Módosítások

Tanúsítványok a föderációban

618 bájt hozzáadva, 2017. május 29., 13:00
a
hivatkozás a műszaki előírásokra
A '''felhasználók felé''' olyan tanúsítványt [[HREF műszaki előírások|kell használni]], amelyben a felhasználók böngészője megbízik. Ez a tanúsítvány nem szerepel a föderációs metadatában, ellenben a webszerver konfigurációjában hivatkozni kell rá. Jellemzően valamilyen jól ismert CA-val (pl. [[TCS | DigiCert ]] vagy letsencrypt) aláírt tanúsítványt, ami azt is jelenti, hogy rendszeresen cserélni kell őket.
A '''föderációs metadatában''' szereplő tanúsítványt elsősorban a föderációs alkalmazás ([[Shib3IdpInstall|Shibboleth]], [[SSP_QuickStart|SimpleSAMLphp ]]) konfigurációjában kell megadni, mert ez az, amivel alá tudja írni az általa küldött üzeneteket, illetve dekódolni tudja a fogadott titkosított adatokat. Ez a tanúsítvány lehetőség szerint hosszú (10+ éves) lejáratú, self-signed tanúsítvány legyen. : A webszerver (Apache, Jetty) konfigurációban csak akkor szerepeljen a föderációs metadatában szereplő tanúsítvány, ha azt szeretnénk, hogy az IdP támogassa az attribútumok back-channel történő letöltését (a Shibboleth IdP ilyen), esetleg ha valamilyen oknál fogva önálló AttributeAuthority-t építünk. Ha valami fut a szabványos https porton (pl. az IdP SSO szolgáltatása vagy egy SP), akkor az AttributeAuthority szolgáltatást nem tehetjük ide, ezért az jellemzően a 8443-as porton szokott figyelni.
[[Category: AAI általános]]

Navigációs menü