U svrhu povećanja razine sigurnosti u sustavu AAI@EduHr, od 15. studenog 2016. središnji servisi sustava AAI@EduHr će prilikom slanja autentikacijskih zahtjeva provjeravati ispravnost certifikata AOSI web servisa, te će komunicirati isključivo s onim AOSI web servisom koji se predstavi ispravnim certifikatom (naša je preporuka da to bude certifikat izdan putem CARNetove TCS usluge). Od tog datuma na dalje korisnici s ustanova čiji AOSI web servis nema ispravan certifikat neće se moći autenticirati putem SSO servisa sustava AAI@EduHr.
Od 12. listopada 2016. središnji nadzorni servis sustava AAI@EduHr podešen je da provjerava ispravnost certifikata AOSI web servisa, te da šalje obavijest odgovornoj osobi ustanove ako uoči da je neki certifikat neispravan. Obavijesti dolaze s adrese nagios@monitor.aaiedu.hr i sadrže informaciju o tome na koji se AOSI web servis odnosi poruka (primarni ili sekundarni), te opis greške koja se javlja.
Valjanost certifikata AOSI web servisa utvrđujemo na isti način kao u vrijeme certificiranja matičnih ustanova. Provjeravamo:
- Vrijedi li (da nije istekao)
- Odgovara li Subject ili SAN hostname-u vašeg poslužitelja
- Je li root CA koji je potpisao certifikat među onima kojima vjerujemo
- Sadrži li ispravan lanac povjerenja
Smatra li naš sustav nadzora ispravnim certifikat vašeg AOSI web servisa možete pogledati ovdje.
Ako uočite da vaš AOSI web servis nema ispravan certifikat, trebate svom AOSI web servisu postaviti valjan certifikat prema uputama dostupnim ovdje.
Ispravnost certifikata možete provjeriti i sami naredbom:
# openssl s_client -connect hostname-vaseg-posluzitelja:1443 -showcerts
Ili tako da u adresnu traku svog web preglednika upišete adresu svog AOSI web servisa i pogledate što preglednik kaže je li vaša veza sigurna. Tipično je adresa AOSI web servisa: https://hostname-vaseg-posluzitelja:1443/AOSI