Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:certificates [2019/04/16 14:01] – [Schritt 3: Ggf. Zertifikat am Webserver tauschen] Silke Meyerde:certificates [2019/07/11 16:51] Wolfgang Pempe
Zeile 1: Zeile 1:
 +======= Zertifikate =======
 ====== Zertifikate für die SAML-basierte Kommunikation ====== ====== Zertifikate für die SAML-basierte Kommunikation ======
 Bei der SAML-basierten Kommunikation zwischen IdP und SP werden Zertifikate zur Signatur-Validierung sowie zum Verschlüsseln eingesetzt. Diese Zertifikate müssen für die betreffende Entity in der [[de:metadata_admin_tool|Metadatenverwaltung]] eingetragen werden. Bei der SAML-basierten Kommunikation zwischen IdP und SP werden Zertifikate zur Signatur-Validierung sowie zum Verschlüsseln eingesetzt. Diese Zertifikate müssen für die betreffende Entity in der [[de:metadata_admin_tool|Metadatenverwaltung]] eingetragen werden.
Zeile 10: Zeile 11:
 Unabhängig davon, welche der u.g. Varianten zum Einsatz kommen, müssen das für die SAML-basierte Kommunikation verwendete Zertifikat und der zugehörige Private Key in der SP-Konfiguration hinterlegt werden. Beim Shibboleth SP ist dies das Element ''CredentialResolver'' in /etc/shibboleth/shibboleth2.xml, s.u. [[de:shibsp|Shibboleth SP]] Unabhängig davon, welche der u.g. Varianten zum Einsatz kommen, müssen das für die SAML-basierte Kommunikation verwendete Zertifikat und der zugehörige Private Key in der SP-Konfiguration hinterlegt werden. Beim Shibboleth SP ist dies das Element ''CredentialResolver'' in /etc/shibboleth/shibboleth2.xml, s.u. [[de:shibsp|Shibboleth SP]]
 ==== Zertifikate der DFN-PKI ==== ==== Zertifikate der DFN-PKI ====
 +Siehe hierzu unter https://www.pki.dfn.de/dfn-aai-zertifikate/ \\
 Wenn Sie berechtigt sind, Zertifikate von der DFN-PKI zu beantragen, wählen Sie bei der Beantragung bitte das Profil "Shibboleth IdP SP" aus. Dieses Server-Zertifikat laden Sie in der Metadatenverwaltung hoch. Wenn Sie berechtigt sind, Zertifikate von der DFN-PKI zu beantragen, wählen Sie bei der Beantragung bitte das Profil "Shibboleth IdP SP" aus. Dieses Server-Zertifikat laden Sie in der Metadatenverwaltung hoch.
  
Zeile 151: Zeile 153:
 </code> </code>
   * Starten Sie den Dienst ''shibd'' neu:<code>systemctl restart shibd</code>   * Starten Sie den Dienst ''shibd'' neu:<code>systemctl restart shibd</code>
 +
 +==== Direkt verdrahtete IdPs/SPs ====
 +Wenn Sie SPs in der DFN-AAI vorbei direkt mit Ihrem IdP verbunden haben, haben Sie die Metadaten von IdP und SP manuell im jeweils anderen hinterlegt. Diese Metadatensätze müssen sie prüfen und ggf. manuell aktualisieren, wenn Sie auf einem oder beiden Systemen das Zertifikat getauscht haben.
 +
 ====== Die SSL-Zertifikatskette auf Ihrem Webserver ====== ====== Die SSL-Zertifikatskette auf Ihrem Webserver ======
  
  • Zuletzt geändert: vor 8 Wochen