- de:shibidp:prepare-tomcat|Vorarbeiten: Tomcat ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:shibidp:prepare-http|Vorarbeiten: Webserver ->
====== IdP-Vorbereitung: Zertifikate ======
===== Zertifikat zur Validierung der Metadaten-Signatur holen =====
Um die Signatur der Föderationsmetadaten validieren zu können, müssen Sie das entsprechende Zertfikat vom [[https://www.aai.dfn.de/metadata/dfn-aai.pem|DFN-AAI Portal]] herunterladen und z.B. unter ''/etc/ssl/aai/dfn-aai.pem'' ablegen. Der (SHA2) Fingerprint ist unter [[:de:metadata|Metadaten]] dokumentiert.
root@idp:~# mkdir /etc/ssl/aai/
root@idp:~# wget https://www.aai.dfn.de/metadata/dfn-aai.pem -P /etc/ssl/aai
===== OpenSSL installieren =====
Falls noch nicht geschehen, installieren Sie OpenSSL , um später Zertifikate auf dem System verwalten zu können:
root@idp:~# apt install openssl
===== Zertifikate für Webserver und SAML-basierte Kommunikation =====
Der IdP benötigt an zwei Stellen ein Zertifikat:
* für die Kommunikation zwischen Client und Webserver über HTTPS und
* für die SAML-basierte Kommunikation, also das Signieren und Verschlüsseln des SAML-Traffics. Hierfür können Zertifikate mit einer Laufzeit von 3 Jahren bzw. 39 Monaten aus der [[https://www.pki.dfn.de/dfn-verein-community-pki|DFN-Verein Community PKI]] oder von einer [[de:certificates#eigene_lokale_ca|lokalen CA]] ausgestellte Zertifikate verwendet werden. Auch [[de:certificates#selbst-signierte_zertifikate|selbst-signierte]] Zertifikate können verwendet werden.
Webserver-Zertifikate des [[de:dfnpki:tcsfaq#zertifikate_erstellen|GÉANT TCS]] können grundsätzlich für beide o.g. Zwecke genutzt werden. Angesichts der Laufzeitverkürzungen für Webserver-Zertifikate empfehlen wir für die SAML-basierte Kommunikation Zertifikate mit längeren Laufzeiten zu verwenden.
Beim Beantragen des Zertifikats sollten Sie das Zertifikatsprofil "Shibboleth IdP/SP" auswählen, damit das Zertifikat für alle SAML-Funktionen eingesetzt werden kann.
Für die Vorbereitung des Webservers sollten Sie sich an dieser Stelle bereits ein entsprechendes Zertifikat z.B. des [[de:dfnpki:tcsfaq#zertifikate_erstellen|GÉANT TCS]] holen.
Die den Policies der DFN-AAI entsprechenden Zertifikate für die SAML-basierte Kommunikation (siehe oben) sind erst beim Übergang in den Produktivbetrieb zwingend erforderlich. Daher kann die grundsätzliche Funktionalität des IdP zunächst anhand der Zertifikate erprobt werden, die bei der Shibboleth-Installation automatisch generiert werden. Wenn Sie die Tests in der DFN-AAI-Test abgeschlossen haben und mit der Konfiguration des IdP vertraut sind, ist ein Austausch der Zertifikate schnell gemacht.
{{tag>idp5 tutorial}}