Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze | |||
|
cs:tech:idp:certs [2017/02/10 07:02] 127.0.0.1 upraveno mimo DokuWiki |
cs:tech:idp:certs [2018/02/23 13:20] jop@cesnet.cz [Shibboleth IdP] |
||
|---|---|---|---|
| Řádek 15: | Řádek 15: | ||
| ===== Shibboleth IdP ===== | ===== Shibboleth IdP ===== | ||
| - | Shibboleth IdP verze 2 používal dva páry veřejných a soukromých klíčů, [[cs:tech:idp:shibboleth|Shibboleth IdP verze 3]] standardně používá páry tři. Ve verzi 2 i v aktuální verzi 3 se tyto certifikáty generují automaticky během instalace. Jedná se o self-sign certifikáty, čili jsou to certifikáty, které jsou generovány na serveru, kde je provozován Shibboleth IdP, a nejsou tedy od žádné důvěryhodné CA. Výhodou je však jejich //doba platnosti//, která //je standardně 20 let//, a samozřejmě i fakt, že není třeba na jejich vydání čekat. **Tyto certifikáty proto doporučujeme nikdy neměnit za certifikáty důvěryhodné, které mají platnost maximálně 3 roky.** | + | Shibboleth IdP verze 2 používal dva páry veřejných a soukromých klíčů, [[cs:tech:idp:shibboleth|Shibboleth IdP verze 3]] standardně používá páry tři. Ve verzi 2 i v aktuální verzi 3 se tyto certifikáty generují automaticky během instalace. Jedná se o self-sign certifikáty, čili jsou to certifikáty, které jsou generovány na serveru, kde je provozován Shibboleth IdP, a nejsou tedy od žádné důvěryhodné CA. Výhodou je však jejich //doba platnosti//, která //je standardně 20 let//, a samozřejmě i fakt, že není třeba na jejich vydání čekat. **Tyto certifikáty proto doporučujeme nikdy neměnit za certifikáty důvěryhodné, které mají platnost maximálně 2 roky.** |
| //Tento typ certifikátů je součástí metadat, takže může potenciálně způsobit nedostupnost přihlašování na službách.// Každá služba (Service Provider, SP) ve federaci musí totiž znát veřejný klíč k privátnímu klíči, kterým dokáže rozšifrovat komunikaci pocházející od IdP. Změníte-li tedy svévolně tyto certifikáty aniž byste provedli aktualizaci metadat, uživatelé z vašeho IdP se nebudou moci přihlásit k žádné službě. Zároveň je třeba při jejich aktualizaci nejprve nové certifikáty přidat k těm stávajícím a až dojde k distribuci aktualizovaných metadat na služby (nejpozději do 24 hodin), je možné provést výměnu na IdP. Dokud nebudou služby znát nové certifikáty, není možné je využívat. | //Tento typ certifikátů je součástí metadat, takže může potenciálně způsobit nedostupnost přihlašování na službách.// Každá služba (Service Provider, SP) ve federaci musí totiž znát veřejný klíč k privátnímu klíči, kterým dokáže rozšifrovat komunikaci pocházející od IdP. Změníte-li tedy svévolně tyto certifikáty aniž byste provedli aktualizaci metadat, uživatelé z vašeho IdP se nebudou moci přihlásit k žádné službě. Zároveň je třeba při jejich aktualizaci nejprve nové certifikáty přidat k těm stávajícím a až dojde k distribuci aktualizovaných metadat na služby (nejpozději do 24 hodin), je možné provést výměnu na IdP. Dokud nebudou služby znát nové certifikáty, není možné je využívat. | ||
CESNET, z. s. p. o.
Generála Píky 26
16000 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz