1 260
szerkesztés
Módosítások
→Metaadat aláírásának módja: Nem támogatjuk a PKI validációt
* Az aláíró kulcsot smart cardon, pin kóddal védve tároljuk.
* Az aláírás on-line történik, a kártya pin kódját az aláíró szoftver indításakor az AAI adminisztrátor adja meg, a jelszó nem kerül tárolásra az aláírást végző rendszeren (sem másutt).
== Aláírási folyamat ==
* Ajánlott a tanúsítvány lejárati idejét figyelmen kívül hagyni.
* A tanúsítványcsere koordinálása out-of-band módszerrel történik (a <code>href-tech</code> levelezőlista segítségével).
== Aláíró kulcs cseréje ==
* A föderációs entitások számára ajánlott a tanúsítvány lejárati idejének figyelmen kívül hagyása.
* A kulccsere koordinálása a <code>href-tech</code> levelezőlistán keresztül történik.
* Kulcs visszavonásakor (kompromittálódás gyanúja esetén) a régi aláíró kulcs azonnal eltávolításra kerül, kontrollált kulccsere kulcscsere esetén az aláírás párhuzamosan történik a régi és az új kulccsal.* Érvényességi megfontolások** ha egy entitás egy kulccserénél nem követi le a tanúsítvány változását (és nem használ PKI ellenőrzést), akkor számára a metaadatok a kulccsere lezárulása - a régi kulcs eltávolítása - után elérhetetlenek lesznek. Ilyenkor az utolsó hitelesítésre került metadata <code>validUntil</code> időpontja után az entitás képtelen lesz kommunikálni a föderációval.
= Metaadat elérése =