Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp3config-zertifikate [2017/02/24 15:15] – angelegt Raoul Gunnar Borenius | de:shibidp3config-zertifikate [2020/04/16 08:57] – Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====Zertifikate==== | + | ======Zertifikate====== |
Sofern Sie erfolgreich Attribute übertragen konnten sollten Sie jetzt als nächstes auf DFN-PKI-Zertifikate wechseln. | Sofern Sie erfolgreich Attribute übertragen konnten sollten Sie jetzt als nächstes auf DFN-PKI-Zertifikate wechseln. | ||
Zeile 5: | Zeile 5: | ||
Die bei der Installation erzeugten Private Keys und zugehörigen selbst-signierten Zertifikate müssen für den späteren Produktionsbetrieb gegen DFN-PKI-Zertifikate ausgetauscht werden. Wir empfehlen die Verwendung der selben Key- und Zertifikats-Files, | Die bei der Installation erzeugten Private Keys und zugehörigen selbst-signierten Zertifikate müssen für den späteren Produktionsbetrieb gegen DFN-PKI-Zertifikate ausgetauscht werden. Wir empfehlen die Verwendung der selben Key- und Zertifikats-Files, | ||
- | Unter Debian/ | + | Unter Debian/ |
<file ini / | <file ini / | ||
Zeile 24: | Zeile 24: | ||
* in den PEM-Dateien dürfen keine Kommentare enthalten, sie müssen in der ersten Zeile mit " | * in den PEM-Dateien dürfen keine Kommentare enthalten, sie müssen in der ersten Zeile mit " | ||
* in den PEM-Dateien dürfen am Ende der Zeilen keine Blanks oder andere unsichtbare Zeichen sein | * in den PEM-Dateien dürfen am Ende der Zeilen keine Blanks oder andere unsichtbare Zeichen sein | ||
- | * Bitte darauf achten, dass die PEM-Dateien vom Tomcat-User gelesen werden dürfen! | ||
* die private-key-Datei darf nicht mit einer Passphrase verschlüsselt sein! | * die private-key-Datei darf nicht mit einer Passphrase verschlüsselt sein! | ||
+ | ** Bitte darauf achten, dass die PEM-Dateien vom Tomcat-User gelesen werden dürfen ** | ||
- | Auf Debian/Ubuntu-Systemen sind die Private Keys nur für Mitglieder der Gruppe ' | + | Damit der IdP (der im Tomcat und damit mit den Berechtigungen des Tomcat-Users läuft) Zugriff auf die Dateien |
- | Der Tomcat-User muss also Mitglied dieser | + | unterhalb von /etc/ |
- | zur Vorbereitung der Systemumgebung in diesem Wiki]] und auch im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/IDP30/SecurityConfiguration|SecurityConfiguration]]. | + | werden: |
+ | |||
+ | <code bash> | ||
+ | root@idp:~# usermod | ||
+ | </ | ||
+ | |||
+ | Das Verzeichnis ''/ | ||
+ | <code bash> | ||
+ | root@idp:~# chown -R root: | ||
+ | </ | ||
+ | |||
+ | Der private Schlüssel soll für '' | ||
+ | <code bash> | ||
+ | root@idp:~# chmod 0640 /etc/ssl/ | ||
+ | </code> | ||
+ | |||
+ | So sehen die Dateirechte auf dem privaten Schlüssel aus: | ||
+ | <code bash> | ||
+ | root@idp:~# ls -la /etc/ssl/ | ||
+ | -rw-r----- 1 root ssl-cert 3272 May 31 12:56 /etc/ssl/private/idp-dev.uni-beispiel.de.key.pem | ||
+ | </ | ||
Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): | Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): | ||
<code bash> | <code bash> | ||
- | root@idp:/ | + | root@idp:/ |
</ | </ | ||
Zeile 40: | Zeile 60: | ||
* **Denken Sie daran, das neue Zertifikat in der DFN-AAI-Metadatenverwaltung einzutragen. Dort sind zunächst die bei der Installation generierten selbst-signierten Zertifikate eingetragen worden.** Am besten löschen Sie dort alle (sechs!) Zertifikatsinstanzen und tragen danach das neue Zertifikat nur noch zweimal ein: einmal im Abschnitt "IdP Single Sign On Descriptor" | * **Denken Sie daran, das neue Zertifikat in der DFN-AAI-Metadatenverwaltung einzutragen. Dort sind zunächst die bei der Installation generierten selbst-signierten Zertifikate eingetragen worden.** Am besten löschen Sie dort alle (sechs!) Zertifikatsinstanzen und tragen danach das neue Zertifikat nur noch zweimal ein: einmal im Abschnitt "IdP Single Sign On Descriptor" | ||
- | * **Warten Sie dann zwei Stunden bis die neuen Zertifkate in die DFN-AAI-Test-Metadaten aufgenommen worden sind und testen Sie nochmal die Attribut-Freigaben | + | * **Warten Sie dann zwei Stunden bis die neuen Zertifkate in die DFN-AAI-Test-Metadaten aufgenommen worden sind und testen Sie nochmal die Attribut-Freigaben |
- | * Die Datei./ | + | * Die Datei./ |
- | + | ||
- | ====Weiterführende Konfiguration==== | + | |
- | Weiter geht's mit dem Webseiten-Layout auf der [[de:shibidp3web|Layout-Seite]]. | + | ** Weiter geht's mit der [[de:shibidp3i18n|Internationalisierung]] der IdP-Webseiten. ** |
+ | {{tag> |