Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:certificates [2019/04/16 13:49] – [Schritt 4 beim IdP: Zertifikate für SAML-Kommunikation tauschen] Silke Meyerde:certificates [2019/05/23 16:28] Silke Meyer
Zeile 71: Zeile 71:
  
 ==== Schritt 3: Ggf. Zertifikat am Webserver tauschen ==== ==== Schritt 3: Ggf. Zertifikat am Webserver tauschen ====
-  * Ersetzen Sie die alten, in der Webserverkonfiguration eingetragenen Dateien durch das neue Zertifikat, den privaten Schlüssel und die Zertifikatskette.+  * Ersetzen Sie die alten, in der Webserverkonfiguration eingetragenen Dateien durch das neue Zertifikat, den privaten Schlüssel und die Zertifikatskette. (Unten auf dieser Seite ist erklärt, wie Sie die [[https://doku.tid.dfn.de/de:certificates#die_ssl-zertifikatskette_auf_ihrem_webserver|komplette Zertifikatskette]] ausliefern.)
   * Starten Sie den Webserver neu.   * Starten Sie den Webserver neu.
  
Zeile 87: Zeile 87:
 ==== Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen ==== ==== Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen ====
 Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel benötigt**, alt und neu, denn er muss in der Lage sein, Authentication Requests zu signieren und SAML Assertions zu entschlüsseln. Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel benötigt**, alt und neu, denn er muss in der Lage sein, Authentication Requests zu signieren und SAML Assertions zu entschlüsseln.
-  * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Fügen Sie sie **zusätzlich** in die SP-Konfiguration ''shibboleth2.xml'' ein, und zwar **unter dem noch aktiven alten Zertifikat**:<code xml>+  * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Es ist wichtig, dass der Benutzer, mit dessen Kennung der ''shibd''-Prozess läuft, die Dateien lesen kann.<code> 
 +# Benutzerkennung feststellen: 
 +root@sp # ps aux | grep shib | grep -v grep 
 +_shibd   31466  0.1 13.7 1912728 702900 ?      Ssl  Apr15   3:53 /usr/sbin/shibd -f -F 
 +# Gruppenzugehörigkeiten nachschlagen: 
 +root@sp # id _shibd  
 +uid=112(_shibd) gid=121(_shibd) groups=121(_shibd),103(ssl-cert) 
 +# Abgleich mit den neuen Dateien: 
 +-rw-r--r-- 1 root root 3719 Mar 27 10:43 /etc/ssl/localcerts/2019-sp.example.org.crt.pem 
 +-rw-r----- 1 root ssl-cert 3243 Mar 27 10:43 /etc/ssl/private/2019-sp.example.org.key.pem 
 +</code> 
 +  * Fügen Sie sie **zusätzlich** in die SP-Konfiguration ''shibboleth2.xml'' ein, und zwar **unter dem noch aktiven alten Zertifikat**:<code xml>
     <CredentialResolver type="Chaining">     <CredentialResolver type="Chaining">
         <!-- noch aktives altes Zertifikat -->         <!-- noch aktives altes Zertifikat -->
Zeile 140: Zeile 151:
 </code> </code>
   * Starten Sie den Dienst ''shibd'' neu:<code>systemctl restart shibd</code>   * Starten Sie den Dienst ''shibd'' neu:<code>systemctl restart shibd</code>
 +
 +==== Direkt verdrahtete IdPs/SPs ====
 +Wenn Sie SPs in der DFN-AAI vorbei direkt mit Ihrem IdP verbunden haben, haben Sie die Metadaten von IdP und SP manuell im jeweils anderen hinterlegt. Diese Metadatensätze müssen sie prüfen und ggf. manuell aktualisieren, wenn Sie auf einem oder beiden Systemen das Zertifikat getauscht haben.
 +
 ====== Die SSL-Zertifikatskette auf Ihrem Webserver ====== ====== Die SSL-Zertifikatskette auf Ihrem Webserver ======
  
  • Zuletzt geändert: vor 12 Monaten