[HREF-tech] IDP cert csere, O365

[Galambos Dániel]

Sziaszok,

Hamarosan lejár az IDP-nk metadatáját aláíró kulcshoz tartozó
tanúsítvány, ezzel kapcsolatban lenne pár kérdésem.

Az RSA kulcspárt nem kívánjuk cserélni. Ugyanazzal a kulcspárral megvan
az új cert, a test idp-n teszteltem az alábbiakat. (Az assertion-ök
signed-encryptedek)

- SimplesamlPHP SP  a régi metadatával elfogadja az új assertion-t

- Shibboleth SP a régi metadatával elfogadja az új assertion-t

(Tehát vagy nem kerül a Assertionbe <KeyInfo> tag vagy nem törődik az SP
azzal, hogy egyezzen a tárolt metadatában lévővel)

A Shib SP-kkel túl sok bajunk nincs, mert azok periódikusan a
metadata.eduid.hu -ról fogyasztják XML-t, tehát ha rr.aai.niif.hu -n
átírjuk a certet azokkal nem lesz baj.

- A metadata.eduid.hu -n milyen gyakran frissül az XML?

- A SSP SP-k viszont statikusan letárolt metadatát használnak. Van-e
valakinek tapasztalata arról, hogy használják-e az SSP-k a X509 notAfter
mezejét?

- A Microsoft ellenőrzi a certet, és e-mailben fenyeget minket a
lejáratról, amely certet az első O365-ös meetingünkön Bajnok Kristóf
táplált be valahová. Kérdésünk az, hogy az O365 -tel kapcsolatban hol
kell certet cserélni? Jól sejtem, hogy nem a eduid-s metadatát
fogyasztja direktben?

Válaszokat előre is köszönöm,

-- 
Üdvözlettel,
Galambos Dániel, ELTE IIG AAI rendszergazda
e-mail: aai at iig.elte.hu