Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:certificates [2019/04/16 13:43] – [Schritt 2: Beschaffung eines neuen Zertifikates bei der DFN-PKI] Silke Meyer | de:certificates [2019/04/16 13:57] – [Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen] Silke Meyer | ||
---|---|---|---|
Zeile 52: | Zeile 52: | ||
Bei Fragen zur Erstellung von privaten Schlüsseln und Zertifikatsanträgen, | Bei Fragen zur Erstellung von privaten Schlüsseln und Zertifikatsanträgen, | ||
- | Geheimen | + | * Erstellen Sie einen privaten |
- | < | + | |
user@host: | user@host: | ||
</ | </ | ||
- | + | * Erstellen Sie einen Zertifikatsantrag (Certificate Signing Request, csr):< | |
- | Certificate Signing Request | + | |
- | + | ||
- | < | + | |
user@host: | user@host: | ||
# Sie werden Folgendes abgefragt, evtl. befüllt mit Vorgaben aus Ihrer / | # Sie werden Folgendes abgefragt, evtl. befüllt mit Vorgaben aus Ihrer / | ||
Zeile 71: | Zeile 67: | ||
An optional company name []: | An optional company name []: | ||
</ | </ | ||
- | + | * Geben Sie diesen Zertifikatsantrag | |
- | Diesen csr im .pem-Format | + | * Sie bekommen Ihr neues Zertifikat per E-Mail von der DFN-PKI. |
==== Schritt 3: Ggf. Zertifikat am Webserver tauschen ==== | ==== Schritt 3: Ggf. Zertifikat am Webserver tauschen ==== | ||
Zeile 80: | Zeile 76: | ||
==== Schritt 4 beim IdP: Zertifikate für SAML-Kommunikation tauschen ==== | ==== Schritt 4 beim IdP: Zertifikate für SAML-Kommunikation tauschen ==== | ||
* **Veröffentlichen Sie das neue Zertifikat mindestens 24 Stunden vor dem Termin zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten!** | * **Veröffentlichen Sie das neue Zertifikat mindestens 24 Stunden vor dem Termin zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten!** | ||
- | * Aktualisieren Sie Zertifikat und privaten Schlüssel auf Ihrem IdP. Prüfen Sie, ob die Links in '' | + | * Aktualisieren Sie Zertifikat und privaten Schlüssel auf Ihrem IdP. Prüfen Sie, ob die Links in '' |
+ | idp.signing.key= / | ||
+ | idp.signing.cert= / | ||
+ | idp.encryption.key= / | ||
+ | idp.encryption.cert= / | ||
+ | </ | ||
* Starten Sie Tomcat neu. | * Starten Sie Tomcat neu. | ||
* Sollten Sie nach dem Rollover Probleme mit einzelnen anderen Systemen in der DFN-AAI oder in eduGAIN haben, kann es sich um temporäre Probleme handeln, die darauf zurückzuführen sind, dass nicht alle Teilnehmenden die Föderationsmetadaten bei sich im selben Intervall aktualisieren. | * Sollten Sie nach dem Rollover Probleme mit einzelnen anderen Systemen in der DFN-AAI oder in eduGAIN haben, kann es sich um temporäre Probleme handeln, die darauf zurückzuführen sind, dass nicht alle Teilnehmenden die Föderationsmetadaten bei sich im selben Intervall aktualisieren. | ||
Zeile 86: | Zeile 87: | ||
==== Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen ==== | ==== Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen ==== | ||
Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel benötigt**, | Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel benötigt**, | ||
- | * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Fügen Sie sie **zusätzlich** in die SP-Konfiguration '' | + | * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. |
+ | # Benutzerkennung feststellen: | ||
+ | root@sp # ps aux | grep shib | grep -v grep | ||
+ | _shibd | ||
+ | # Gruppenzugehörigkeiten nachschlagen: | ||
+ | root@sp # id _shibd | ||
+ | uid=112(_shibd) gid=121(_shibd) groups=121(_shibd), | ||
+ | # Abgleich mit den neuen Dateien: | ||
+ | -rw-r--r-- 1 root root 3719 Mar 27 10:43 / | ||
+ | -rw-r----- 1 root ssl-cert 3243 Mar 27 10:43 / | ||
+ | </ | ||
+ | * Fügen Sie sie **zusätzlich** in die SP-Konfiguration '' | ||
< | < | ||
<!-- noch aktives altes Zertifikat --> | <!-- noch aktives altes Zertifikat --> |