Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:certificates [2021/01/26 09:32] – Wolfgang Pempe | de:certificates [2021/02/22 10:50] – [Zertifikatstausch] Silke Meyer | ||
---|---|---|---|
Zeile 116: | Zeile 116: | ||
=== Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen === | === Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen === | ||
Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel benötigt**, | Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel benötigt**, | ||
- | * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Es ist wichtig, dass der Benutzer, mit dessen Kennung der '' | + | * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Es ist wichtig, dass der Benutzer, mit dessen Kennung der '' |
# Benutzerkennung feststellen: | # Benutzerkennung feststellen: | ||
- | root@sp # ps aux | grep shib | grep -v grep | + | root@sp:~ # ps aux | grep shib | grep -v grep |
_shibd | _shibd | ||
# Gruppenzugehörigkeiten nachschlagen: | # Gruppenzugehörigkeiten nachschlagen: | ||
- | root@sp # id _shibd | + | root@sp:~ # id _shibd |
uid=112(_shibd) gid=121(_shibd) groups=121(_shibd), | uid=112(_shibd) gid=121(_shibd) groups=121(_shibd), | ||
# Abgleich mit den neuen Dateien: | # Abgleich mit den neuen Dateien: | ||
Zeile 138: | Zeile 138: | ||
certificate="/ | certificate="/ | ||
</ | </ | ||
- | * Prüfen Sie die SP-Konfiguration:< | + | * Prüfen Sie die SP-Konfiguration:< |
- | root@sp # shibd -tc / | + | root@sp:~ # shibd -tc / |
overall configuration is loadable, check console for non-fatal problems | overall configuration is loadable, check console for non-fatal problems | ||
</ | </ | ||
- | * Starten Sie den Dienst '' | + | * Starten Sie den Dienst '' |
* Der Zwischenstand ist nun folgender: Der Service Provider kann SAML-Assertions entschlüsseln, | * Der Zwischenstand ist nun folgender: Der Service Provider kann SAML-Assertions entschlüsseln, | ||
- | * **Veröffentlichen Sie das neue Zertifikat zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten und warten Sie auch hier vorsichtshalber | + | * **Veröffentlichen Sie das neue Zertifikat zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten und warten Sie 24 Stunden mit dem nächsten Schritt.** |
* Konfigurieren Sie den SP um, so dass das neue Zertifikat an erster Stelle steht:< | * Konfigurieren Sie den SP um, so dass das neue Zertifikat an erster Stelle steht:< | ||
< | < | ||
Zeile 156: | Zeile 156: | ||
certificate="/ | certificate="/ | ||
</ | </ | ||
- | * Prüfen Sie die SP-Konfiguration:< | + | * Prüfen Sie die SP-Konfiguration:< |
- | root@sp # shibd -tc / | + | root@sp:~ # shibd -tc / |
overall configuration is loadable, check console for non-fatal problems | overall configuration is loadable, check console for non-fatal problems | ||
</ | </ | ||
- | * Starten Sie den Dienst '' | + | * Starten Sie den Dienst '' |
* Jetzt können Sie gleich das alte Zertifikat aus den Metadaten des SP herausnehmen. **Warten** Sie dann erneut bis zu 24 Stunden (sicher ist sicher), bis sich die Änderung in der DFN-AAI bzw. in eduGAIN herumgesprochen hat. | * Jetzt können Sie gleich das alte Zertifikat aus den Metadaten des SP herausnehmen. **Warten** Sie dann erneut bis zu 24 Stunden (sicher ist sicher), bis sich die Änderung in der DFN-AAI bzw. in eduGAIN herumgesprochen hat. | ||
* Entfernen Sie das alte Zertifikat aus der SP-Konfiguration, | * Entfernen Sie das alte Zertifikat aus der SP-Konfiguration, | ||
Zeile 175: | Zeile 175: | ||
--> | --> | ||
</ | </ | ||
- | * Prüfen Sie die SP-Konfiguration:< | + | * Prüfen Sie die SP-Konfiguration:< |
- | root@sp # shibd -tc / | + | root@sp:~ # shibd -tc / |
overall configuration is loadable, check console for non-fatal problems | overall configuration is loadable, check console for non-fatal problems | ||
</ | </ | ||
- | * Starten Sie den Dienst '' | + | * Starten Sie den Dienst '' |
=== Direkt verdrahtete IdPs/SPs === | === Direkt verdrahtete IdPs/SPs === |