Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze		 Předchozí verze
eduid:admins:howto:certs:index [2012/03/22 15:59] – Jan Tomášek semik@cesnet.czcs:tech:certificates [2024/01/11 10:22] (aktuální) – [Plynulá výměna certifikátů v metadatech] Jan Oppolzer
Řádek 1: Řádek 1:
 ====== Certifikáty ====== ====== Certifikáty ======
  
-V typické instalaci Shibboleth IdP/SP potřebujete X.509 certifikát, kterým se komponenta identifikuje v rámci federace. V současné době je možné použít **jakýkoliv** server/client certifikát (včetně //self-signed//).+V typické instalaci Shibboleth IdP/SP potřebujete X.509 certifikát, kterým se entita identifikuje v rámci federace.
  
-Je docela běžné použít ten samý certifikát, který se používá u SSL v Apachi (pro ochranu přihlašovacího formuláře).+Certifikát musí splňovat následující požadavky:
  
-Použite-li //self-signed// certifikát tak si nastavit delší platnost a ušetřit si tak starosti s výměnou metadat, ale na druhou stranu musíte zajistit jiný certifikát pro Apache.+  * být platný, 
 +  * klíč o délce alespoň 2048 bitů, 
 +  * používat podpis SHA-2 a lepší.
  
-:!: **Položka CN certifikátu musí odpovídat hostname serveru, na kterém je umístěna komponenta (IdP nebo SP).**+**Doporučujeme používat tzv. Self-Signed certifikát s platností 10 let.**
  
 ===== Plynulá výměna certifikátů v metadatech ===== ===== Plynulá výměna certifikátů v metadatech =====
  
-V případě, že potřebujeme vyměnit certifikát v metadatech IdP nebo SP, pokud to provedeme klasickým způsobem, tj. metadata IdP/SP jednoduše vyměníme, pravděpodobně vznikne časové okno, během kterého nebude služba (ať už aplikace či autentizace) dostupná. Stane se tak, protože náš IdP/SP už používá nový certifikát, zatímco ostatní IdP/SP mají k dispozici ten starý, dokud neprovedou aktualizaci metadat. +V případě, že potřebujete vyměnit certifikát v metadatech IdP nebo SP, pokud to provedeme klasickým způsobem, tj. metadata IdP/SP jednoduše vyměníme, vznikne časové okno, během kterého nebude služba (ať už aplikace či autentizace) dostupná. Stane se tak, protože IdP/SP už používá nový certifikát, zatímco ostatní IdP/SP mají k dispozici ten starý, dokud neprovedou aktualizaci metadat.
  
-Řešením jeudržovat po nějakou dobu v metadatech oba certifikáty. Vynikající návod v angličtině i s diagramy najdete na [[http://switch.ch/aai/support/certificate-migration.html|stránkach SWITCH]].+Řešením je udržovat po nějakou dobu v metadatech oba certifikáty, tedy stávající (= starý) a nový. 
 + 
 +  * [[cs:tech:sp:shibboleth:rollover|Shibboleth SP 3]] 
 + 
 +Vynikající návod v angličtině i s diagramy najdete na [[http://switch.ch/aai/support/certificate-migration.html|stránkach SWITCH]].