Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
cs:tech:idp:certs [2016/07/18 08:43] jop@cesnet.cz [Shibboleth IdP] interpunkce |
cs:tech:idp:certs [2018/02/23 13:20] jop@cesnet.cz [Shibboleth IdP] |
||
---|---|---|---|
Řádek 15: | Řádek 15: | ||
===== Shibboleth IdP ===== | ===== Shibboleth IdP ===== | ||
- | Shibboleth IdP verze 2 používal dva páry veřejných a soukromých klíčů, [[cs:tech:idp:shibboleth|Shibboleth IdP verze 3]] standardně používá páry tři. Ve verzi 2 i v aktuální verzi 3 se tyto certifikáty generují automaticky během instalace. Jedná se o self-sign certifikáty, čili jsou to certifikáty, které jsou generovány na serveru, kde je provozován Shibboleth IdP, a nejsou tedy od žádné důvěryhodné CA. Výhodou je však jejich //doba platnosti//, která //je standardně 20 let//, a samozřejmě i fakt, že není třeba na jejich vydání čekat. **Tyto certifikáty proto doporučujeme nikdy neměnit za certifikáty důvěryhodné, které mají platnost maximálně 3 roky.** | + | Shibboleth IdP verze 2 používal dva páry veřejných a soukromých klíčů, [[cs:tech:idp:shibboleth|Shibboleth IdP verze 3]] standardně používá páry tři. Ve verzi 2 i v aktuální verzi 3 se tyto certifikáty generují automaticky během instalace. Jedná se o self-sign certifikáty, čili jsou to certifikáty, které jsou generovány na serveru, kde je provozován Shibboleth IdP, a nejsou tedy od žádné důvěryhodné CA. Výhodou je však jejich //doba platnosti//, která //je standardně 20 let//, a samozřejmě i fakt, že není třeba na jejich vydání čekat. **Tyto certifikáty proto doporučujeme nikdy neměnit za certifikáty důvěryhodné, které mají platnost maximálně 2 roky.** |
//Tento typ certifikátů je součástí metadat, takže může potenciálně způsobit nedostupnost přihlašování na službách.// Každá služba (Service Provider, SP) ve federaci musí totiž znát veřejný klíč k privátnímu klíči, kterým dokáže rozšifrovat komunikaci pocházející od IdP. Změníte-li tedy svévolně tyto certifikáty aniž byste provedli aktualizaci metadat, uživatelé z vašeho IdP se nebudou moci přihlásit k žádné službě. Zároveň je třeba při jejich aktualizaci nejprve nové certifikáty přidat k těm stávajícím a až dojde k distribuci aktualizovaných metadat na služby (nejpozději do 24 hodin), je možné provést výměnu na IdP. Dokud nebudou služby znát nové certifikáty, není možné je využívat. | //Tento typ certifikátů je součástí metadat, takže může potenciálně způsobit nedostupnost přihlašování na službách.// Každá služba (Service Provider, SP) ve federaci musí totiž znát veřejný klíč k privátnímu klíči, kterým dokáže rozšifrovat komunikaci pocházející od IdP. Změníte-li tedy svévolně tyto certifikáty aniž byste provedli aktualizaci metadat, uživatelé z vašeho IdP se nebudou moci přihlásit k žádné službě. Zároveň je třeba při jejich aktualizaci nejprve nové certifikáty přidat k těm stávajícím a až dojde k distribuci aktualizovaných metadat na služby (nejpozději do 24 hodin), je možné provést výměnu na IdP. Dokud nebudou služby znát nové certifikáty, není možné je využívat. | ||
Řádek 25: | Řádek 25: | ||
==== Proč self-sign certifikát ==== | ==== Proč self-sign certifikát ==== | ||
- | Protože je možné vydat ho na dostatečně dlouhou dobu a vyhnout se tak nutnosti výměny metadata z důvodu jeho vyexpirování. V tomto případě je důraz kladen na to že jmenovaný [[cs:join-admin-contact|administrativní kontakt]] musí poslat metadata digitálně podepsaným e-mailem, takže máme jistotu, že se nám někdo nepovolaný nesnaží podstrčit falešná metadata. | + | Protože je možné vydat ho na dostatečně dlouhou dobu a vyhnout se tak nutnosti výměny metadat z důvodu jeho vyexpirování. V tomto případě je důraz kladen na to, že jmenovaný [[cs:join-admin-contact|administrativní kontakt]] musí poslat metadata digitálně podepsaným e-mailem, takže máme jistotu, že se nám nikdo nepovolaný nesnaží podstrčit falešná metadata. |