565
szerkesztés
Módosítások
aláírási mód, nézetek
** a metaadat integritásvédelmét és hitelességét egy digitális aláírás biztosítja.
** a metaadat visszavonhatóságát a lejárati idő (<code>validUntil</code>) biztosítja, ami jelenleg 3 nap.
** az egyes rendszerek gyorstárazhatják a metaadatot, de maximum legalább naponta egyszer kötelesek a benne megjelölt ideig (<code>cacheDuration</code>)hiteles állományt frissíteni.
** az aláírási procedúrát a [[#Metaadat_aláírásának_módja]] fejezet írja le.
* Tanúsítványok
* NIIF CA által aláírt tanúsítvány, a teljes lánc beágyazva az aláírásba.
* PKI ellenőrzés lehetősége.
== Aláírás ellenőrzése explicit tanúsítvánnyal ==A föderáció entitásai a föderációs metaadat hitelességéről a digitális aláírás ellenőrzésével győződhetnek meg. Ezen ellenőrzéshez az előző pontban említett tanúsítvány használható fel.* Az explicit ellenőrzés esetén a <code>http://metadata.eduid.hu/${kulcs_kibocsatas_eve}/</code> URL-ről kell letölteni a metadata fájlokat, például: http://metadata.eduid.hu/2010/href.xml.* A tanúsítvány a https://metadata.eduid.hu oldalról érhető el. A tanúsítvány nevében szereplő 2010-es szám a kulcs generálásának évére vonatkozik.** DN-je <code>EMAILADDRESS=aai@niif.hu, CN=HREF Metadata Signer 2010, OU=AAI, O=NIIF Institute, O=NIIF CA, C=HU</code>** SHA-1 <code>09:C2:8B:09:AB:9E:C2:9B:A5:71:37:E7:36:C6:10:FF:96:9F:D7:FE</code>* Ajánlott a tanúsítvány lejárati idejét figyelmen kívül hagyni.* A tanúsítványcsere koordinálása out-of-band módszerrel történik (a <code>href-tech</code> levelezőlista segítségével). == Aláírás ellenőrzése PKI segítségével ==* Mivel az aláíró tanúsítvány és a tanúsítványkiadó hatóság (CA) tanúsítványa is a metadata része, ezért végezhető PKI ellenőrzés is.* PKI használata esetén a <code>http://metadata.eduid.hu/current/</code> URL-ről érdemes letölteni a metadata fájlokat, ott ugyanis mindig az aktuálisan legfrissebb kulccsal aláírt példányok érhetőek el.* A Root CA tanúsítvány a következő URL-ről érhető el: http://www.ca.niif.hu/sites/ca.niif.hu/files/niif_ca_root_x509.pem** PKI használata esetén a kulccsere automatikus, de a kompromittálódott kulcs visszavonhatósága miatt a visszavonási listák (CRL) használata rendkívül fontos! == Aláíró kulcs cseréje ==* A föderációs metadata aláíró kulcsa 2 -3 éventekerül megújításra.* A föderációs entitások számára ajánlott a tanúsítvány lejárati idejének figyelmen kívül hagyása.*A kulccsere koordinálása a <code>href-tech</code> levelezőlistán keresztül történik.* Az Kulcs visszavonásakor (kompromittálódás gyanúja esetén) a régi aláíró kulcs cseréjekor azonnal eltávolításra kerül, kontrollált kulccsere esetén az aláírás párhuzamosan történik a régi és az új aláíró kulccsal.* Érvényességi megfontolások** ha egy entitás egy kulccserénél nem követi le a tanúsítvány változását (és nem használ PKI ellenőrzést), akkor számára a metaadatok a kulccsere lezárulása - a régi kulcs párhuzamosan dolgozik, külön metaadat fájlokbaeltávolítása - után elérhetetlenek lesznek. Ilyenkor az utolsó hitelesítésre került metadata <code>validUntil</code> időpontja után az entitás képtelen lesz kommunikálni a föderációval.
== Metaadat fájlok ==
* <code>href-edugain.xml</code>: a HREF föderációból az [http://edugain.org eduGAIN] konföderációba kiajánlott entitások. Ide csak olyan entitások kerülhetnek be, melyek megfelelnek a föderációs kritériumoknak, és képesek az [http://edugain.org eduGAIN] konföderációval való együttműködésre. Ezen entitások be kell hogy olvassák az eduGAIN metaadatot is.
* <code>edugain-mds-ng-resigned.xml</code>: az [http://edugain.org eduGAIN] konföderáció metaadata, a HREF aláíró kulccsal aláírva.
* intézmény-specifikus metaadat fájlok, melyeket a föderáció kérésre biztosítja, tetszőleges entitások halmazba gyűjtésével.
== Aláírási folyamat ==
* Aláíratlan metaadat frissítése
** Az az aláíratlan metaadat a https://rr.aai.niif.hu oldalról ütemezetten (5 perc) letöltésre kerül. A letöltés során az rr.aai.niif.hu tanúsítványát explicit módon ellenőrzni kell.** A a letöltött metaadat formai ellenőrzése.** Az az ellenőrzött metaadat egy verziókövető rendszerbe kerül, az esetleges változásról e-mail értesítés készül.
* Metaadat aláírás
** Az az aláíró szoftver rendszeresen (1-2 percenként) ellenőrzi a metaadatot a verziókövető rendszerben, és változás esetén új aláírt metaadatokat készít.** Amennyiben amennyiben nincs változás, fix időközönként (naponta legalább egyszer) új aláírt állományok készülnek* Aláírt metaadat kezelése** az aláírt föderációs metaadat a <code>http://metadata.eduid.hu/${alairo_kulcs_kibocsatasanak_eve}/${metadata_forras}</code> URL-en érhető el** az aláírt metaadatok kiszolgálását tartalékolt webszerver végzi
