547
szerkesztés
Módosítások
→Aláírás ellenőrzése az aláíró kulcs tanúsítványának segítségével
Ez a szócikk a [[Metadata]] bizalmi kérdéseivel foglalkozik. A föderációk üzemeltetéhez hozzátartozik a föderációs metadata állomány karbantartása is. A föderációban való bizalom technikai értelemben megegyezik a metadatába vetett bizalommal, így ezen bizalom fenntartása rendkívül fontos.
További információkkal szolgál a [https://spaceswiki.internet2shibboleth.edunet/confluence/display/SHIB2/TrustManagement Trust Management oldal] a Shibboleth wikin.
= Központi metadata bizalmi modellek =
A HREF Föderációban a metadata biztonságát digitális aláírás és 72 órás lejárati idő együttes alkalmazása biztosítja. A metadata óránként generálódik a [[Resource_Registry]]-ben, és aláírásra kerül a metadata aláíró kulccsal.
== Aláírás ellenőrzése az aláíró kulcs tanúsítványának segítségével ==Az aláírás ellenőrizhető a metadata aláíró kulcs tanúsítványányának segítségével, mely elérhető a https://idpmetadata.niifeduid.hu/href_signerhref-metadata-signer-2011.crt címről.
Shibboleth IdP illetve SP használata esetén a metadata állomány ellenőrzésére az ún. MetadataFilter használatos, mely az aláírást ellenőrzi a tanúsítvány segítségével.
xsi:type="security:StaticExplicitKeySignature">
<security:Credential id="MyFederation1Credentials" xsi:type="security:X509Filesystem">
<security:Certificate>/path/to/href_signerhref-metadata-signer-2011.crt</security:Certificate>
</security:Credential>
</security:TrustEngine>
<source lang="xml">
<MetadataProvider type="XML"
url="httpshttp://rrmetadata.aai.niifeduid.hu/metadatacurrent/href-metadata.xmlxmll" backingFilePath="href-metadata.xml">
<MetadataFilter type="RequireValidUntil" maxValidityInterval="604800"/>
<MetadataFilter type="Signature" certificate="href_signerhref-metadata-signer-2011.pemcrt"/>
</MetadataProvider>
</source>
=== SimpleSAMLphp esetén ===
SimpleSAMLphp használata esetén a metarefresh modul használható a metadata időzített letöltésére és ellenőrzésére. Ezzel kapcsolatban további információkat tartalmaz a [[SSP_QuickStart#HREF-integr.C3.A1ci.C3.B3|SimpleSAMLphp HREF integráció]] fejezet.
=== Az aláíró kulcs visszavonása ===
</source>
Az újabb Shibboleth SP verziókban lehetőség van a CRL URL-ről történő letöltésére is, ezzel kapcsolatban [https://spaceswiki.internet2shibboleth.edunet/confluence/display/SHIB2/NativeSPCredentialResolver további információk].
{{ATTENTION|A fenti konfigurációs kódrészlet nem alkalmazható előzetes tesztelés nélkül!}}
