Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:certificates [2023/01/23 15:41] – Trennung IdP-/SP-Zert.tausch Silke Meyer
+++ de:certificates [2023/01/23 15:57] – [4. Zertifikate für SAML-Kommunikation tauschen] Silke Meyer
@@ Zeile 87: / Zeile 87: @@
 ==== 4. Zertifikatswechsel auf dem IdP ====
-  * Editieren Sie die Datei ''conf/credentials.xml'': Entfernen Sie dort die Kommentarzeichen um das zweite ''BasicX509CredentialFactoryBean''.
+  * Editieren Sie die Datei ''conf/credentials.xml'': Entfernen Sie dort die Kommentarzeichen um das zweite ''BasicX509CredentialFactoryBean''.<file xml>        <!--
+        For key rollover, uncomment and point to your original keypair, and use the one above
+        to point to your new keypair. Once metadata has propagated, comment this one out again.
+        -->
+        <bean class="net.shibboleth.idp.profile.spring.factory.BasicX509CredentialFactoryBean"
+            p:privateKeyResource="%{idp.encryption.key.2}"
+            p:certificateResource="%{idp.encryption.cert.2}"
+            p:entityId-ref="entityID" />
+</file>
 ==== 5. zweites Zertifikat für SAML-Kommunikation eintragen ====
@@ Zeile 108: / Zeile 118: @@
 ==== 7. Alt und neu in der Konfiguration vertauschen ====
-  * Nachdem das neue Zertifikat sich über die Metadaten herumgesprochen hat, tauschen Sie in ''conf/idp.properties'' alt und neu:<code>
+<callout color="#ff9900" title="24 Stunden Wartezeit">
+**Nach diesem Schritt warten Sie bitte erneut mindestens 24 Stunden, bevor Sie weitermachen.**
+</callout>
+  * Nachdem das neue Zertifikat sich über die Metadaten herumgesprochen hat, entfernen Sie das alte Zertifikat aus den Föderationsmetadaten.
+  * Tauschen Sie in ''conf/idp.properties'' alt und neu:<code>
 idp.signing.key= /etc/ssl/private/idp_neu.example.org.key.pem
 idp.signing.cert= /etc/ssl/localcerts/idp_neu.example.org.crt.pem
@@ Zeile 117: / Zeile 131: @@
 </code>
   * Starten Sie Tomcat neu.
-  * **Warten Sie erneut 24 Stunden!**
 ==== 8. Alte Zertifikate für SAML-Kommunikation aus Konfiguration entfernen ====
@@ Zeile 128: / Zeile 141: @@
 ==== 9. zweites Bean auskommentieren ===
-  * Editieren Sie die Datei ''conf/credentials.xml'' erneut: Fügen Sie die Kommentarzeichen um das zweite ''BasicX509CredentialFactoryBean'' wieder ein.
+  * Editieren Sie die Datei ''conf/credentials.xml'' erneut: Fügen Sie die Kommentarzeichen um das zweite ''BasicX509CredentialFactoryBean'' wieder ein.<file xml>        <!--
+        For key rollover, uncomment and point to your original keypair, and use the one above
+        to point to your new keypair. Once metadata has propagated, comment this one out again.
+        -->
+        <!--
+        <bean class="net.shibboleth.idp.profile.spring.factory.BasicX509CredentialFactoryBean"
+            p:privateKeyResource="%{idp.encryption.key.2}"
+            p:certificateResource="%{idp.encryption.cert.2}"
+            p:entityId-ref="entityID" />
+        -->
+</file>
   * Starten Sie Tomcat neu.
@@ Zeile 173: / Zeile 196: @@
 ==== 4. Zertifikate für SAML-Kommunikation tauschen ====
-Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel benötigt**, alt und neu, denn er muss in der Lage sein, Authentication Requests zu signieren und SAML Assertions zu entschlüsseln.
+Der **SP benötigt vorübergehend beide Zertifikate bzw. Schlüssel**, alt und neu, denn er muss in der Lage sein, Authentication Requests zu signieren und SAML Assertions zu entschlüsseln.
   * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Es ist wichtig, dass der Benutzer, mit dessen Kennung der ''shibd''-Prozess läuft, die Dateien lesen kann.<code bash>
 # Benutzerkennung feststellen: