Módosítások

Tanúsítványok a föderációban

370 bájt hozzáadva, 2017. május 29., 10:33
nincs szerkesztési összefoglaló
A '''felhasználók felé''' olyan tanúsítványt kell használni, amelyben a felhasználók böngészője megbízik. Ez a tanúsítvány nem szerepel a föderációs metadatában, ellenben a webszerver konfigurációjában hivatkozni kell rá. Jellemzően valamilyen jól ismert CA-val (pl. [[TCS | DigiCert ]] vagy letsencrypt) aláírt tanúsítványt, ami azt is jelenti, hogy rendszeresen cserélni kell őket.
A '''föderációs metadatában''' szereplő tanúsítványt elsősorban a föderációs alkalmazás ([[Shib3IdpInstall|Shibboleth]], [[SSP_QuickStart|SimpleSAMLphp ]]) konfigurációjában kell megadni, mert ez az, amivel alá tudja írni az általa küldött üzeneteket, illetve dekódolni tudja a fogadott titkosított adatokat. Ez a tanúsítvány lehetőség szerint hosszú (10+ éves) lejáratú, self-signed tanúsítvány legyen. : A webszerver (Apache, Jetty) konfigurációban csak akkor szerepeljen a föderációs metadatában szereplő tanúsítvány, ha azt szeretnénk, hogy az IdP támogassa az attribútumok back-channel történő letöltését (a Shibboleth IdP ilyen), esetleg ha valamilyen oknál fogva AttributeAuthority-t építünk.
[[Category: AAI általános]]

Navigációs menü