Módosítások

HREF metadata specifikáció

1 595 bájt törölve, 2011. szeptember 19., 10:39
Aláírás ellenőrzése explicit tanúsítvánnyal: PKIX ellenőrzést, ill. a több kulcsot nem támogatjuk
* Az aláíró kulcsot smart cardon, pin kóddal védve tároljuk.
* Az aláírás on-line történik, a kártya pin kódját az aláíró szoftver indításakor az AAI adminisztrátor adja meg, a jelszó nem kerül tárolásra az aláírást végző rendszeren (sem másutt).
* NIIF CA által aláírt tanúsítvány, a teljes lánc beágyazva az aláírásba.
* PKI ellenőrzés lehetősége.
== Aláírási folyamat ==
== Aláírás ellenőrzése explicit tanúsítvánnyal ==
A föderáció entitásai a föderációs metaadat hitelességéről a digitális aláírás ellenőrzésével győződhetnek meg. Ezen ellenőrzéshez az előző pontban említett tanúsítvány használható fel.* Az explicit ellenőrzés esetén a <code>http://metadata.eduid.hu/${kulcs_kibocsatas_eve}current/</code> URL-ről kell letölteni a metadata fájlokat, például: http://metadata.eduid.hu/2010/href.xml.* A tanúsítvány a https://metadata.eduid.hu oldalról érhető el. A tanúsítvány nevében szereplő 2010-es szám a kulcs generálásának évére vonatkozik.
** DN-je <code>EMAILADDRESS=aai@niif.hu, CN=HREF Metadata Signer 2010, OU=AAI, O=NIIF Institute, O=NIIF CA, C=HU</code>
** SHA-1 <code>09:C2:8B:09:AB:9E:C2:9B:A5:71:37:E7:36:C6:10:FF:96:9F:D7:FE</code>
* Ajánlott a tanúsítvány lejárati idejét figyelmen kívül hagyni.
* A tanúsítványcsere koordinálása out-of-band módszerrel történik (a <code>href-tech</code> levelezőlista segítségével).
 
== Aláírás ellenőrzése PKI segítségével ==
* Mivel az aláíró tanúsítvány és a tanúsítványkiadó hatóság (CA) tanúsítványa is a metadata része, ezért végezhető PKI ellenőrzés is.
* PKI használata esetén a <code>http://metadata.eduid.hu/current/</code> URL-ről érdemes letölteni a metadata fájlokat, ott ugyanis mindig az aktuálisan legfrissebb kulccsal aláírt példányok érhetőek el.
* A Root CA tanúsítvány a következő URL-ről érhető el: http://www.ca.niif.hu/sites/ca.niif.hu/files/niif_ca_root_x509.pem
** PKI használata esetén a kulccsere automatikus, de a kompromittálódott kulcs visszavonhatósága miatt a visszavonási listák (CRL) használata rendkívül fontos!
== Aláíró kulcs cseréje ==
* A föderációs metadata aláíró kulcsa 2-3 évente kerül megújításra.
* A föderációs entitások számára ajánlott a tanúsítvány lejárati idejének figyelmen kívül hagyása.
* A kulccsere koordinálása a <code>href-tech</code> levelezőlistán keresztül történik.
* Kulcs visszavonásakor (kompromittálódás gyanúja esetén) a régi aláíró kulcs azonnal eltávolításra kerül, kontrollált kulccsere kulcscsere esetén az aláírás párhuzamosan történik a régi és az új kulccsal.* Érvényességi megfontolások** ha egy entitás egy kulccserénél nem követi le a tanúsítvány változását (és nem használ PKI ellenőrzést), akkor számára a metaadatok a kulccsere lezárulása - a régi kulcs eltávolítása - után elérhetetlenek lesznek. Ilyenkor az utolsó hitelesítésre került metadata <code>validUntil</code> időpontja után az entitás képtelen lesz kommunikálni a föderációval.
= Metaadat elérése =
A lap eredeti címe: „https://wiki.niif.hu/index.php?title=Speciális:MobileDiff/2009...2132

Navigációs menü