15.04.2019 16:30 Alter: 71 Tage

Wichtig: DFN-AAI und das Ende der Generation 1 der DFN-PKI

Von: DFN-AAI Team

Bitte beachten Sie, dass am 9. Juli 2019 (um 23:59 UTC bzw. am 10. Juli um 1:59 CEST) die erste Generation der DFN-PKI-Zertifikate abläuft! Bereits ab dem 23. Mai 2019 werden die Föderationsmetadaten ausschließlich mit der Zertifikatskette der 2. Generation signiert.

Die entsprechende Ankündigung im PKI-Blog finden Sie hier.

Für die Teilnahme an der DFN-AAI ist das Ablaufen der G1-Zertifikate an folgenden Stellen relevant:

Konfiguration der SAML-basierten Kommunikation am IdP bzw. SP

Prüfen Sie bitte die Zertifikate, die Ihre IdPs und SPs verwenden, um miteinander über SAML zu kommunizieren. Hier finden Sie Konfigurationsbeispiele für Shibboleth IdP bzw. SP.

Denken Sie daran, diese Zertifikate auch rechtzeitig in der in den Föderationsmetadaten zu veröffentlichen! Die betroffenen Metadatensätze sollten mindestens 24 Stunden vor dem eigentlichen Zertifikatswechsel ergänzt werden. Lesen Sie hier mehr zum Zertifikatswechsel.

Ob Ihr IdP oder Ihre SPs betroffen sind, können Sie in dieser Liste nachsehen, die täglich um 11:30 Uhr aktualisiert wird. Sollten Sie noch Zertifikate der ersten Generation verwenden, planen Sie bitte rechtzeitig die entsprechenden Zertifikatswechsel ein, um den reibungslosen Weiterbetrieb Ihrer IdPs und SPs zu gewährleisten.

Signaturvalidierung der Föderationsmetadaten am IdP bzw. SP

Die Föderationsmetadaten werden bereits ab dem 23. Mai 2019 ausschließlich mit einem Schlüssel unterschrieben, der zu einem Zertifikat der 2. Generation gehört. Bitte prüfen Sie daher, ob die Signaturvalidierung auf Ihren IdPs/SPs auf die zweite Generation eingestellt ist. Die URLs zum Download der Föderationsmetadaten und des Zertifikats zur Signaturvalidierung sowie der SHA-256-Fingerprint des G2-Zertifikates sind unter https://wiki.aai.dfn.de/de:metadata dokumentiert. Hier finden Sie Konfigurationsbeispiele für die korrekte Validierung der Metadaten an IdP bzw. SP. Für lokale Metadaten finden sich ebenfalls Beispiele im Wiki.

Die Föderationsmetadaten gelten stets für 5 Tage. Sollten Sie am Dienstag, dem 28. Mai Validierungsprobleme bemerken, überprüfen Sie bitte zunächst Ihre Konfiguration.

Anbindung des Nutzerverzeichnisses

Wenn Sie auch an Ihrem Nutzerverzeichnis ein Zertifikat der DFN-PKI im Einsatz haben, prüfen Sie bitte, ob es ebenfalls aktualisiert werden muss (Dokumentation).

Webserver-Konfiguration

Darüber hinaus kann auch Ihre Webserver-Konfiguration betroffen sein. Bitte achten Sie hier insbesondere auf die korrekte Konfiguration der Zertifikatskette! In unserem Wiki finden Sie Informationen zur Webserver-Konfiguration bzw. zur Konfiguration der Zertifikatskette.

Bei Fragen wenden Sie sich bitte an hotline@aai.dfn.de.

Obacht: IdPs und SPs mit abgelaufenen Zertifikaten werden wie immer automatisch aus der DFN-AAI entfernt.