Varmenteiden käyttö Hakassa
Haka-palveluissa yleisesti tarvitaan varmenteita kahteen käyttötapaukseen:
- Käyttäjän selainliikenteen suojaaminen eli TLS-liikenteen toteuttaminen
- SAML2-viestien todentaminen ja salaaminen
Näistä jälkimmäiseen eli SAML2-viestien varmenteisiin kohdistuu Hakassa joitakin rajoituksia, joita tämä sivu käsittelee.
Info | ||
---|---|---|
| ||
SAML-palvelun (SP) tai tunnistuslähteen (IdP) varmenteen vaihtaminen vaatii kaksi metadatan julkaisusykliä. Hakassa normaali metadatan uudistamissykli on n. 2 viikkoa, joten varaa varmenteen vaihtamiseen aikaa vähintään kuukausi. Varaa aikaa myös varmenteen hankkimiseen, jos haluat käyttää jonkin juurivarmentajan varmenteita myös SAML-viestinvaihdon suojaamiseen. Varmenteen vaihtamisen prosessi on kuvattu täällä. |
...
Varmennekäytännön rajaus
Hakan varmennekäytäntö määrittää minkälaista varmennetta tulee käyttää Hakaan rekisteröityjen kotiorganisaatioiden ja palveluiden SAMLSAML2-viestien vaihdossa. SAMLSAML2-viestien vaihdossa varmenteita käytetään allekirjoittamaan ja/tai salaamaan kotiorganisaation ja palvelun väliset viestit. Hakassa suositellaan SAML-viestien käsittelyssä käytettäväksi itseallekirjoitettuja varmenteita, joiden voimassaoloaika on kohtuullisen pitkä.
Varmennekäytäntö ei ota kantaa WWWTLS-palvelinten käyttämiin liikenteessä käytettäviin varmenteisiin, jotka näkyvät käyttäjien selaimissa palveluita käytettäessä. WWWTLS-palvelimissa liikenteessä voi käyttää Hakan puolesta mitä tahansa varmennetta. Suosittelemme kuitenkin käyttämään selainten yleisesti tuntemien varmentajien toimittamia varmenteita kunnollisen käyttökokemuksen varmistamiseksi.
...
Jos haluat vaihtaa palvelun käyttämää varmennetta/yksityistä avainta, katso ohjeita täältä.
Info | ||
---|---|---|
| ||
SAML-palvelun (SP) tai tunnistuslähteen (IdP) varmenteen vaihtaminen vaatii kaksi metadatan julkaisusykliä. Hakassa normaali metadatan uudistamissykli on n. 2 viikkoa, joten varaa varmenteen vaihtamiseen aikaa vähintään kuukausi. Varaa aikaa myös varmenteen hankkimiseen, jos haluat käyttää jonkin juurivarmentajan varmenteita myös SAML-viestinvaihdon suojaamiseen. Varmenteen vaihtamisen prosessi on kuvattu täällä. |