Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:certificates [2021/01/26 09:28] – Wolfgang Pempe | de:certificates [2021/08/04 09:09] – Wolfgang Pempe | ||
---|---|---|---|
Zeile 20: | Zeile 20: | ||
=== Zertifikate gängiger Zertifizierungsstellen === | === Zertifikate gängiger Zertifizierungsstellen === | ||
- | Alternativ können Sie Zertifikate von CAs nutzen, die in den gängigen Standardbrowsern (Google Chrome, Firefox, Microsoft Edge) vorinstalliert sind und deren Gültigkeitsdauer maximal 825 Tage beträgt. \\ | + | Alternativ können Sie Zertifikate von CAs nutzen, die in den gängigen Standardbrowsern (Google Chrome, Firefox, Microsoft Edge) vorinstalliert sind. \\ |
=== Eigene/ | === Eigene/ | ||
Für an der DFN-AAI teilnehmende Einrichtungen/ | Für an der DFN-AAI teilnehmende Einrichtungen/ | ||
+ | **Hinweis: | ||
**Wichtig: | **Wichtig: | ||
Eine gute Anleitung zum Betrieb einer eigenen CA findet sich [[https:// | Eine gute Anleitung zum Betrieb einer eigenen CA findet sich [[https:// | ||
Zeile 33: | Zeile 34: | ||
* Signatur-Algorithmus: | * Signatur-Algorithmus: | ||
* Der CN des ausgestellten Zertifikats entspricht dem FQDN des jeweiligen IdP-/ | * Der CN des ausgestellten Zertifikats entspricht dem FQDN des jeweiligen IdP-/ | ||
- | **Hinweis: | + | |
=== Selbst-signierte Zertifikate === | === Selbst-signierte Zertifikate === | ||
- | Die dritte Möglichkeit ist die Verwendung von selbst-signierten Zertifikaten mit einer Gültigkeitsdauer von maximal 39 Monaten. Wir empfehlen zur korrekten Erstellung die Dokumentation der [[https:// | + | Die dritte Möglichkeit ist die Verwendung von selbst-signierten Zertifikaten mit einer Gültigkeitsdauer von maximal 39 Monaten. Wir empfehlen zur korrekten Erstellung die Dokumentation der [[https:// |
- | * Stellen | + | **keygen Tool:** '' |
- | * Wenn Sie keine Möglichkeit haben, uns einen Download-Link zur Verfügung zu stellen, können | + | **Selbst-signierte Zertifikate müssen vor der Aufnahme in die DFN-AAI Produktivumgebung verifiziert werden.** Hierfür stehe folgende Optionen zur Verfügung, nachdem Sie das Server-Zertifikat in der Metadatenverwaltung hochgeladen haben: |
- | < | + | * Schicken |
- | $ openssl x509 -noout -fingerprint -sha1 -in self-signed-server-cert.pem | + | * Alternativ können Sie uns das Zertifikat auf Ihrem Webserver zum **Download via https** bereitstellen |
- | $ openssl x509 -noout -fingerprint -sha256 -in self-signed-server-cert.pem | + | * Sollte |
- | </ | + | |
- | * Sie können uns das Zertifikat auch in einer via S/MIME signierten E-Mail an [[hotline@aai.dfn.de|hotline@aai.dfn.de]] schicken. Die Zertifizierungsstelle, | + | |
- | | + | |
<callout color="# | <callout color="# | ||
Eine Ausnahme von den o.g. Regeln gilt bei SPs, die bereits in anderen Föderationen (mit anderen Zertifikats-Policies) registriert sind. In diesem Fall können die dort verwendeten Zertifikate auch für die DFN-AAI genutzt werden, auch wenn diese länger gültig sind. | Eine Ausnahme von den o.g. Regeln gilt bei SPs, die bereits in anderen Föderationen (mit anderen Zertifikats-Policies) registriert sind. In diesem Fall können die dort verwendeten Zertifikate auch für die DFN-AAI genutzt werden, auch wenn diese länger gültig sind. | ||
Zeile 102: | Zeile 101: | ||
* Starten Sie den Webserver neu. | * Starten Sie den Webserver neu. | ||
- | === Schritt 4 beim IdP: Zertifikate | + | === Schritt 4 beim IdP: Zertifikat |
- | | + | <callout color="# |
+ | **Veröffentlichen Sie das neue Zertifikat mindestens 24 Stunden vor dem eigentlichen Tausch | ||
+ | </ | ||
+ | * Ein unterbrechungsfreier Betrieb ist nur möglich, wenn alle Service Provider weiterhin mit dem IdP kommunizieren können. Die SPs müssen sich vorab das neue Zertifikat aus den aktualisierten Föderationsmetadaten geholt haben. Besonders, wenn Sie an eduGAIN teilnehmen, müssen Sie davon ausgehen, dass manche SPs dies nur einmal pro Tag tun. | ||
+ | * Wenn Sie bei der Erstellung des Zertifikatsantrags denselben privaten Schlüssel verwendet haben, den Sie auch für das ablaufende Zertifikat verwendet haben, ist die Veröffentlichung des neuen Zertifikates in Metadaten nicht so zeitkritisch. Das können Sie machen, wenn der Schlüssel nicht kompromittiert ist und nach wie vor den aktuellen technischen Anforderung entspricht. | ||
