Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:certificates [2021/02/22 10:50] – [Zertifikatstausch] Silke Meyer | de:certificates [2021/07/13 15:43] – [Informationen für Service Provider] Keine Zertifikatsverifizierung mehr per Fax ;) Silke Meyer | ||
---|---|---|---|
Zeile 36: | Zeile 36: | ||
=== Selbst-signierte Zertifikate === | === Selbst-signierte Zertifikate === | ||
- | Die dritte Möglichkeit ist die Verwendung von selbst-signierten Zertifikaten mit einer Gültigkeitsdauer von maximal 39 Monaten. Wir empfehlen zur korrekten Erstellung die Dokumentation der [[https:// | + | Die dritte Möglichkeit ist die Verwendung von selbst-signierten Zertifikaten mit einer Gültigkeitsdauer von maximal 39 Monaten. Wir empfehlen zur korrekten Erstellung die Dokumentation der [[https:// |
- | * Stellen | + | * Schicken |
- | * Wenn Sie keine Möglichkeit haben, uns einen Download-Link zur Verfügung zu stellen, können Sie den Fingerprint des Server-Zertifikates telefonisch | + | * Alternativ können Sie uns das Zertifikat auf Ihrem Webserver zum **Download via https** bereitstellen |
+ | * Letzter Ausweg: | ||
< | < | ||
$ openssl x509 -noout -fingerprint -sha1 -in self-signed-server-cert.pem | $ openssl x509 -noout -fingerprint -sha1 -in self-signed-server-cert.pem | ||
$ openssl x509 -noout -fingerprint -sha256 -in self-signed-server-cert.pem | $ openssl x509 -noout -fingerprint -sha256 -in self-signed-server-cert.pem | ||
</ | </ | ||
- | * Sie können uns das Zertifikat auch in einer via S/MIME signierten E-Mail an [[hotline@aai.dfn.de|hotline@aai.dfn.de]] schicken. Die Zertifizierungsstelle, | + | |
- | | + | |
<callout color="# | <callout color="# | ||
Eine Ausnahme von den o.g. Regeln gilt bei SPs, die bereits in anderen Föderationen (mit anderen Zertifikats-Policies) registriert sind. In diesem Fall können die dort verwendeten Zertifikate auch für die DFN-AAI genutzt werden, auch wenn diese länger gültig sind. | Eine Ausnahme von den o.g. Regeln gilt bei SPs, die bereits in anderen Föderationen (mit anderen Zertifikats-Policies) registriert sind. In diesem Fall können die dort verwendeten Zertifikate auch für die DFN-AAI genutzt werden, auch wenn diese länger gültig sind. | ||
Zeile 103: | Zeile 103: | ||
* Starten Sie den Webserver neu. | * Starten Sie den Webserver neu. | ||
- | === Schritt 4 beim IdP: Zertifikate | + | === Schritt 4 beim IdP: Zertifikat |
- | | + | <callout color="# |
+ | **Veröffentlichen Sie das neue Zertifikat mindestens 24 Stunden vor dem eigentlichen Tausch | ||
+ | </ | ||
+ | * Ein unterbrechungsfreier Betrieb ist nur möglich, wenn alle Service Provider weiterhin mit dem IdP kommunizieren können. Die SPs müssen sich vorab das neue Zertifikat aus den aktualisierten Föderationsmetadaten geholt haben. Besonders, wenn Sie an eduGAIN teilnehmen, müssen Sie davon ausgehen, dass manche SPs dies nur einmal pro Tag tun. | ||
+ | * Wenn Sie bei der Erstellung des Zertifikatsantrags denselben privaten Schlüssel verwendet haben, den Sie auch für das ablaufende Zertifikat verwendet haben, ist die Veröffentlichung des neuen Zertifikates in Metadaten nicht so zeitkritisch. Das können Sie machen, wenn der Schlüssel nicht kompromittiert ist und nach wie vor den aktuellen technischen Anforderung entspricht. | ||
+ | |||
+ | === Schritt 5 beim IdP: Zertifikate für SAML-Kommunikation tauschen === | ||
* Aktualisieren Sie Zertifikat und privaten Schlüssel auf Ihrem IdP. Prüfen Sie, ob die Links in '' | * Aktualisieren Sie Zertifikat und privaten Schlüssel auf Ihrem IdP. Prüfen Sie, ob die Links in '' | ||
idp.signing.key= / | idp.signing.key= / | ||
Zeile 144: | Zeile 150: | ||
* Starten Sie den Dienst '' | * Starten Sie den Dienst '' | ||
* Der Zwischenstand ist nun folgender: Der Service Provider kann SAML-Assertions entschlüsseln, | * Der Zwischenstand ist nun folgender: Der Service Provider kann SAML-Assertions entschlüsseln, | ||
- | * **Veröffentlichen Sie das neue Zertifikat zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten und warten Sie 24 Stunden mit dem nächsten Schritt.** | + | <callout color="# |
+ | **Veröffentlichen Sie das neue Zertifikat zusätzlich zu dem alten Zertifikat in den Föderationsmetadaten und warten Sie 24 Stunden mit dem nächsten Schritt.** | ||
+ | </ | ||
+ | |||
+ | === Schritt 5 beim SP: Zertifikate für SAML-Kommunikation tauschen === | ||
* Konfigurieren Sie den SP um, so dass das neue Zertifikat an erster Stelle steht:< | * Konfigurieren Sie den SP um, so dass das neue Zertifikat an erster Stelle steht:< | ||
< | < |