Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
cs:tech:idp:certs [2016/07/18 08:45] jop@cesnet.cz [Proč self-sign certifikát] překlep + interpunkce |
cs:tech:idp:certs [2018/02/23 13:20] jop@cesnet.cz [Shibboleth IdP] |
||
---|---|---|---|
Řádek 15: | Řádek 15: | ||
===== Shibboleth IdP ===== | ===== Shibboleth IdP ===== | ||
- | Shibboleth IdP verze 2 používal dva páry veřejných a soukromých klíčů, [[cs:tech:idp:shibboleth|Shibboleth IdP verze 3]] standardně používá páry tři. Ve verzi 2 i v aktuální verzi 3 se tyto certifikáty generují automaticky během instalace. Jedná se o self-sign certifikáty, čili jsou to certifikáty, které jsou generovány na serveru, kde je provozován Shibboleth IdP, a nejsou tedy od žádné důvěryhodné CA. Výhodou je však jejich //doba platnosti//, která //je standardně 20 let//, a samozřejmě i fakt, že není třeba na jejich vydání čekat. **Tyto certifikáty proto doporučujeme nikdy neměnit za certifikáty důvěryhodné, které mají platnost maximálně 3 roky.** | + | Shibboleth IdP verze 2 používal dva páry veřejných a soukromých klíčů, [[cs:tech:idp:shibboleth|Shibboleth IdP verze 3]] standardně používá páry tři. Ve verzi 2 i v aktuální verzi 3 se tyto certifikáty generují automaticky během instalace. Jedná se o self-sign certifikáty, čili jsou to certifikáty, které jsou generovány na serveru, kde je provozován Shibboleth IdP, a nejsou tedy od žádné důvěryhodné CA. Výhodou je však jejich //doba platnosti//, která //je standardně 20 let//, a samozřejmě i fakt, že není třeba na jejich vydání čekat. **Tyto certifikáty proto doporučujeme nikdy neměnit za certifikáty důvěryhodné, které mají platnost maximálně 2 roky.** |
//Tento typ certifikátů je součástí metadat, takže může potenciálně způsobit nedostupnost přihlašování na službách.// Každá služba (Service Provider, SP) ve federaci musí totiž znát veřejný klíč k privátnímu klíči, kterým dokáže rozšifrovat komunikaci pocházející od IdP. Změníte-li tedy svévolně tyto certifikáty aniž byste provedli aktualizaci metadat, uživatelé z vašeho IdP se nebudou moci přihlásit k žádné službě. Zároveň je třeba při jejich aktualizaci nejprve nové certifikáty přidat k těm stávajícím a až dojde k distribuci aktualizovaných metadat na služby (nejpozději do 24 hodin), je možné provést výměnu na IdP. Dokud nebudou služby znát nové certifikáty, není možné je využívat. | //Tento typ certifikátů je součástí metadat, takže může potenciálně způsobit nedostupnost přihlašování na službách.// Každá služba (Service Provider, SP) ve federaci musí totiž znát veřejný klíč k privátnímu klíči, kterým dokáže rozšifrovat komunikaci pocházející od IdP. Změníte-li tedy svévolně tyto certifikáty aniž byste provedli aktualizaci metadat, uživatelé z vašeho IdP se nebudou moci přihlásit k žádné službě. Zároveň je třeba při jejich aktualizaci nejprve nové certifikáty přidat k těm stávajícím a až dojde k distribuci aktualizovaných metadat na služby (nejpozději do 24 hodin), je možné provést výměnu na IdP. Dokud nebudou služby znát nové certifikáty, není možné je využívat. |