Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:certificates [2019/04/16 13:43] – [Schritt 2: Beschaffung eines neuen Zertifikates bei der DFN-PKI] Silke Meyerde:certificates [2019/04/16 13:57] – [Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen] Silke Meyer
Zeile 52: Zeile 52:
 Bei Fragen zur Erstellung von privaten Schlüsseln und Zertifikatsanträgen, schauen Sie bitte in die Dokumentation der Software, mit der Sie diese generieren. Die DFN-PKI bietet eine [[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_Nutzung_OpenSSL.pdf|Zusammenfassung der wichtigsten OpenSSL-Befehle]] und ausführliche [[https://www.pki.dfn.de/faqpki/faqpki-allgemein/#c15083 | FAQ]] rund um Zertifikate. Das folgende Vorgehen müssen Sie möglicherweise an Ihre Umgebung anpassen. Bei Fragen zur Erstellung von privaten Schlüsseln und Zertifikatsanträgen, schauen Sie bitte in die Dokumentation der Software, mit der Sie diese generieren. Die DFN-PKI bietet eine [[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_Nutzung_OpenSSL.pdf|Zusammenfassung der wichtigsten OpenSSL-Befehle]] und ausführliche [[https://www.pki.dfn.de/faqpki/faqpki-allgemein/#c15083 | FAQ]] rund um Zertifikate. Das folgende Vorgehen müssen Sie möglicherweise an Ihre Umgebung anpassen.
  
-Geheimen Schlüssel erstellen: +  * Erstellen Sie einen privaten Schlüssel:<code>
-<code>+
 user@host:~$ openssl genrsa -out idp.example.org.key.pem 4096 user@host:~$ openssl genrsa -out idp.example.org.key.pem 4096
 </code> </code>
- +  * Erstellen Sie einen Zertifikatsantrag (Certificate Signing Request, csr):<code>
-Certificate Signing Request erstellen: +
- +
-<code>+
 user@host:~$ openssl req -new -key idp.example.org.key.pem -out idp.example.org.csr.pem user@host:~$ openssl req -new -key idp.example.org.key.pem -out idp.example.org.csr.pem
 # Sie werden Folgendes abgefragt, evtl. befüllt mit Vorgaben aus Ihrer /etc/ssl/openssl.cnf # Sie werden Folgendes abgefragt, evtl. befüllt mit Vorgaben aus Ihrer /etc/ssl/openssl.cnf
Zeile 71: Zeile 67:
 An optional company name []: An optional company name []:
 </code> </code>
- +  * Geben Sie diesen Zertifikatsantrag im .pem-Format bei der DFN-PKI ein. Wählen Sie das Profil "Shibboleth-IdP/-SP"
-Diesen csr im .pem-Format geben Sie bei der DFN-PKI ein. Wählen Sie das Profil "Shibboleth-IdP/-SP".+  * Sie bekommen Ihr neues Zertifikat per E-Mail von der DFN-PKI.
  
 ==== Schritt 3: Ggf. Zertifikat am Webserver tauschen ==== ==== Schritt 3: Ggf. Zertifikat am Webserver tauschen ====
Zeile 80: Zeile 76:
 ==== Schritt 4 beim IdP: Zertifikate für SAML-Kommunikation tauschen ==== ==== Schritt 4 beim IdP: Zertifikate für SAML-Kommunikation tauschen ====
   * **Veröffentlichen Sie das neue Zertifikat mindestens 24 Stunden vor dem Termin zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten!**   * **Veröffentlichen Sie das neue Zertifikat mindestens 24 Stunden vor dem Termin zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten!**
-  * Aktualisieren Sie Zertifikat und privaten Schlüssel auf Ihrem IdP. Prüfen Sie, ob die Links in ''conf/idp.properties'' auf die neuen Dateien zeigen.+  * Aktualisieren Sie Zertifikat und privaten Schlüssel auf Ihrem IdP. Prüfen Sie, ob die Links in ''conf/idp.properties'' auf die neuen Dateien zeigen.<code> 
 +idp.signing.key= /etc/ssl/private/idp.example.org.key.pem 
 +idp.signing.cert= /etc/ssl/localcerts/idp.example.org.crt.pem 
 +idp.encryption.key= /etc/ssl/private/idp.example.org.key.pem 
 +idp.encryption.cert= /etc/ssl/localcerts/idp.example.org.crt.pem 
 +</code>
   * Starten Sie Tomcat neu.   * Starten Sie Tomcat neu.
   * Sollten Sie nach dem Rollover Probleme mit einzelnen anderen Systemen in der DFN-AAI oder in eduGAIN haben, kann es sich um temporäre Probleme handeln, die darauf zurückzuführen sind, dass nicht alle Teilnehmenden die Föderationsmetadaten bei sich im selben Intervall aktualisieren.   * Sollten Sie nach dem Rollover Probleme mit einzelnen anderen Systemen in der DFN-AAI oder in eduGAIN haben, kann es sich um temporäre Probleme handeln, die darauf zurückzuführen sind, dass nicht alle Teilnehmenden die Föderationsmetadaten bei sich im selben Intervall aktualisieren.
Zeile 86: Zeile 87:
 ==== Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen ==== ==== Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen ====
 Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel benötigt**, alt und neu, denn er muss in der Lage sein, Authentication Requests zu signieren und SAML Assertions zu entschlüsseln. Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel benötigt**, alt und neu, denn er muss in der Lage sein, Authentication Requests zu signieren und SAML Assertions zu entschlüsseln.
-  * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Fügen Sie sie **zusätzlich** in die SP-Konfiguration ''shibboleth2.xml'' ein, und zwar **unter dem noch aktiven alten Zertifikat**:<code xml>+  * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Es ist wichtig, dass der Benutzer, mit dessen Kennung der ''shibd''-Prozess läuft, die Dateien lesen kann.<code> 
 +# Benutzerkennung feststellen: 
 +root@sp # ps aux | grep shib | grep -v grep 
 +_shibd   31466  0.1 13.7 1912728 702900 ?      Ssl  Apr15   3:53 /usr/sbin/shibd -f -F 
 +# Gruppenzugehörigkeiten nachschlagen: 
 +root@sp # id _shibd  
 +uid=112(_shibd) gid=121(_shibd) groups=121(_shibd),103(ssl-cert) 
 +# Abgleich mit den neuen Dateien: 
 +-rw-r--r-- 1 root root 3719 Mar 27 10:43 /etc/ssl/localcerts/2019-sp.example.org.crt.pem 
 +-rw-r----- 1 root ssl-cert 3243 Mar 27 10:43 /etc/ssl/private/2019-sp.example.org.key.pem 
 +</code> 
 +  * Fügen Sie sie **zusätzlich** in die SP-Konfiguration ''shibboleth2.xml'' ein, und zwar **unter dem noch aktiven alten Zertifikat**:<code xml>
     <CredentialResolver type="Chaining">     <CredentialResolver type="Chaining">
         <!-- noch aktives altes Zertifikat -->         <!-- noch aktives altes Zertifikat -->
  • Zuletzt geändert: vor 19 Stunden