Tehdyt toimenpiteet

Varmenteiden käyttö Hakassa

Varmennekäytännön rajaus

Hakan varmennekäytäntö määrittää minkälaista varmennetta tulee käyttää Hakaan rekisteröityjen kotiorganisaatioiden ja palveluiden SAML-viestien vaihdossa. Varmennekäytäntö ei ota kantaa WWW-palvelinten käyttämiin varmenteisiin, jotka näkyvät käyttäjien selaimissa palveluita käytettäessä.

WWW-palvelimissa voi käyttää Hakan puolesta mitä tahansa varmennetta. Suosittelemme käyttämään selainten yleisesti tuntemien varmentajien toimittamia varmenteita. Ilman erittäin painavaa syytä, samaa varmennetta, jota käytetään SAML-käyttöön palvelussa, kannattaa hyödyntää myös kyseisen palvelun WWW-palvelimen varmenteena.

SAML-viestien vaihdossa varmenteita käytetään allekirjoittamaan ja/tai salaamaan kotiorganisaation ja palvelun väliset viestit. SAML-käytössä varmenteen on oltava sekä client- että server -tarkoitukseen soveltuva, mikä tulee huomioida varmennetta tilattaessa.

Palvelun DNS-nimen on vastattava varmenteen CN (common name) -kenttää. Tämän takia ns. wildcard-varmenteita (*.domain.com) ei voi käyttää.

Varmenteiden uusiminen ja revokointi

Shibboleth-ohjelmisto ei käytä CRL-sulkulistoja varmenteiden tarkistamiseen. Mikäli on syytä epäillä, että varmenteen yksityinen avain on joutunut vääriin käsiin, ota välittömästi yhteyttä CSC:n Haka-ylläpitoon (haka@csc.fi) varmenteen vaihtamiseksi tai palvelun tilapäiseksi poistamiseksi Haka-metadatassa.

Jos haluat vaihtaa palvelun käyttämää varmennetta/yksityistä avainta, katso ohjeita täältä.

CSC

Osiot

Aliosiot

Tehdyt toimenpiteet

Varmenteiden käyttö Hakassa

Varmennekäytännön rajaus

Varmenteiden uusiminen ja revokointi


Sisältö Luottamusverkosto Määritykset Ohjeet Liittyminen ja rekisteröinnit Ohjeet ylläpitäjille Palvelut ylläpitäjille Sovelluskehittäjille Hankkeet Yhteystiedot	Tehdyt toimenpiteet Varmenteiden käyttö Hakassa Varmennekäytännön rajaus Hakan varmennekäytäntö määrittää minkälaista varmennetta tulee käyttää Hakaan rekisteröityjen kotiorganisaatioiden ja palveluiden SAML-viestien vaihdossa. Varmennekäytäntö ei ota kantaa WWW-palvelinten käyttämiin varmenteisiin, jotka näkyvät käyttäjien selaimissa palveluita käytettäessä. WWW-palvelimissa voi käyttää Hakan puolesta mitä tahansa varmennetta. Suosittelemme käyttämään selainten yleisesti tuntemien varmentajien toimittamia varmenteita. Ilman erittäin painavaa syytä, samaa varmennetta, jota käytetään SAML-käyttöön palvelussa, kannattaa hyödyntää myös kyseisen palvelun WWW-palvelimen varmenteena. SAML-viestien vaihdossa varmenteita käytetään allekirjoittamaan ja/tai salaamaan kotiorganisaation ja palvelun väliset viestit. SAML-käytössä varmenteen on oltava sekä client- että server -tarkoitukseen soveltuva, mikä tulee huomioida varmennetta tilattaessa. Palvelun DNS-nimen on vastattava varmenteen CN (common name) -kenttää. Tämän takia ns. wildcard-varmenteita (*.domain.com) ei voi käyttää. Varmenteiden uusiminen ja revokointi Shibboleth-ohjelmisto ei käytä CRL-sulkulistoja varmenteiden tarkistamiseen. Mikäli on syytä epäillä, että varmenteen yksityinen avain on joutunut vääriin käsiin, ota välittömästi yhteyttä CSC:n Haka-ylläpitoon (haka@csc.fi) varmenteen vaihtamiseksi tai palvelun tilapäiseksi poistamiseksi Haka-metadatassa. Jos haluat vaihtaa palvelun käyttämää varmennetta/yksityistä avainta, katso ohjeita täältä.