cs:tech:certificates

Certifikáty

V typické instalaci Shibboleth IdP/SP potřebujete X.509 certifikát, kterým se komponenta identifikuje v rámci federace.

Certifikát musí splňovat následující požadavky:

  • musí být platný,
  • klíč musí mít délku alespoň 2048 bitů,
  • položka CN certifikátu musí odpovídat hodnotě hostname serveru,
  • může být shodný s tím, který se používá pro SSL v Apachi (ale nedoporučujeme to),
  • může být podepsán sám sebou (Self-Signed Certificate),
  • měl by používat podpis SHA-2 a lepší.

Doporučujeme používat tzv. Self-Signed certifikát s platností 10 let.

Plynulá výměna certifikátů v metadatech

V případě, že potřebujete vyměnit certifikát v metadatech IdP nebo SP, pokud to provedeme klasickým způsobem, tj. metadata IdP/SP jednoduše vyměníme, vznikne časové okno, během kterého nebude služba (ať už aplikace či autentizace) dostupná. Stane se tak, protože IdP/SP už používá nový certifikát, zatímco ostatní IdP/SP mají k dispozici ten starý, dokud neprovedou aktualizaci metadat.

Řešením je udržovat po nějakou dobu v metadatech oba certifikáty, tedy stávající (= starý) a nový. Vynikající návod v angličtině i s diagramy najdete na stránkach SWITCH.

Poslední úprava: 2017/02/10 07:02