cs:tech:idp:certs

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
cs:tech:idp:certs [2017/02/10 07:02]
127.0.0.1 upraveno mimo DokuWiki
cs:tech:idp:certs [2018/02/23 13:20] (current)
Jan Oppolzer [Shibboleth IdP]
Line 15: Line 15:
 ===== Shibboleth IdP ===== ===== Shibboleth IdP =====
  
-Shibboleth IdP verze 2 používal dva páry veřejných a soukromých klíčů, [[cs:​tech:​idp:​shibboleth|Shibboleth IdP verze 3]] standardně používá páry tři. Ve verzi 2 i v aktuální verzi 3 se tyto certifikáty generují automaticky během instalace. Jedná se o self-sign certifikáty,​ čili jsou to certifikáty,​ které jsou generovány na serveru, kde je provozován Shibboleth IdP, a nejsou tedy od žádné důvěryhodné CA. Výhodou je však jejich //doba platnosti//,​ která //je standardně 20 let//, a samozřejmě i fakt, že není třeba na jejich vydání čekat. **Tyto certifikáty proto doporučujeme nikdy neměnit za certifikáty důvěryhodné,​ které mají platnost maximálně ​roky.**+Shibboleth IdP verze 2 používal dva páry veřejných a soukromých klíčů, [[cs:​tech:​idp:​shibboleth|Shibboleth IdP verze 3]] standardně používá páry tři. Ve verzi 2 i v aktuální verzi 3 se tyto certifikáty generují automaticky během instalace. Jedná se o self-sign certifikáty,​ čili jsou to certifikáty,​ které jsou generovány na serveru, kde je provozován Shibboleth IdP, a nejsou tedy od žádné důvěryhodné CA. Výhodou je však jejich //doba platnosti//,​ která //je standardně 20 let//, a samozřejmě i fakt, že není třeba na jejich vydání čekat. **Tyto certifikáty proto doporučujeme nikdy neměnit za certifikáty důvěryhodné,​ které mají platnost maximálně ​roky.**
  
 //Tento typ certifikátů je součástí metadat, takže může potenciálně způsobit nedostupnost přihlašování na službách.//​ Každá služba (Service Provider, SP) ve federaci musí totiž znát veřejný klíč k privátnímu klíči, kterým dokáže rozšifrovat komunikaci pocházející od IdP. Změníte-li tedy svévolně tyto certifikáty aniž byste provedli aktualizaci metadat, uživatelé z vašeho IdP se nebudou moci přihlásit k žádné službě. Zároveň je třeba při jejich aktualizaci nejprve nové certifikáty přidat k těm stávajícím a až dojde k distribuci aktualizovaných metadat na služby (nejpozději do 24 hodin), je možné provést výměnu na IdP. Dokud nebudou služby znát nové certifikáty,​ není možné je využívat. //Tento typ certifikátů je součástí metadat, takže může potenciálně způsobit nedostupnost přihlašování na službách.//​ Každá služba (Service Provider, SP) ve federaci musí totiž znát veřejný klíč k privátnímu klíči, kterým dokáže rozšifrovat komunikaci pocházející od IdP. Změníte-li tedy svévolně tyto certifikáty aniž byste provedli aktualizaci metadat, uživatelé z vašeho IdP se nebudou moci přihlásit k žádné službě. Zároveň je třeba při jejich aktualizaci nejprve nové certifikáty přidat k těm stávajícím a až dojde k distribuci aktualizovaných metadat na služby (nejpozději do 24 hodin), je možné provést výměnu na IdP. Dokud nebudou služby znát nové certifikáty,​ není možné je využívat.
Last modified:: 2018/02/23 13:20