Page History
Met persoonscertificaten worden bedoelen we certificaten bedoeld die gebruikt worden om publieke sleutels te binden aan personen (dit in tegenstelling tot servercertificaten, die publieke sleutels binden aan servers).
Om een persoonscertificaat aan te kunnen vragen kan maak je gebruik worden gemaakt van de portal https://cert-manager.com/customer/surfnet/idp/clientgeant.
De persoon waar het certificaat voor bedoeld is wordt bepaald door persoonskenmerken, die uit attributen worden verkregen de volgende attributen die, na authenticatie via SURFconext.De volgende attributen worden daarvoor gebruikt, worden verkregen:
friendly name | SAML attribute name | voorbeeld | verplicht? |
---|---|---|---|
urn:oid:0.9.2342.19200300.100.1.3 | johndoe@example.edu | ja | |
eduPersonPrincipalName | urn:oid:1.3.6.1.4.1.5923.1.1.1.6 | jd@example.edu | alleen voor grid/robot certificates |
eduPersonEntitlement | urn:oid:1.3.6.1.4.1.5923.1.1.1.7 | urn:mace:terena.org:tcs:personal-user | ja (voor autorisatie) |
schacHomeOrganization | urn:oid:1.3.6.1.4.1.25178.1.2.9 | example.edu | ja |
cn | urn:oid:2.5.4.3 | John Doe | alternatief voor CN |
sn | urn:oid:2.5.4.4 | Doe | alternatief voor CN |
givenName | urn:oid:2.5.4.42 | John | alternatief voor CN |
displayName | urn:oid:2.16.840.1.113730.3.1.241 | Johnny Doe | ja, voor CN |
...
Voorheen werd sleutelmateriaal aangemaakt door de browser via een speciaal daarvoor bedoeld HTML element (<keygen>), zodat het private deel veilig in de client (browser) kon worden opgeslagen en het publieke deel naar de CA kon worden gestuurd. Moderne browsers ondersteunen dit echter niet langer, waardoor Sectigo de mogelijkheid biedt het sleutelmateriaal op de server te genereren. Zowel het private deel als het publieke deel (ingebed in het certificaat) kunnen vervolgens in een zogeheten PKCS#12 bestand worden gedownload. het private deel wordt in dat geval beschermd door een wachtwoord dat door de gebruiker zelf gekozen kan wordenkiest. Ook kan de gebruiker kiezen tussen RSA en ECC sleutels.
...
- genereer het sleutelmateriaal zelf met daarvoor geschikte tools (bij voorbeeld openssl) en upload alleen het publieke deel in de vorm van een PKCS#10 Certificate Signing Request richting naar de server.
- gebruik een alternatieve portal, die gebruik maakt van de JavaScript WebCrypto API. Gebruik van deze portal is momenteel op basis van opt-in (niet voor IGTF/Grid certificaten). Neem contact op met scs-ra@surfnet.nl .
Persoonscertificaten en SURFsecureID
Instellingen die SURFsecureID gebruiken voor sterke authenticatie van diensten maar die niet iedereen hebben voorzien van een 2e factor wordt aangeraden gebruik te maken van de alternatieve portal op https://persoon.surfcertificaten.nl/. Let op dat op in dit portal GEEN IGTF/Grid certificaten kunnen worden aangemaakt. Daarvoor gebruik je https://cert-manager.com/customer/surfnet/idp/clientgeant.
...