Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:certificates [2019/04/16 13:49] – [Schritt 4 beim IdP: Zertifikate für SAML-Kommunikation tauschen] Silke Meyer | de:certificates [2019/07/11 16:51] – Wolfgang Pempe | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ======= Zertifikate ======= | ||
====== Zertifikate für die SAML-basierte Kommunikation ====== | ====== Zertifikate für die SAML-basierte Kommunikation ====== | ||
Bei der SAML-basierten Kommunikation zwischen IdP und SP werden Zertifikate zur Signatur-Validierung sowie zum Verschlüsseln eingesetzt. Diese Zertifikate müssen für die betreffende Entity in der [[de: | Bei der SAML-basierten Kommunikation zwischen IdP und SP werden Zertifikate zur Signatur-Validierung sowie zum Verschlüsseln eingesetzt. Diese Zertifikate müssen für die betreffende Entity in der [[de: | ||
Zeile 10: | Zeile 11: | ||
Unabhängig davon, welche der u.g. Varianten zum Einsatz kommen, müssen das für die SAML-basierte Kommunikation verwendete Zertifikat und der zugehörige Private Key in der SP-Konfiguration hinterlegt werden. Beim Shibboleth SP ist dies das Element '' | Unabhängig davon, welche der u.g. Varianten zum Einsatz kommen, müssen das für die SAML-basierte Kommunikation verwendete Zertifikat und der zugehörige Private Key in der SP-Konfiguration hinterlegt werden. Beim Shibboleth SP ist dies das Element '' | ||
==== Zertifikate der DFN-PKI ==== | ==== Zertifikate der DFN-PKI ==== | ||
+ | Siehe hierzu unter https:// | ||
Wenn Sie berechtigt sind, Zertifikate von der DFN-PKI zu beantragen, wählen Sie bei der Beantragung bitte das Profil " | Wenn Sie berechtigt sind, Zertifikate von der DFN-PKI zu beantragen, wählen Sie bei der Beantragung bitte das Profil " | ||
Zeile 71: | Zeile 73: | ||
==== Schritt 3: Ggf. Zertifikat am Webserver tauschen ==== | ==== Schritt 3: Ggf. Zertifikat am Webserver tauschen ==== | ||
- | * Ersetzen Sie die alten, in der Webserverkonfiguration eingetragenen Dateien durch das neue Zertifikat, den privaten Schlüssel und die Zertifikatskette. | + | * Ersetzen Sie die alten, in der Webserverkonfiguration eingetragenen Dateien durch das neue Zertifikat, den privaten Schlüssel und die Zertifikatskette. |
* Starten Sie den Webserver neu. | * Starten Sie den Webserver neu. | ||
Zeile 77: | Zeile 79: | ||
* **Veröffentlichen Sie das neue Zertifikat mindestens 24 Stunden vor dem Termin zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten!** | * **Veröffentlichen Sie das neue Zertifikat mindestens 24 Stunden vor dem Termin zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten!** | ||
* Aktualisieren Sie Zertifikat und privaten Schlüssel auf Ihrem IdP. Prüfen Sie, ob die Links in '' | * Aktualisieren Sie Zertifikat und privaten Schlüssel auf Ihrem IdP. Prüfen Sie, ob die Links in '' | ||
- | # Settings for public/ | ||
- | # During decryption key rollover, point the " | ||
- | # keypair, uncomment in credentials.xml, | ||
idp.signing.key= / | idp.signing.key= / | ||
idp.signing.cert= / | idp.signing.cert= / | ||
Zeile 90: | Zeile 89: | ||
==== Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen ==== | ==== Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen ==== | ||
Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel benötigt**, | Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel benötigt**, | ||
- | * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Fügen Sie sie **zusätzlich** in die SP-Konfiguration '' | + | * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. |
+ | # Benutzerkennung feststellen: | ||
+ | root@sp # ps aux | grep shib | grep -v grep | ||
+ | _shibd | ||
+ | # Gruppenzugehörigkeiten nachschlagen: | ||
+ | root@sp # id _shibd | ||
+ | uid=112(_shibd) gid=121(_shibd) groups=121(_shibd), | ||
+ | # Abgleich mit den neuen Dateien: | ||
+ | -rw-r--r-- 1 root root 3719 Mar 27 10:43 / | ||
+ | -rw-r----- 1 root ssl-cert 3243 Mar 27 10:43 / | ||
+ | </ | ||
+ | * Fügen Sie sie **zusätzlich** in die SP-Konfiguration '' | ||
< | < | ||
<!-- noch aktives altes Zertifikat --> | <!-- noch aktives altes Zertifikat --> | ||
Zeile 143: | Zeile 153: | ||
</ | </ | ||
* Starten Sie den Dienst '' | * Starten Sie den Dienst '' | ||
+ | |||
+ | ==== Direkt verdrahtete IdPs/SPs ==== | ||
+ | Wenn Sie SPs in der DFN-AAI vorbei direkt mit Ihrem IdP verbunden haben, haben Sie die Metadaten von IdP und SP manuell im jeweils anderen hinterlegt. Diese Metadatensätze müssen sie prüfen und ggf. manuell aktualisieren, | ||
+ | |||
====== Die SSL-Zertifikatskette auf Ihrem Webserver ====== | ====== Die SSL-Zertifikatskette auf Ihrem Webserver ====== | ||