Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:certificates [2021/02/10 09:17] – [Zertifikatstausch] Silke Meyer | de:certificates [2021/02/22 10:50] – [Zertifikatstausch] Silke Meyer | ||
---|---|---|---|
Zeile 69: | Zeile 69: | ||
=== Schritt 2: Beschaffung/ | === Schritt 2: Beschaffung/ | ||
- | == DFN-PKI == | + | === -- DFN-PKI |
Bei Fragen zur Erstellung von privaten Schlüsseln und Zertifikatsanträgen, | Bei Fragen zur Erstellung von privaten Schlüsseln und Zertifikatsanträgen, | ||
Zeile 90: | Zeile 90: | ||
* Sie bekommen Ihr neues Zertifikat per E-Mail von der DFN-PKI. | * Sie bekommen Ihr neues Zertifikat per E-Mail von der DFN-PKI. | ||
- | == Sonstige Zertifizierungsstellen bzw. CAs == | + | === -- Sonstige Zertifizierungsstellen bzw. CAs === |
Konsultieren Sie hierzu die Dokumentation des [[# | Konsultieren Sie hierzu die Dokumentation des [[# | ||
- | == Selbst-signierte Zertifikate == | + | === -- Selbst-signierte Zertifikate |
Selbst-signierte Zertifikate sind ausschließlich für die SAML-basierte Kommunikation geeignet! Sowohl Shibboleth IdP als auch Shibboleth SP werden mit einem '' | Selbst-signierte Zertifikate sind ausschließlich für die SAML-basierte Kommunikation geeignet! Sowohl Shibboleth IdP als auch Shibboleth SP werden mit einem '' | ||
* [[https:// | * [[https:// | ||
Zeile 116: | Zeile 116: | ||
=== Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen === | === Schritt 4 beim SP: Zertifikate für SAML-Kommunikation tauschen === | ||
Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel benötigt**, | Im Gegensatz zum IdP ist beim SP zu beachten, dass der **SP vorübergehend beide Zertifikate bzw. Schlüssel benötigt**, | ||
- | * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Es ist wichtig, dass der Benutzer, mit dessen Kennung der '' | + | * Legen Sie das neue Zertifikat, den privaten Schlüssel und ggf. die Zertifikatskette auf den Server. Es ist wichtig, dass der Benutzer, mit dessen Kennung der '' |
# Benutzerkennung feststellen: | # Benutzerkennung feststellen: | ||
- | root@sp # ps aux | grep shib | grep -v grep | + | root@sp:~ # ps aux | grep shib | grep -v grep |
_shibd | _shibd | ||
# Gruppenzugehörigkeiten nachschlagen: | # Gruppenzugehörigkeiten nachschlagen: | ||
- | root@sp # id _shibd | + | root@sp:~ # id _shibd |
uid=112(_shibd) gid=121(_shibd) groups=121(_shibd), | uid=112(_shibd) gid=121(_shibd) groups=121(_shibd), | ||
# Abgleich mit den neuen Dateien: | # Abgleich mit den neuen Dateien: | ||
Zeile 138: | Zeile 138: | ||
certificate="/ | certificate="/ | ||
</ | </ | ||
- | * Prüfen Sie die SP-Konfiguration:< | + | * Prüfen Sie die SP-Konfiguration:< |
- | root@sp # shibd -tc / | + | root@sp:~ # shibd -tc / |
overall configuration is loadable, check console for non-fatal problems | overall configuration is loadable, check console for non-fatal problems | ||
</ | </ | ||
- | * Starten Sie den Dienst '' | + | * Starten Sie den Dienst '' |
* Der Zwischenstand ist nun folgender: Der Service Provider kann SAML-Assertions entschlüsseln, | * Der Zwischenstand ist nun folgender: Der Service Provider kann SAML-Assertions entschlüsseln, | ||
- | * **Veröffentlichen Sie das neue Zertifikat zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten und warten Sie auch hier vorsichtshalber | + | * **Veröffentlichen Sie das neue Zertifikat zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten und warten Sie 24 Stunden mit dem nächsten Schritt.** |
* Konfigurieren Sie den SP um, so dass das neue Zertifikat an erster Stelle steht:< | * Konfigurieren Sie den SP um, so dass das neue Zertifikat an erster Stelle steht:< | ||
< | < | ||
Zeile 156: | Zeile 156: | ||
certificate="/ | certificate="/ | ||
</ | </ | ||
- | * Prüfen Sie die SP-Konfiguration:< | + | * Prüfen Sie die SP-Konfiguration:< |
- | root@sp # shibd -tc / | + | root@sp:~ # shibd -tc / |
overall configuration is loadable, check console for non-fatal problems | overall configuration is loadable, check console for non-fatal problems | ||
</ | </ | ||
- | * Starten Sie den Dienst '' | + | * Starten Sie den Dienst '' |
* Jetzt können Sie gleich das alte Zertifikat aus den Metadaten des SP herausnehmen. **Warten** Sie dann erneut bis zu 24 Stunden (sicher ist sicher), bis sich die Änderung in der DFN-AAI bzw. in eduGAIN herumgesprochen hat. | * Jetzt können Sie gleich das alte Zertifikat aus den Metadaten des SP herausnehmen. **Warten** Sie dann erneut bis zu 24 Stunden (sicher ist sicher), bis sich die Änderung in der DFN-AAI bzw. in eduGAIN herumgesprochen hat. | ||
* Entfernen Sie das alte Zertifikat aus der SP-Konfiguration, | * Entfernen Sie das alte Zertifikat aus der SP-Konfiguration, | ||
Zeile 175: | Zeile 175: | ||
--> | --> | ||
</ | </ | ||
- | * Prüfen Sie die SP-Konfiguration:< | + | * Prüfen Sie die SP-Konfiguration:< |
- | root@sp # shibd -tc / | + | root@sp:~ # shibd -tc / |
overall configuration is loadable, check console for non-fatal problems | overall configuration is loadable, check console for non-fatal problems | ||
</ | </ | ||
- | * Starten Sie den Dienst '' | + | * Starten Sie den Dienst '' |
=== Direkt verdrahtete IdPs/SPs === | === Direkt verdrahtete IdPs/SPs === |