oder von einer [[de:certificates#eigene_lokale_ca|lokalen CA]] ausgestellte Zertifikate verwendet werden. Auch [[de:certificates#selbst-signierte_zertifikate|selbst-signierte]] Zertifikate können verwendet werden. |
| |
| Webserver-Zertifikate von [[de:dfnpki:harica2025#serverzertifikate|HARICA]] können grundsätzlich für beide o.g. Zwecke genutzt werden. Angesichts der Laufzeitverkürzungen für Webserver-Zertifikate empfehlen wir für die SAML-basierte Kommunikation Zertifikate mit längeren Laufzeiten zu verwenden. | Webserver-Zertifikate von [[de:dfnpki:harica2025#serverzertifikate|HARICA]] oder anderen Browser-verankerten CAs sind für die SAML-basierte Kommunikation **nicht geeignet**. |
| |
| <callout color="#ff9900" title="Zertifikatsprofil 'Shibboleth IdP/SP' in der DFN-Verein Community PKI"> Beim Beantragen des Zertifikats sollten Sie das Zertifikatsprofil "Shibboleth IdP/SP" auswählen, damit das Zertifikat für alle SAML-Funktionen eingesetzt werden kann.</callout> | <callout color="#ff9900" title="Zertifikatsprofil 'Shibboleth IdP/SP' in der DFN-Verein Community PKI"> Beim Beantragen des Zertifikats sollten Sie das Zertifikatsprofil "Shibboleth IdP/SP" auswählen, damit das Zertifikat für alle SAML-Funktionen eingesetzt werden kann.</callout> |
| |
| Für die Vorbereitung des Webservers sollten Sie sich an dieser Stelle bereits ein entsprechendes Zertifikat z.B. des [[de:dfnpki:tcsfaq#zertifikate_erstellen|GÉANT TCS]] holen. | Für die Vorbereitung des Webservers sollten Sie sich an dieser Stelle bereits ein entsprechendes Zertifikat z.B. von [[de:dfnpki:harica2025#serverzertifikate|GÉANT TCS bzw. HARICA]] holen. |
| |
| Die den Policies der DFN-AAI entsprechenden Zertifikate für die SAML-basierte Kommunikation (siehe oben) sind erst beim Übergang in den Produktivbetrieb zwingend erforderlich. Daher kann die grundsätzliche Funktionalität des IdP zunächst anhand der Zertifikate erprobt werden, die bei der Shibboleth-Installation automatisch generiert werden. Wenn Sie die Tests in der DFN-AAI-Test abgeschlossen haben und mit der Konfiguration des IdP vertraut sind, ist ein Austausch der Zertifikate schnell gemacht. | Die den Policies der DFN-AAI entsprechenden Zertifikate für die SAML-basierte Kommunikation (siehe oben) sind erst beim Übergang in den Produktivbetrieb zwingend erforderlich. Daher kann die grundsätzliche Funktionalität des IdP zunächst anhand der Zertifikate erprobt werden, die bei der Shibboleth-Installation automatisch generiert werden. Wenn Sie die Tests in der DFN-AAI-Test abgeschlossen haben und mit der Konfiguration des IdP vertraut sind, ist ein Austausch der Zertifikate schnell gemacht. |