Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:certificates [2022/08/01 09:06] Wolfgang Pempede:certificates [2022/08/22 11:19] – Überschrift für Schritt 6 (nach dem zweiten Mal 24h warten) eingefügt Thorsten Michels
Zeile 20: Zeile 20:
 === Zertifikate der DFN-PKI === === Zertifikate der DFN-PKI ===
 Siehe hierzu unter https://www.pki.dfn.de/dfn-aai-zertifikate/. Für die SAML-basierte Kommunikation empfehlen sich 3 Jahre gültige Zertifikate aus der [[https://www.pki.dfn.de/dfn-verein-community-pki|DFN-Verein Community PKI]]. Siehe hierzu unter https://www.pki.dfn.de/dfn-aai-zertifikate/. Für die SAML-basierte Kommunikation empfehlen sich 3 Jahre gültige Zertifikate aus der [[https://www.pki.dfn.de/dfn-verein-community-pki|DFN-Verein Community PKI]].
-Wenn Sie berechtigt sind, Zertifikate von der DFN-PKI zu beantragen, wählen Sie bei der Beantragung bitte das Profil "Shibboleth IdP SP" aus. Dieses Server-Zertifikat laden Sie in der Metadatenverwaltung hoch.+Wenn Sie berechtigt sind, Zertifikate von der DFN-PKI zu beantragen, wählen Sie bei der Beantragung bitte das Profil "Shibboleth IdP SP" aus. Dieses Zertifikat laden Sie in der Metadatenverwaltung hoch.
  
 \\ \\
Zeile 65: Zeile 65:
  
 == Letsencrypt == == Letsencrypt ==
-Für die Signierung und Verschlüsselung der SAML-Komunikation raten wir dringend von Letsenycrpt-Zertifikaten ab, da diese nur eine Gültigkeit von 90 Tagen haben. Ein Zertifikats-Rollover müsste jedes Mal manuell in der Metadatenverwaltung erfolgen. Auch die SP-Konfiguration muss beim Rollover 2x geändert werden. Wir empfehlen daher den Einsatz selbst-signierter Zertifikate.+Für die Signierung und Verschlüsselung der SAML-Komunikation raten wir dringend von Letsenycrpt-Zertifikaten ab, da diese nur eine Gültigkeit von 90 Tagen haben. Ein Zertifikats-Rollover müsste jedes Mal manuell in der Metadatenverwaltung erfolgen. Auch die SP-Konfiguration muss beim Rollover 2x geändert werden. Wir empfehlen daher den Einsatz selbst-signierter Zertifikate oder solcher aus der DFN-Verein Community PKI (siehe oben).
  
 **Nächster Schritt:** [[de:functionaltest|Funktionstests]] **Nächster Schritt:** [[de:functionaltest|Funktionstests]]
Zeile 185: Zeile 185:
   * Starten Sie den Dienst ''shibd'' neu:<code bash>root@sp:~ # systemctl restart shibd</code>   * Starten Sie den Dienst ''shibd'' neu:<code bash>root@sp:~ # systemctl restart shibd</code>
   * Jetzt können Sie gleich das alte Zertifikat aus den Metadaten des SP herausnehmen. **Warten** Sie dann erneut bis zu 24 Stunden (sicher ist sicher), bis sich die Änderung in der DFN-AAI bzw. in eduGAIN herumgesprochen hat.   * Jetzt können Sie gleich das alte Zertifikat aus den Metadaten des SP herausnehmen. **Warten** Sie dann erneut bis zu 24 Stunden (sicher ist sicher), bis sich die Änderung in der DFN-AAI bzw. in eduGAIN herumgesprochen hat.
-  * Entfernen Sie das alte Zertifikat aus der SP-Konfiguration, indem Sie entweder löschen oder auskommentieren:<code xml>+ 
 +=== Schritt 6 beim Zertifikatswechel des SP: Zertifikate für SAML-Kommunikation tauschen === 
 + 
 +  * Entfernen Sie das alte Zertifikat aus der SP-Konfiguration, indem Sie es entweder löschen oder auskommentieren:<code xml>
     <CredentialResolver type="Chaining">     <CredentialResolver type="Chaining">
         <!-- neues Zertifikat -->             <!-- neues Zertifikat -->    
  • Zuletzt geändert: vor 4 Wochen