Signeringspolitik

Institutioner som tilsluttes WAYF, skal hver levere et X.509-certifikat til WAYF, til brug for signaturcheck. Certifikatet må gerne være selvsigneret og behøver altså ikke være udstedt af en Certificate Authority. Nøglen skal være mindst 2048 bit lang. Øvrige egenskaber ved certifikatet har ingen betydning for WAYF; eksempelvis må certifikatet godt være udløbet. Husk ikke at eksponere den private nøgle til WAYF eller andre uvedkommende.

Der er intet tilsvarende krav om at tjenesteudbydere skal levere et certifikat for hver af deres tjenester som er tilsluttet WAYF; en tjeneste behøver ikke signere de SAML-requests den sender til WAYF. Men der er både tilladt og muligt hvis en tjenesteudbyder ønsker at gøre det. Det kan være relevant hvis tjenesten skal udbydes i interføderation.

Teknisk instruktion

Certifikatet skal inddateres i feltet certData i WAYFs metadata-selvbetjeningsværktøj JANUS. Certifikatet skal være PEM-indkodet; men linjerne med de mange bindestreger (altså første og sidste linje) skal ikke med – kun linjerne imellem dem (altså selve den base64-indkodede sekvens).