Versions Compared

Old Version 6

changes.mady.by.user Bart Bosma

Saved on

compared with

New Version 7

changes.mady.by.user Bart Bosma

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Met persoonscertificaten worden bedoelen we certificaten bedoeld die gebruikt worden om publieke sleutels te binden aan personen (dit in tegenstelling tot servercertificaten, die publieke sleutels binden aan servers).

Om een persoonscertificaat aan te kunnen vragen kan maak je gebruik worden gemaakt van de portal https://cert-manager.com/customer/surfnet/idp/clientgeant.

De persoon waar het certificaat voor bedoeld is wordt bepaald door persoonskenmerken, die uit attributen worden verkregen de volgende attributen die, na authenticatie via SURFconext.De volgende attributen worden daarvoor gebruikt, worden verkregen:

friendly name

SAML attribute name

voorbeeld

verplicht?

mail

urn:oid:0.9.2342.19200300.100.1.3

johndoe@example.eduja

eduPersonPrincipalName

urn:oid:1.3.6.1.4.1.5923.1.1.1.6

jd@example.edualleen voor grid/robot certificates

eduPersonEntitlement

urn:oid:1.3.6.1.4.1.5923.1.1.1.7

urn:mace:terena.org:tcs:personal-user

ja (voor autorisatie)

schacHomeOrganization

urn:oid:1.3.6.1.4.1.25178.1.2.9

example.eduja
cn

urn:oid:2.5.4.3

John Doealternatief voor CN
sn

urn:oid:2.5.4.4

Doealternatief voor CN
givenName

urn:oid:2.5.4.42

Johnalternatief voor CN
displayName

urn:oid:2.16.840.1.113730.3.1.241

Johnny Doeja, voor CN

...

Voorheen werd sleutelmateriaal aangemaakt door de browser via een speciaal daarvoor bedoeld HTML element (<keygen>), zodat het private deel veilig in de client (browser) kon worden opgeslagen en het publieke deel naar de CA kon worden gestuurd. Moderne browsers ondersteunen dit echter niet langer, waardoor Sectigo de mogelijkheid biedt het sleutelmateriaal op de server te genereren. Zowel het private deel als het publieke deel (ingebed in het certificaat) kunnen vervolgens in een zogeheten PKCS#12 bestand worden gedownload. het private deel wordt in dat geval beschermd door een wachtwoord dat door de gebruiker zelf gekozen kan wordenkiest. Ook kan de gebruiker kiezen tussen RSA en ECC sleutels.

...

  1. genereer het sleutelmateriaal zelf met daarvoor geschikte tools (bij voorbeeld openssl) en upload alleen het publieke deel in de vorm van een PKCS#10 Certificate Signing Request richting naar de server.
  2. gebruik een alternatieve portal, die gebruik maakt van de JavaScript WebCrypto API. Gebruik van deze portal is momenteel op basis van opt-in (niet voor IGTF/Grid certificaten). Neem contact op met scs-ra@surfnet.nl .

Persoonscertificaten en SURFsecureID

Instellingen die SURFsecureID gebruiken voor sterke authenticatie van diensten maar die niet iedereen hebben voorzien van een 2e factor wordt aangeraden gebruik te maken van de alternatieve portal op https://persoon.surfcertificaten.nl/. Let op dat op in dit portal GEEN IGTF/Grid certificaten kunnen worden aangemaakt. Daarvoor gebruik je https://cert-manager.com/customer/surfnet/idp/clientgeant.

...