Módosítások

** kötelező legalább 1024 bites kulcspárt használni** az entitások által használt tanúsítvánnyal kapcsolatban a föderációs metaadat-specifikáció a lejárati időn kívül föderáció nem tesz különleges megkötést, sőt: ajánlott az ún. hosszú lejáratú self-signed tanúsítvány tanúsítványok használata

Ezen kiegészítő adatok tárolására az internet2 szabványtervezetet készít, ennek a sémának a jelenlegi verziója megtalálható [httpshttp://spaceswiki.internet2oasis-open.eduorg/downloadsecurity/attachments/9731/saml_ds_login_ui_02.odt?version=1 ezen a linken (odt formátumban)SAML2MetadataUI itt].

<mdui:DiscoHints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:GeolocationHint>47.518356,19.055437</mdui:GeolocationHint> <mdui:DomainHint>niif.hu</mdui:DomainHint> <mdui:DomainHint>iif.hu</mdui:DomainHint> </mdui:DiscoHints>

<mdui:UIInfo xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:PrivacyStatementURL>https://rr.aai.niif.hu/privacy-policy</mdui:PrivacyStatementURL> <mdui:InformationURL>https://rr.aai.niif.hu/about</mdui:InformationURL> </mdui:UIInfo>

 === HREF-2020 === * 4096 bites, SHA-384 RSA aláíró kulcs.* NIIF CA által aláírt tanúsítványAz aláírás on-line történik, több telephelyes tartalékolt infrastruktúrával. == Aláírási folyamat == Az aláíratlan metaadat frissítése: # Az aláíratlan metaadat a teljes lánc beágyazva az aláírásbahttps://rr.eduid.hu oldalról ütemezetten, minden óra 15. és 45. percében letöltésre kerül.# A letöltött metaadat XML séma ellenőrzése ellenőrzése.* PKI ellenőrzés lehetősége# A metadat feltöltése az objektum tárolóba.

== Aláírás ellenőrzése PKI segítségével ==* Mivel az aláíró tanúsítvány és A föderáció entitásai a tanúsítványkiadó hatóság (CA) tanúsítványa is föderációs metaadat hitelességéről a metadata része, ezért végezhető PKI digitális aláírás ellenőrzésével győződhetnek meg. Az explicit ellenőrzés is.* PKI használata esetén a <code>http://metadata.eduid.hu/current/</code> URL-ről érdemes kell letölteni a metadata fájlokat, ott ugyanis mindig az aktuálisan legfrissebb kulccsal aláírt példányok érhetőek el. '''Ajánlott a tanúsítvány lejárati idejét figyelmen kívül hagyni.''' === HREF-2011 === * A Root CA HREF-2011 tanúsítvány a következő URL-ről https://metadata.eduid.hu oldalról érhető el. {| class="wikitable"|-| SHA-1 || <code>FE:AE:0B:E8:FB:59:ED:F7:CB:7F:69:DF:19:4F:8B:6D:C7:F6: http96:66<//wwwcode>|-| Serial Number || 1|-| Version || 3|-| C || HU|-| O || NIIF Institute|-| OU || eduID Federation Operator|-| CN || Metadata Signer|-| emailAddress || aai@niif.hu|-| Érvényesség kezdete || 2011.10.05.|-| Érvényesség vége || 2031.ca09.niif30.hu|} === HREF-2020 === * A HREF-2020 tanúsítvány a https:/sites/cametadata.niifeduid.huoldalról érhető el. {| class="wikitable"|-| SHA-1 || <code>C3:72:DC:75:4C:FA:BA:65:63:52:D9:6B:47:5B:44:7E:AA:F6:45:61</files/niif_ca_root_x509code>|-| Serial Number || 80:21:EF:F0:BA:16:04:BD|-| Version || 1|-| C || HU|-| ST || Budapest|-| L || Budapest|-| O || Governmental Agency for IT Development|-| OU || eduID Federation Operator|-| CN || Metadata Signer|-| emailAddress || info@eduid.hu|-| Érvényesség kezdete || 2020.06.13.|-| Érvényesség vége || 2025.06.14.pem** PKI használata esetén a kulccsere automatikus, de a kompromittálódott kulcs visszavonhatósága miatt a visszavonási listák (CRL) használata rendkívül fontos!|}

