Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:certificates [2023/01/23 15:41] – Trennung IdP-/SP-Zert.tausch Silke Meyer | de:certificates [2023/01/23 16:00] – [2. Beschaffung/Generierung eines neuen Zertifikates] kürzer Silke Meyer | ||
---|---|---|---|
Zeile 51: | Zeile 51: | ||
Stellen Sie fest, ob es um die Webserver-Zertifikate oder um die Zertifikate für die SAML-basierte Kommunikation geht. Das kann, muss aber nicht dasselbe Zertifikat sein. | Stellen Sie fest, ob es um die Webserver-Zertifikate oder um die Zertifikate für die SAML-basierte Kommunikation geht. Das kann, muss aber nicht dasselbe Zertifikat sein. | ||
- | ==== 2. Beschaffung/ | + | ==== 2. Beschaffung eines neuen Zertifikates ==== |
- | === DFN-PKI === | + | siehe oben |
- | Bei Fragen zur Erstellung von privaten Schlüsseln und Zertifikatsanträgen, | + | |
- | + | ||
- | * Sie können Ihren alten privaten Schlüssel weiterverwenden, | + | |
- | user@host: | + | |
- | </ | + | |
- | * Erstellen Sie einen Zertifikatsantrag (Certificate Signing Request, csr):< | + | |
- | user@host: | + | |
- | # Sie werden Folgendes abgefragt, evtl. befüllt mit Vorgaben aus Ihrer / | + | |
- | Country Name (2 letter code) [DE]: | + | |
- | State or Province Name (full name) []: <== Bundesland | + | |
- | Locality Name (eg, city) []: <== Stadt | + | |
- | Organization Name (eg, company) []: < | + | |
- | Organizational Unit Name (eg, section) []: <== ggf. Abteilung o.ä. | + | |
- | Common Name (eg, YOUR name) []: | + | |
- | A challenge password []: | + | |
- | An optional company name []: | + | |
- | </ | + | |
- | * Geben Sie diesen Zertifikatsantrag im .pem-Format bei der DFN-PKI ein. Wählen Sie das Profil " | + | |
- | * Sie bekommen Ihr neues Zertifikat per E-Mail von der DFN-PKI. | + | |
- | + | ||
- | === Sonstige Zertifizierungsstellen bzw. CAs === | + | |
- | Konsultieren Sie hierzu die Dokumentation des [[# | + | |
- | === Selbst-signierte Zertifikate === | ||
- | Selbst-signierte Zertifikate sind ausschließlich für die SAML-basierte Kommunikation geeignet! Sowohl Shibboleth IdP als auch Shibboleth SP werden mit einem '' | ||
- | * [[https:// | ||
- | * [[https:// | ||
- | * [[https:// | ||
==== 3. Ggf. Zertifikat am Webserver tauschen ==== | ==== 3. Ggf. Zertifikat am Webserver tauschen ==== | ||
Zeile 87: | Zeile 60: | ||
==== 4. Zertifikatswechsel auf dem IdP ==== | ==== 4. Zertifikatswechsel auf dem IdP ==== | ||
- | * Editieren Sie die Datei '' | + | * Editieren Sie die Datei '' |
+ | For key rollover, uncomment and point to your original keypair, and use the one above | ||
+ | to point to your new keypair. Once metadata has propagated, comment this one out again. | ||
+ | --> | ||
+ | |||
+ | <bean class=" | ||
+ | p: | ||
+ | p: | ||
+ | p: | ||
+ | </ | ||
==== 5. zweites Zertifikat für SAML-Kommunikation eintragen ==== | ==== 5. zweites Zertifikat für SAML-Kommunikation eintragen ==== | ||
Zeile 108: | Zeile 91: | ||
==== 7. Alt und neu in der Konfiguration vertauschen ==== | ==== 7. Alt und neu in der Konfiguration vertauschen ==== | ||
- | | + | <callout color="# |
+ | **Nach diesem Schritt warten Sie bitte erneut mindestens 24 Stunden, bevor Sie weitermachen.** | ||
+ | </ | ||
+ | | ||
+ | * Tauschen | ||
idp.signing.key= / | idp.signing.key= / | ||
idp.signing.cert= / | idp.signing.cert= / | ||
Zeile 117: | Zeile 104: | ||
</ | </ | ||
* Starten Sie Tomcat neu. | * Starten Sie Tomcat neu. | ||
