<- de:shibidp:prepare-zert|Vorarbeiten: Zertifikate ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:shibidp:install|IdP-Installation -> ====== IdP-Vorarbeiten: Webserver ====== Die TCP-Ports 443 und 8443 müssen auf dem IdP für eingehende Zugriffe geöffnet sein! Die Verwendung des Backchannels auf Port 8443 wird im [[https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631506/SecurityAndNetworking#Back-Channel-Support|Shibboleth-Wiki]] erklärt. ===== Linux mit Apache Webserver ===== ==== Installation ==== === Debian 12 === root@idp:~# apt install apache2 ==== Apache-Module aktivieren ==== root@idp:~# a2enmod ssl headers proxy proxy_ajp Außerdem braucht der Web Server Zugriff auf die Zertifikatsschlüssel: root@idp:~# usermod -aG ssl-cert www-data Abschließend muss der Web Server neu gestartet werden: root@idp:~# systemctl restart apache2 ==== VHost-Konfiguration ==== Eine Anleitung zur Erstellung einer korrekten Zertifikatskette findet sich [[de:certificates#die_ssl-zertifikatskette_auf_ihrem_webserver|hier]]. Im Mozilla-Wiki finden Sie Empfehlungen für eine [[https://wiki.mozilla.org/Security/Server_Side_TLS|sichere SSL-Konfiguration]]. Wir empfehlen Ihnen, mittels der Seite SSLLabs Ihren fertigen Webserver zu testen. ################################################ # # Bitte im Folgenden 'IDP-IP-ADRESSE' und ggf. 'IDP-IPv6-ADRESSE' # jeweils durch die entsprechende IP und 'idp.uni-beispiel.de' durch # den FQDN Ihres IdPs ersetzen! # ################################################ # # SingleSignOnService auf Port 443 # ServerName idp.uni-beispiel.de SSLEngine on # Die Zertifikatsdatei enthält die vollständige Kette, vgl. # http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslcertificatechainfile SSLCertificateFile /etc/ssl/localcerts/idp.uni-beispiel.crt.pem SSLCertificateKeyFile /etc/ssl/private/idp.uni-beispiel.key.pem AddDefaultCharset UTF-8 Require all granted ProxyPass ajp://localhost:8009/idp # "SAMEORIGIN" vermeidet etwaige Fehlermeldungen # im Browser beim Logout über mehrere SPs, # da hierbei mit iframes gearbeitet wird Header always append X-FRAME-OPTIONS "SAMEORIGIN" # Support für favicon.ico, robots.txt und ggfs. Info-Seiten DocumentRoot /opt/shibboleth-idp/htdocs Require all granted ################################################ # # ArtifactResolutionService und AttributeService # # Port 8443 sollte an anderer Stelle angeschaltet werden (Listen-Direktive). ServerName idp.uni-beispiel.de SSLEngine on # Die Zertifikatsdatei enthält die vollständige Kette, vgl. # http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslcertificatechainfile # ACHTUNG: Wenn Sie für die SAML-Kommunikation ein anderes, länger laufendes Zertifikat # als für den Webserver verwenden, müssen Sie hier dieses SAML-Zertifikat eintragen. # Siehe unten bei "Backchannel Requests". SSLCertificateFile /etc/ssl/localcerts/idp.uni-beispiel.crt.pem SSLCertificateKeyFile /etc/ssl/private/idp.uni-beispiel.key.pem # Diese drei SSL-Optionen sind zwingend notwendig # damit SP-Abfragen auf diesen Port funktionieren! # Details siehe Shibboleth-Wiki SSLVerifyClient optional_no_ca SSLVerifyDepth 10 SSLOptions +StdEnvVars +ExportCertData Require all granted ProxyPass ajp://localhost:8009/idp Laden Sie nach den Änderungen die Konfiguration des Webservers neu: root@idp:~# service apache2 reload Lassen Sie beim Reload des Apache den Apache-Error-Log in einem zweiten Fenster mitlaufen um etwaige Fehler oder Warnings sehen zu können: root@idp:~# tail -f /var/log/apache2/error_log ===== Windows mit Apache Webserver ===== Beispiel für eine Minimal-Konfiguration unter Windows (bereitgestellt von Thomas Glatzer, Uni Mainz): ServerRoot "C:/Program Files/Apache/Apache24" # # Dynamic Shared Object (DSO) Support # LoadModule authn_core_module modules/mod_authn_core.so LoadModule authz_core_module modules/mod_authz_core.so LoadModule headers_module modules/mod_headers.so LoadModule reqtimeout_module modules/mod_reqtimeout.so LoadModule log_config_module modules/mod_log_config.so LoadModule mime_module modules/mod_mime.so LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_http_module modules/mod_proxy_http.so LoadModule ssl_module modules/mod_ssl.so LoadModule socache_shmcb_module modules/mod_socache_shmcb.so # 'Main' server configuration ServerAdmin glatzert@uni-mainz.de ServerName shib.uni-mainz.de # Deny access to the entirety of your server's filesystem. You must # explicitly permit access to web content directories in other # blocks below. AllowOverride none Require all denied DocumentRoot "c:/inetpub/shib.uni-mainz.de" Options None AllowOverride None Require all granted Require all denied ErrorLog "C:/inetpub/logs/apache/error.log" TransferLog "C:/inetpub/logs/apache/access.log" LogLevel warn TypesConfig conf/mime.types AddType application/x-compress .Z AddType application/x-gzip .gz .tgz Include conf/extra/httpd-ssl.conf Include conf/extra/shib-sp.conf Include conf/extra/shib-idp.conf AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLRandomSeed startup builtin SSLRandomSeed connect builtin # SSLProtocol HIER INFORMIEREN SIE SICH BITTE ÜBER EINE STATE-OF-THE-ART-KONFIGURATION # SSLCipherSuite HIER INFORMIEREN SIE SICH BITTE ÜBER EINE STATE-OF-THE-ART-KONFIGURATION # Nützliche Quelle: https://wiki.mozilla.org/Security/Server_Side_TLS SSLHonorCipherOrder On SSLUseStapling off SSLStaplingCache "shmcb:c:/inetpub/logs/apache/ssl_stapling(512000)" SSLStaplingReturnResponderErrors off SSLSessionCache "shmcb:c:/inetpub/logs/apache/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLCertificateFile "C:/inetpub/shibboleth/idp/credentials/shib.uni-mainz.de.crt" SSLCertificateKeyFile "C:/inetpub/shibboleth/idp/credentials/shib.uni-mainz.de.key" ################################################ # # SingleSignOnService # Listen 443 DocumentRoot "C:/inetpub/shib.uni-mainz.de" ServerAdmin glatzert@uni-mainz.de SSLEngine on Header add Strict-Transport-Security "max-age=15768000" Require all granted ProxyPass /idp/ http://localhost:8080/idp/ ################################################ # # ArtifactResolutionService und AttributeService # Listen 8443 DocumentRoot "C:/inetpub/shib.uni-mainz.de" ServerAdmin glatzert@uni-mainz.de SSLEngine on Header add Strict-Transport-Security "max-age=15768000" Require all granted ProxyPass /idp/ http://localhost:8080/idp/ # https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPApacheConfig LoadModule mod_shib C:/inetpub/shibboleth/sp/lib64/shibboleth/mod_shib_24.so AuthType None Require all granted AuthType shibboleth ShibRequestSetting requireSession 1 Require shibboleth ===== Besonderheiten bei Backchannel Requests ===== Der Backchannel auf Port 8443 für die Server-to-Server-Kommunikation ist für eine funktionierende IdP-Konfiguration heutzutage nicht mehr zwingend nötig. Die obige Webserver-Konfiguration zeigt den Standardfall, in dem auf Port 8443 dasselbe Zertifikat verwendet wird wie auf Port 443. Diese Webserver-Konfiguration kann bei manchen Service Providern zu Problemen führen, wenn für die SAML-Kommunikation beim IdP ein abweichendes Zertifikat verwendet wird (getestet nur mit Shibboleth SP): Wenn ein Shibboleth Service Provider eine [[https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2065335187/ExplicitKeyTrustEngine|explizite Key Trust Engine]] gesetzt hat, dann holt er das IdP-Zertifikat, dem er vertraut, direkt aus den IdP-Metadaten. Dort findet er das Zertifikat, dass für die SAML-Kommunikation mit dem IdP verwendet werden soll. Wenn nun das Webserver- und das SAML-Zertifkat nicht identisch sind, sondern wenn z.B. für die SAML-Kommunikation ein selbstsigniertes Zertifikat verwendet wird, kommt es bei der Zertifikatsvalidierung zu einem Fehler, wenn * eine Attribute Query auf Port 8443 gestellt wird oder * ein Single Logout Request via SOAP auf Port 8443 gestellt wird. Stellt derselbe SP die beiden Anfragen an Port 443, so ignoriert er das fehlende Vertrauen und baut eine Verbindung zum IdP auf, obwohl das Zertifikat am Webserver dem in den Metadaten publizierten Zertifikat nicht entspricht. Um sicherzustellen, dass ein Shibboleth SP mit gesetzter Key Trust Engine auch die genannten Backchannel-Requests absetzen kann, können Sie am Backchannel das Zertifikat einsetzen, das für die SAML-Kommunikation in den Metadaten publiziert ist. ServerName idp.uni-beispiel.de SSLEngine on SSLCertificateFile /etc/ssl/localcerts/idp.uni-beispiel.crt.pem SSLCertificateKeyFile /etc/ssl/private/idp.uni-beispiel.key.pem # REST WIE OBEN ################################################ # Hier muss der Port im Servername genannt werden, # damit das abweichende Zertifikat genutzt wird. ServerName idp.uni-beispiel.de:8443 SSLEngine on SSLCertificateFile /etc/ssl/localcerts/idp.saml-cert.crt.pem SSLCertificateKeyFile /etc/ssl/private/idp.saml-cert.key.pem # REST WIE OBEN ===== Testen der Verbindung Apache --> Tomcat ===== Liest der Apache seine Config ohne Fehler ein, testen Sie bitte als nächstes die Weiterleitung von Apache auf den Tomcat indem Sie folgende URL aufrufen: https://HOSTNAME/idp/ Funktioniert die Weiterleitung, dann bekommen Sie eine Fehlermeldung "HTTP Status 404 - /idp/" oder (je nach Tomcat-Version) eine weiße Seite vom Tomcat zu sehen, da das IdP-Servlet im Tomcat noch nicht aktiv ist. Die Weiterleitung ist damit aber erfolgreich getestet! Kommt eine Apache-Fehlermeldung, dann stimmt die Apache-Konfiguration noch nicht. Bitte dann nochmal obige Punkte sorgfältig durchgehen. Anmerkungen: * Bitte stellen Sie sicher dass die Apache-SSL-Konfiguration aktuellen Sicherheitsstandards entspricht! Details dazu übersteigen den Rahmen diese Anleitung. Hilfreiche Seiten: * [[https://ssl-config.mozilla.org/]] * [[https://www.dfn-cert.de/]] * [[https://blog.pki.dfn.de/]] * [[https://www.ssllabs.com/ssltest/]] {{tag>idp4 tutorial apache webserver included-in-ansible}}