* Kulcs visszavonásakor (kompromittálódás gyanúja esetén) a régi aláíró kulcs azonnal eltávolításra kerül, kontrollált kulccsere kulcscsere esetén az aláírás párhuzamosan történik a régi és az új kulccsal.* Érvényességi megfontolások** ha egy entitás egy kulccserénél = Metaadat elérése =A HREF föderációban többféle metaadat-forrás áll rendelkezésre, melyeket a http://metadata.eduid.hu -ról lehet elérni. Fontos megemlíteni, hogy a metadata letöltésénél nem követi le indokolt az SSL használata, ezért - amennyiben lehetséges -, érdemes a tanúsítvány változását (és metadata URL-eket nem használ PKI ellenőrzést)titkosított HTTP protokoll segítségével letölteni. A metadata elérés URL-je a következő: <code>http://metadata.eduid.hu/${alairo_kulcs_kibocsatas_eve}/${metadata_forras}.xml</code>. A metadata források jelenleg a következők lehetnek: {| class="wikitable"|-| <code>href.xml</code> || Az éles föderációban részt vevő, akkor számára és a metaadatok föderáció kritériumait teljesítő entitások.|-| <code>href-test.xml</code> || A HREF föderáció tesztrendszerei. Bármely, a kulccsere lezárulása föderációban részt vevő intézmény tehet be teszt- entitást ebbe a régi kulcs eltávolítása halmazba, ezért ezen metaadat-forrás csak tesztelési célra használható.|-| <code>href-pending.xml</code> || A HREF föderáció "előszobája". Az újonnan csatlakozó intézmények IdP-je először itt lesz elérhető.|-| <code>href- után elérhetetlenek lesznekedugain.xml</code> || A HREF föderációból az [http://edugain.org eduGAIN] konföderációba kiajánlott entitások. Ide csak olyan entitások kerülhetnek be, melyek megfelelnek a föderációs kritériumoknak, és képesek az [http://edugain. Ilyenkor org eduGAIN] konföderációval való együttműködésre. Ezen entitások be kell hogy olvassák az utolsó hitelesítésre került metadata eduGAIN metaadatot is.|-| <code>edugain.xml</code> || Az [http://edugain.org eduGAIN] konföderáció metaadata, a HREF aláíró kulccsal aláírva.|-| <code>validUntilintézmény-specifikus</code> időpontja után az entitás képtelen lesz kommunikálni || Az intézmény-specifikus metaadat fájlok (pl.: bme.xml, ceu.xml, stb.), melyeket a föderációvalföderáció kérésre biztosítja, tetszőleges entitások halmazba gyűjtésével.|}

== Metaadat fájlok ==A HREF föderációban többféle metaadatteszt jelleggel működik és elérhető MDX-forrás áll rendelkezésrekiszolgáló:<code>http://mdx.eduid.hu</code>. A megfelelő beállításokhoz [[MDX|itt]] érhető el segédlet.

* <code>href.xml</code>: az éles föderációban részt vevő, '''Az MDX kiszolgáló eltérő kulcsot és a föderáció kritériumait teljesítő entitások* <code>href-testtanúsítványt használ.xml</code>: a HREF föderáció tesztrendszerei. Bármely, föderációban részt vevő intézmény tehet be teszt-entitást ebbe a halmazba, ezért ezen metaadat-forrás csak tesztelési célra használható.* <code>href-edugain.xml</code>: a HREF föderációból Jelenleg az [http://edugain.org eduGAIN] konföderációba kiajánlott entitások. Ide MDX elérés még csak olyan entitások kerülhetnek beteszt jelleggel működik, melyek megfelelnek a föderációs kritériumoknak, és képesek az [http://edugain.org eduGAIN] konföderációval való együttműködésre. Ezen entitások be kell hogy olvassák az eduGAIN metaadatot is.* <code>edugain-mds-ng-resigned.xml</code>: az [http://edugain.org eduGAIN] konföderáció metaadata, élesüzemre váltáskor a HREF aláíró kulccsal aláírva.* intézmény-specifikus metaadat fájlok, melyeket a föderáció kérésre biztosítja, tetszőleges entitások halmazba gyűjtésével2020 tanúsítvánnyal fog működni.'''

== Aláírási folyamat ==Az alábbi aláírási folyamatot az idp1 illetve idp2 gépek végzik, de egyszerre csak az egyik, szerepük kézi konfigurálással megfordíthatóA jelenlegi tanúsítvány innen tölthető le: <code>http://metadata.eduid.hu/current/mdx-test-signer-2015.crt</code>

* Aláíratlan metaadat frissítése** az aláíratlan metaadat a https://rr.aai.niif.hu oldalról ütemezetten (5 perc) letöltésre kerül. A letöltés során az rr.aai.niif.hu tanúsítványát explicit módon ellenőrzni kell.** a letöltött metaadat formai ellenőrzése** az ellenőrzött metaadat egy verziókövető rendszerbe kerül, az esetleges változásról e=== HREF-mail értesítés készül* Metaadat aláírás** az aláíró szoftver rendszeresen (1-2 percenként) ellenőrzi a metaadatot a verziókövető rendszerben, és változás esetén új aláírt metaadatokat készít** amennyiben nincs változás, fix időközönként (naponta legalább egyszer) új aláírt állományok készülnek* Aláírt metaadat kezelése** az aláírt föderációs metaadat a <code>http://metadata.eduid.hu/${alairo_kulcs_kibocsatasanak_eve}/${metadata_forras}</code> URL-en érhető el** az aláírt metaadatok kiszolgálását tartalékolt webszerver végzi2015 ===

{| class== Metaadat nézetek =="wikitable"|-A föderációs operátor külön kérésre speciálisan transzformált metaadat nézeteket is szolgáltat. Ezek a nézetek XSLT transzformációval állnak elő a mindig aktuális metadata állományból. Néhány példa| SHA-1 || <code>91:81:AD:2B:F1:C1:4E:47:93:A2:9D:49:34:B7:77:62:4F:2F:98:43</code>* https|-| Serial Number || AA:90:7C:D9:0C:D5:64://8D|-| Version || 3|-| C || HU|-| ST || -|-| L || Budapest|-| O || NIIFI|-| OU || AAI|-| CN || eduID MDX metadatasigner|-| emailAddress || aai@niif.hu|-| Érvényesség kezdete || 2015.eduid10.hu/entities/current/href13.xml |- entitás azonosítók listája, szerepekkel (IdP, SP, AA)* https://metadata| Érvényesség vége || 2034.eduid12.hu/php-ds-idp/current/href12.xml - SWITCH-féle discovery service konfigurációs nézet|}