Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:certificates [2021/02/10 09:19] – alte Version wiederhergestellt (2021/01/26 09:32) Silke Meyer | de:certificates [2021/07/13 10:21] – [Zertifikatstausch] Nochmal zum Mitschreiben: Zert. muss erst in MDV Silke Meyer | ||
---|---|---|---|
Zeile 103: | Zeile 103: | ||
* Starten Sie den Webserver neu. | * Starten Sie den Webserver neu. | ||
- | === Schritt 4 beim IdP: Zertifikate | + | === Schritt 4 beim IdP: Zertifikat |
- | | + | <callout color="# |
+ | **Veröffentlichen Sie das neue Zertifikat mindestens 24 Stunden vor dem eigentlichen Tausch | ||
+ | </ | ||
+ | * Ein unterbrechungsfreier Betrieb ist nur möglich, wenn alle Service Provider weiterhin mit dem IdP kommunizieren können. Die SPs müssen sich vorab das neue Zertifikat aus den aktualisierten Föderationsmetadaten geholt haben. Besonders, wenn Sie an eduGAIN teilnehmen, müssen Sie davon ausgehen, dass manche SPs dies nur einmal pro Tag tun. | ||
+ | * Wenn Sie bei der Erstellung des Zertifikatsantrags denselben privaten Schlüssel verwendet haben, den Sie auch für das ablaufende Zertifikat verwendet haben, ist die Veröffentlichung des neuen Zertifikates in Metadaten nicht so zeitkritisch. Das können Sie machen, wenn der Schlüssel nicht kompromittiert ist und nach wie vor den aktuellen technischen Anforderung entspricht. | ||
+ | |||
+ | === Schritt 5 beim IdP: Zertifikate für SAML-Kommunikation tauschen === | ||
* Aktualisieren Sie Zertifikat und privaten Schlüssel auf Ihrem IdP. Prüfen Sie, ob die Links in '' | * Aktualisieren Sie Zertifikat und privaten Schlüssel auf Ihrem IdP. Prüfen Sie, ob die Links in '' | ||
idp.signing.key= / | idp.signing.key= / | ||
Zeile 116: | Zeile 122: | ||
=== Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen === | === Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen === | ||
Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel benötigt**, | Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel benötigt**, | ||
- | * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Es ist wichtig, dass der Benutzer, mit dessen Kennung der '' | + | * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Es ist wichtig, dass der Benutzer, mit dessen Kennung der '' |
# Benutzerkennung feststellen: | # Benutzerkennung feststellen: | ||
- | root@sp # ps aux | grep shib | grep -v grep | + | root@sp:~ # ps aux | grep shib | grep -v grep |
_shibd | _shibd | ||
# Gruppenzugehörigkeiten nachschlagen: | # Gruppenzugehörigkeiten nachschlagen: | ||
- | root@sp # id _shibd | + | root@sp:~ # id _shibd |
uid=112(_shibd) gid=121(_shibd) groups=121(_shibd), | uid=112(_shibd) gid=121(_shibd) groups=121(_shibd), | ||
# Abgleich mit den neuen Dateien: | # Abgleich mit den neuen Dateien: | ||
Zeile 138: | Zeile 144: | ||
certificate="/ | certificate="/ | ||
</ | </ | ||
- | * Prüfen Sie die SP-Konfiguration:< | + | * Prüfen Sie die SP-Konfiguration:< |
- | root@sp # shibd -tc / | + | root@sp:~ # shibd -tc / |
overall configuration is loadable, check console for non-fatal problems | overall configuration is loadable, check console for non-fatal problems | ||
</ | </ | ||
- | * Starten Sie den Dienst '' | + | * Starten Sie den Dienst '' |
* Der Zwischenstand ist nun folgender: Der Service Provider kann SAML-Assertions entschlüsseln, | * Der Zwischenstand ist nun folgender: Der Service Provider kann SAML-Assertions entschlüsseln, | ||
- | * **Veröffentlichen Sie das neue Zertifikat zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten und warten Sie auch hier vorsichtshalber | + | <callout color="# |
+ | **Veröffentlichen Sie das neue Zertifikat zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten und warten Sie 24 Stunden mit dem nächsten Schritt.** | ||
+ | </ | ||
+ | |||
+ | === Schritt 5 beim SP: Zertifikate für SAML-Kommunikation tauschen === | ||
* Konfigurieren Sie den SP um, so dass das neue Zertifikat an erster Stelle steht:< | * Konfigurieren Sie den SP um, so dass das neue Zertifikat an erster Stelle steht:< | ||
< | < | ||
Zeile 156: | Zeile 167: | ||
certificate="/ | certificate="/ | ||
</ | </ | ||
- | * Prüfen Sie die SP-Konfiguration:< | + | * Prüfen Sie die SP-Konfiguration:< |
- | root@sp # shibd -tc / | + | root@sp:~ # shibd -tc / |
overall configuration is loadable, check console for non-fatal problems | overall configuration is loadable, check console for non-fatal problems | ||
</ | </ | ||
- | * Starten Sie den Dienst '' | + | * Starten Sie den Dienst '' |
* Jetzt können Sie gleich das alte Zertifikat aus den Metadaten des SP herausnehmen. **Warten** Sie dann erneut bis zu 24 Stunden (sicher ist sicher), bis sich die Änderung in der DFN-AAI bzw. in eduGAIN herumgesprochen hat. | * Jetzt können Sie gleich das alte Zertifikat aus den Metadaten des SP herausnehmen. **Warten** Sie dann erneut bis zu 24 Stunden (sicher ist sicher), bis sich die Änderung in der DFN-AAI bzw. in eduGAIN herumgesprochen hat. | ||
* Entfernen Sie das alte Zertifikat aus der SP-Konfiguration, | * Entfernen Sie das alte Zertifikat aus der SP-Konfiguration, | ||
Zeile 175: | Zeile 186: | ||
--> | --> | ||
</ | </ | ||
- | * Prüfen Sie die SP-Konfiguration:< | + | * Prüfen Sie die SP-Konfiguration:< |
- | root@sp # shibd -tc / | + | root@sp:~ # shibd -tc / |
overall configuration is loadable, check console for non-fatal problems | overall configuration is loadable, check console for non-fatal problems | ||
</ | </ | ||
- | * Starten Sie den Dienst '' | + | * Starten Sie den Dienst '' |
=== Direkt verdrahtete IdPs/SPs === | === Direkt verdrahtete IdPs/SPs === |