+ | |||
+ | === Schritt 5 beim IdP: Zertifikate für SAML-Kommunikation tauschen === | ||
* Aktualisieren Sie Zertifikat und privaten Schlüssel auf Ihrem IdP. Prüfen Sie, ob die Links in '' | * Aktualisieren Sie Zertifikat und privaten Schlüssel auf Ihrem IdP. Prüfen Sie, ob die Links in '' | ||
idp.signing.key= / | idp.signing.key= / | ||
Zeile 115: | Zeile 120: | ||
=== Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen === | === Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen === | ||
Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel benötigt**, | Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel benötigt**, | ||
- | * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Es ist wichtig, dass der Benutzer, mit dessen Kennung der '' | + | * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Es ist wichtig, dass der Benutzer, mit dessen Kennung der '' |
# Benutzerkennung feststellen: | # Benutzerkennung feststellen: | ||
- | root@sp # ps aux | grep shib | grep -v grep | + | root@sp:~ # ps aux | grep shib | grep -v grep |
_shibd | _shibd | ||
# Gruppenzugehörigkeiten nachschlagen: | # Gruppenzugehörigkeiten nachschlagen: | ||
- | root@sp # id _shibd | + | root@sp:~ # id _shibd |
uid=112(_shibd) gid=121(_shibd) groups=121(_shibd), | uid=112(_shibd) gid=121(_shibd) groups=121(_shibd), | ||
# Abgleich mit den neuen Dateien: | # Abgleich mit den neuen Dateien: | ||
Zeile 137: | Zeile 142: | ||
certificate="/ | certificate="/ | ||
</ | </ | ||
- | * Prüfen Sie die SP-Konfiguration:< | + | * Prüfen Sie die SP-Konfiguration:< |
- | root@sp # shibd -tc / | + | root@sp:~ # shibd -tc / |
overall configuration is loadable, check console for non-fatal problems | overall configuration is loadable, check console for non-fatal problems | ||
</ | </ | ||
- | * Starten Sie den Dienst '' | + | * Starten Sie den Dienst '' |
* Der Zwischenstand ist nun folgender: Der Service Provider kann SAML-Assertions entschlüsseln, | * Der Zwischenstand ist nun folgender: Der Service Provider kann SAML-Assertions entschlüsseln, | ||
- | * **Veröffentlichen Sie das neue Zertifikat zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten und warten Sie auch hier vorsichtshalber | + | <callout color="# |
+ | **Veröffentlichen Sie das neue Zertifikat zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten und warten Sie 24 Stunden mit dem nächsten Schritt.** | ||
+ | </ | ||
+ | |||
+ | === Schritt 5 beim SP: Zertifikate für SAML-Kommunikation tauschen === | ||
* Konfigurieren Sie den SP um, so dass das neue Zertifikat an erster Stelle steht:< | * Konfigurieren Sie den SP um, so dass das neue Zertifikat an erster Stelle steht:< | ||
< | < | ||
Zeile 155: | Zeile 165: | ||
certificate="/ | certificate="/ | ||
</ | </ | ||
- | * Prüfen Sie die SP-Konfiguration:< | + | * Prüfen Sie die SP-Konfiguration:< |
- | root@sp # shibd -tc / | + | root@sp:~ # shibd -tc / |
overall configuration is loadable, check console for non-fatal problems | overall configuration is loadable, check console for non-fatal problems | ||
</ | </ | ||
- | * Starten Sie den Dienst '' | + | * Starten Sie den Dienst '' |
* Jetzt können Sie gleich das alte Zertifikat aus den Metadaten des SP herausnehmen. **Warten** Sie dann erneut bis zu 24 Stunden (sicher ist sicher), bis sich die Änderung in der DFN-AAI bzw. in eduGAIN herumgesprochen hat. | * Jetzt können Sie gleich das alte Zertifikat aus den Metadaten des SP herausnehmen. **Warten** Sie dann erneut bis zu 24 Stunden (sicher ist sicher), bis sich die Änderung in der DFN-AAI bzw. in eduGAIN herumgesprochen hat. | ||
* Entfernen Sie das alte Zertifikat aus der SP-Konfiguration, | * Entfernen Sie das alte Zertifikat aus der SP-Konfiguration, | ||
Zeile 174: | Zeile 184: | ||
--> | --> | ||
</ | </ | ||
- | * Prüfen Sie die SP-Konfiguration:< | + | * Prüfen Sie die SP-Konfiguration:< |
- | root@sp # shibd -tc / | + | root@sp:~ # shibd -tc / |
overall configuration is loadable, check console for non-fatal problems | overall configuration is loadable, check console for non-fatal problems | ||
</ | </ | ||
- | * Starten Sie den Dienst '' | + | * Starten Sie den Dienst '' |
=== Direkt verdrahtete IdPs/SPs === | === Direkt verdrahtete IdPs/SPs === |