- | * **Warten Sie erneut 24 Stunden!** | ||
==== 8. Alte Zertifikate für SAML-Kommunikation aus Konfiguration entfernen ==== | ==== 8. Alte Zertifikate für SAML-Kommunikation aus Konfiguration entfernen ==== | ||
Zeile 128: | Zeile 114: | ||
==== 9. zweites Bean auskommentieren === | ==== 9. zweites Bean auskommentieren === | ||
- | * Editieren Sie die Datei '' | + | * Editieren Sie die Datei '' |
+ | For key rollover, uncomment and point to your original keypair, and use the one above | ||
+ | to point to your new keypair. Once metadata has propagated, comment this one out again. | ||
+ | --> | ||
+ | <!-- | ||
+ | <bean class=" | ||
+ | p: | ||
+ | p: | ||
+ | p: | ||
+ | --> | ||
+ | </ | ||
* Starten Sie Tomcat neu. | * Starten Sie Tomcat neu. | ||
Zeile 138: | Zeile 134: | ||
==== 2. Beschaffung eines neuen Zertifikates ==== | ==== 2. Beschaffung eines neuen Zertifikates ==== | ||
- | === DFN-PKI === | + | siehe oben |
- | Bei Fragen zur Erstellung von privaten Schlüsseln und Zertifikatsanträgen, | + | |
- | + | ||
- | * Sie können Ihren alten privaten Schlüssel weiterverwenden, | + | |
- | user@host: | + | |
- | </ | + | |
- | * Erstellen Sie einen Zertifikatsantrag (Certificate Signing Request, csr):< | + | |
- | user@host: | + | |
- | # Sie werden Folgendes abgefragt, evtl. befüllt mit Vorgaben aus Ihrer / | + | |
- | Country Name (2 letter code) [DE]: | + | |
- | State or Province Name (full name) []: <== Bundesland | + | |
- | Locality Name (eg, city) []: <== Stadt | + | |
- | Organization Name (eg, company) []: < | + | |
- | Organizational Unit Name (eg, section) []: <== ggf. Abteilung o.ä. | + | |
- | Common Name (eg, YOUR name) []: | + | |
- | A challenge password []: | + | |
- | An optional company name []: | + | |
- | </ | + | |
- | * Geben Sie diesen Zertifikatsantrag im .pem-Format bei der DFN-PKI ein. Wählen Sie das Profil " | + | |
- | * Sie bekommen Ihr neues Zertifikat per E-Mail von der DFN-PKI. | + | |
- | + | ||
- | === Sonstige Zertifizierungsstellen bzw. CAs === | + | |
- | Konsultieren Sie hierzu die Dokumentation des [[# | + | |
- | + | ||
- | === Selbst-signierte Zertifikate === | + | |
- | Selbst-signierte Zertifikate sind ausschließlich für die SAML-basierte Kommunikation geeignet! Sowohl Shibboleth IdP als auch Shibboleth SP werden mit einem '' | + | |
- | * [[https:// | + | |
- | * [[https:// | + | |
- | * [[https:// | + | |
==== 3. Ggf. Zertifikat am Webserver tauschen ==== | ==== 3. Ggf. Zertifikat am Webserver tauschen ==== | ||
* Ersetzen Sie die alten, in der Webserverkonfiguration eingetragenen Dateien durch das neue Zertifikat, den privaten Schlüssel und die Zertifikatskette. (Unten auf dieser Seite ist erklärt, wie Sie die [[https:// | * Ersetzen Sie die alten, in der Webserverkonfiguration eingetragenen Dateien durch das neue Zertifikat, den privaten Schlüssel und die Zertifikatskette. (Unten auf dieser Seite ist erklärt, wie Sie die [[https:// | ||
Zeile 173: | Zeile 140: | ||
==== 4. Zertifikate für SAML-Kommunikation tauschen ==== | ==== 4. Zertifikate für SAML-Kommunikation tauschen ==== | ||
- | Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel | + | Der **SP benötigt |
* Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Es ist wichtig, dass der Benutzer, mit dessen Kennung der '' | * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Es ist wichtig, dass der Benutzer, mit dessen Kennung der '' | ||
# Benutzerkennung feststellen: | # Benutzerkennung feststellen: |