Certificaatvernieuwing in Entree Federatie

Binnen de Entree Federatie wordt gebruikgemaakt van SAML 2.0. Daarbij vertrouwen aangesloten partijen op certificaten in metadata voor het ondertekenen en/of versleutelen van berichten. Zowel Identity Providers (IdP's) als Service Providers (SP's) moeten deze certificaten periodiek vernieuwen.

Automatische verwerking van metadata

Entree Federatie leest regelmatig de metadata van aangesloten IdP's en SP's uit. Nieuwe certificaten die hierin worden opgenomen, worden automatisch opgehaald. Handmatige aanlevering van certificaten aan Kennisnet is niet nodig.

Best practices voor certificaat-rollover

Om te voorkomen dat de communicatie tussen IdP's en Diensten wordt onderbroken:

• Voeg het nieuwe certificaat eerst toe als extra certificaat in de metadata.
• Laat het oude en nieuwe certificaat minimaal enkele dagen naast elkaar bestaan.
• Verwijder het oude certificaat pas na een succesvolle overgang.
• Zorg dat de metadata-URL bereikbaar blijft via HTTPS en dat de inhoud actueel is.

Voorbeelden

• Identity Provider (zoals ADFS of Azure AD):

 - Voeg een nieuwe signing key toe in de IdP-configuratie.
 - Publiceer de gewijzigde metadata op dezelfde URL.

• Service Provider:

 - Werk het signing certificaat in de metadata bij.
 - Publiceer de metadata op een vaste en toegankelijke URL.

Let op

• Verlopen certificaten kunnen leiden tot storingen in de communicatie met Diensten.
• De metadata-URL mag niet zomaar gewijzigd worden zonder afstemming.
• Controleer regelmatig of metadata en certificaten nog geldig zijn.

Testen

Wil je vooraf testen of de certificaatvernieuwing goed is doorgevoerd? Neem contact op met Entree Federatie support voor advies of een test.