107
szerkesztés
Módosítások
nincs szerkesztési összefoglaló
= Metaadat aláírásának módja =
== Aláíró kulcs és tanúsítványok ==
=== HREF-2011 ===
* Az aláíró kulcsot smart cardon, pin kóddal védve tároljuk.
* Az aláírás on-line történik, a kártya pin kódját az aláíró szoftver indításakor az AAI adminisztrátor adja meg, a jelszó nem kerül tárolásra az aláírást végző rendszeren (sem másutt).
=== HREF-2020 ===
* 4096 bites, SHA-384 RSA aláíró kulcs.
* Az aláírás on-line történik, több telephelyes tartalékolt infrastruktúrával.
== Aláírási folyamat ==
== Aláírás ellenőrzése explicit tanúsítvánnyal ==
A föderáció entitásai a föderációs metaadat hitelességéről a digitális aláírás ellenőrzésével győződhetnek meg. * Az explicit ellenőrzés esetén a <code>http://metadata.eduid.hu/current/</code> URL-ről kell letölteni a metadata fájlokat. '''Ajánlott a tanúsítvány lejárati idejét figyelmen kívül hagyni.''' === HREF-2011 === * A HREF-2011 tanúsítvány a https://metadata.eduid.hu oldalról érhető el.** DN{| class="wikitable"|-je <code>EMAILADDRESS=aai@niif.hu, CN=Metadata Signer, OU=eduID Federation Operator, O=NIIF Institute, C=HU</code>** | SHA-1 || <code>FE:AE:0B:E8:FB:59:ED:F7:CB:7F:69:DF:19:4F:8B:6D:C7:F6:96:66</code>|-| Serial Number || 1|-| Version || 3|-| C || HU|-| O || NIIF Institute|-| OU || eduID Federation Operator|-| CN || Metadata Signer|-| emailAddress || aai@niif.hu|-| Érvényesség kezdete || 2011.10.05.|-| Érvényesség vége || 2031.09.30.|} === HREF-2020 === * Ajánlott A HREF-2020 tanúsítvány a tanúsítvány lejárati idejét figyelmen kívül hagynihttps://metadata.eduid.hu oldalról érhető el.* A tanúsítványcsere koordinálása out{| class="wikitable"|-of| SHA-band módszerrel történik (a 1 || <code>href-techC3:72:DC:75:4C:FA:BA:65:63:52:D9:6B:47:5B:44:7E:AA:F6:45:61</code> levelezőlista segítségével)|-| Serial Number || 80:21:EF:F0:BA:16:04:BD|-| Version || 1|-| C || HU|-| ST || Budapest|-| L || Budapest|-| O || Governmental Agency for IT Development|-| OU || eduID Federation Operator|-| CN || Metadata Signer|-| emailAddress || info@eduid.hu|-| Érvényesség kezdete || 2020.06.13.|-| Érvényesség vége || 2025.06.14.|}
== Aláíró kulcs cseréje ==
* A kulccsere koordinálása a <code>href-tech</code> levelezőlistán keresztül történik.
* Kulcs visszavonásakor (kompromittálódás gyanúja esetén) a régi aláíró kulcs azonnal eltávolításra kerül, kontrollált kulcscsere esetén az aláírás párhuzamosan történik a régi és az új kulccsal.
A HREF föderációban többféle metaadat-forrás áll rendelkezésre, melyeket a http://metadata.eduid.hu -ról lehet elérni. Fontos megemlíteni, hogy a metadata letöltésénél nem indokolt az SSL használata, ezért - amennyiben lehetséges -, érdemes a metadata URL-eket nem titkosított HTTP protokoll segítségével letölteni.
A metadata elérés URL-je a következő: <code>http://metadata.eduid.hu/${alairo_kulcs_kibocsatas_eve}/${metadata_forras}.xml</code>. A metadata források jelenleg a következők lehetnek:* {| class="wikitable"|-| <code>href.xml</code>: az || Az éles föderációban részt vevő, és a föderáció kritériumait teljesítő entitások.|-* | <code>href-test.xml</code>: a || A HREF föderáció tesztrendszerei. Bármely, a föderációban részt vevő intézmény tehet be teszt-entitást ebbe a halmazba, ezért ezen metaadat-forrás csak tesztelési célra használható.* |-| <code>href-pending.xml</code> || A HREF föderáció "előszobája". Az újonnan csatlakozó intézmények IdP-je először itt lesz elérhető.|-| <code>href-edugain.xml</code>: a || A HREF föderációból az [http://edugain.org eduGAIN] konföderációba kiajánlott entitások. Ide csak olyan entitások kerülhetnek be, melyek megfelelnek a föderációs kritériumoknak, és képesek az [http://edugain.org eduGAIN] konföderációval való együttműködésre. Ezen entitások be kell hogy olvassák az eduGAIN metaadatot is.* |-| <code>edugain.xml</code>: az || Az [http://edugain.org eduGAIN] konföderáció metaadata, a HREF aláíró kulccsal aláírva.* |-| <code>intézmény-specifikus</code> || Az intézmény-specifikus metaadat fájlok(pl.: bme.xml, ceu.xml, stb.), melyeket a föderáció kérésre biztosítja, tetszőleges entitások halmazba gyűjtésével.|}
== MDX-alapú elérés ==
A HREF föderációban teszt jelleggel működik és elérhető MDX-kiszolgáló: <code>http://mdx.eduid.hu</code>. A megfelelő beállításokhoz [[MDX|itt]] érhető el segédlet.
'''Az MDX kiszolgáló eltérő (nem fizikai) kulcsot és tanúsítványt használ.Jelenleg az MDX elérés még csak teszt jelleggel működik, az élesüzemre váltáskor a HREF-2020 tanúsítvánnyal fog működni.''' A jelenlegi tanúsítvány innen tölthető le: <code>http://metadata.eduid.hu/current/mdx-test-signer-2015.crt</code> === HREF-2015 === {| class="wikitable"|-| SHA-1 || <code>91:81:AD:2B:F1:C1:4E:47:93:A2:9D:49:34:B7:77:62:4F:2F:98:43</code>|-| Serial Number || AA:90:7C:D9:0C:D5:64:8D|-| Version || 3|-| C || HU|-| ST || -|-| L || Budapest|-| O || NIIFI|-| OU || AAI|-| CN || eduID MDX metadata signer|-| emailAddress || aai@niif.hu|-| Érvényesség kezdete || 2015.10.13.|-| Érvényesség vége || 2034.12.12.|}
