Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:certificates [2019/04/16 13:43] – [Schritt 2: Beschaffung eines neuen Zertifikates bei der DFN-PKI] Silke Meyerde:certificates [2019/04/16 13:49] – [Schritt 4 beim IdP: Zertifikate für SAML-Kommunikation tauschen] Silke Meyer
Zeile 52: Zeile 52:
 Bei Fragen zur Erstellung von privaten Schlüsseln und Zertifikatsanträgen, schauen Sie bitte in die Dokumentation der Software, mit der Sie diese generieren. Die DFN-PKI bietet eine [[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_Nutzung_OpenSSL.pdf|Zusammenfassung der wichtigsten OpenSSL-Befehle]] und ausführliche [[https://www.pki.dfn.de/faqpki/faqpki-allgemein/#c15083 | FAQ]] rund um Zertifikate. Das folgende Vorgehen müssen Sie möglicherweise an Ihre Umgebung anpassen. Bei Fragen zur Erstellung von privaten Schlüsseln und Zertifikatsanträgen, schauen Sie bitte in die Dokumentation der Software, mit der Sie diese generieren. Die DFN-PKI bietet eine [[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_Nutzung_OpenSSL.pdf|Zusammenfassung der wichtigsten OpenSSL-Befehle]] und ausführliche [[https://www.pki.dfn.de/faqpki/faqpki-allgemein/#c15083 | FAQ]] rund um Zertifikate. Das folgende Vorgehen müssen Sie möglicherweise an Ihre Umgebung anpassen.
  
-Geheimen Schlüssel erstellen: +  * Erstellen Sie einen privaten Schlüssel:<code>
-<code>+
 user@host:~$ openssl genrsa -out idp.example.org.key.pem 4096 user@host:~$ openssl genrsa -out idp.example.org.key.pem 4096
 </code> </code>
- +  * Erstellen Sie einen Zertifikatsantrag (Certificate Signing Request, csr):<code>
-Certificate Signing Request erstellen: +
- +
-<code>+
 user@host:~$ openssl req -new -key idp.example.org.key.pem -out idp.example.org.csr.pem user@host:~$ openssl req -new -key idp.example.org.key.pem -out idp.example.org.csr.pem
 # Sie werden Folgendes abgefragt, evtl. befüllt mit Vorgaben aus Ihrer /etc/ssl/openssl.cnf # Sie werden Folgendes abgefragt, evtl. befüllt mit Vorgaben aus Ihrer /etc/ssl/openssl.cnf
Zeile 71: Zeile 67:
 An optional company name []: An optional company name []:
 </code> </code>
- +  * Geben Sie diesen Zertifikatsantrag im .pem-Format bei der DFN-PKI ein. Wählen Sie das Profil "Shibboleth-IdP/-SP"
-Diesen csr im .pem-Format geben Sie bei der DFN-PKI ein. Wählen Sie das Profil "Shibboleth-IdP/-SP".+  * Sie bekommen Ihr neues Zertifikat per E-Mail von der DFN-PKI.
  
 ==== Schritt 3: Ggf. Zertifikat am Webserver tauschen ==== ==== Schritt 3: Ggf. Zertifikat am Webserver tauschen ====
Zeile 80: Zeile 76:
 ==== Schritt 4 beim IdP: Zertifikate für SAML-Kommunikation tauschen ==== ==== Schritt 4 beim IdP: Zertifikate für SAML-Kommunikation tauschen ====
   * **Veröffentlichen Sie das neue Zertifikat mindestens 24 Stunden vor dem Termin zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten!**   * **Veröffentlichen Sie das neue Zertifikat mindestens 24 Stunden vor dem Termin zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten!**
-  * Aktualisieren Sie Zertifikat und privaten Schlüssel auf Ihrem IdP. Prüfen Sie, ob die Links in ''conf/idp.properties'' auf die neuen Dateien zeigen.+  * Aktualisieren Sie Zertifikat und privaten Schlüssel auf Ihrem IdP. Prüfen Sie, ob die Links in ''conf/idp.properties'' auf die neuen Dateien zeigen.<code> 
 +idp.signing.key= /etc/ssl/private/idp.example.org.key.pem 
 +idp.signing.cert= /etc/ssl/localcerts/idp.example.org.crt.pem 
 +idp.encryption.key= /etc/ssl/private/idp.example.org.key.pem 
 +idp.encryption.cert= /etc/ssl/localcerts/idp.example.org.crt.pem 
 +</code>
   * Starten Sie Tomcat neu.   * Starten Sie Tomcat neu.
   * Sollten Sie nach dem Rollover Probleme mit einzelnen anderen Systemen in der DFN-AAI oder in eduGAIN haben, kann es sich um temporäre Probleme handeln, die darauf zurückzuführen sind, dass nicht alle Teilnehmenden die Föderationsmetadaten bei sich im selben Intervall aktualisieren.   * Sollten Sie nach dem Rollover Probleme mit einzelnen anderen Systemen in der DFN-AAI oder in eduGAIN haben, kann es sich um temporäre Probleme handeln, die darauf zurückzuführen sind, dass nicht alle Teilnehmenden die Föderationsmetadaten bei sich im selben Intervall aktualisieren.
  • Zuletzt geändert: vor 2 Monaten