Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		 Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
de:shibidp3config-zertifikate [2017/02/24 15:10] – angelegt Raoul Gunnar Boreniusde:shibidp3config-zertifikate [2021/04/26 14:53] – als deprecated markiert Silke Meyer
Zeile 1: Zeile 1:
-====Zertifikate==== +======Zertifikate====== 
 +<callout color="#ff9900" title="Veraltete IdP-Version!"> 
 +</callout>
 Sofern Sie erfolgreich Attribute übertragen konnten sollten Sie jetzt als nächstes auf DFN-PKI-Zertifikate wechseln. Sofern Sie erfolgreich Attribute übertragen konnten sollten Sie jetzt als nächstes auf DFN-PKI-Zertifikate wechseln.
  
 Die bei der Installation erzeugten Private Keys und zugehörigen selbst-signierten Zertifikate müssen für den späteren Produktionsbetrieb gegen DFN-PKI-Zertifikate ausgetauscht werden. Wir empfehlen die Verwendung der selben Key- und Zertifikats-Files, die bereits für den Webserver verwendet werden, damit das Key-Handling nicht zu unübersichtlich wird. Die bei der Installation erzeugten Private Keys und zugehörigen selbst-signierten Zertifikate müssen für den späteren Produktionsbetrieb gegen DFN-PKI-Zertifikate ausgetauscht werden. Wir empfehlen die Verwendung der selben Key- und Zertifikats-Files, die bereits für den Webserver verwendet werden, damit das Key-Handling nicht zu unübersichtlich wird.
  
-Unter Debian/Ubuntu liegen diese Files typischerweise unter /etc/ssl, bei anderen Systemen bitte entsprechend anpassen:+Unter Debian/Ubuntu liegen diese Files typischerweise unter /etc/ssl:
  
 <file ini /opt/shibboleth-idp/conf/idp.properties> <file ini /opt/shibboleth-idp/conf/idp.properties>
Zeile 24: Zeile 25:
   * in den PEM-Dateien dürfen keine Kommentare enthalten, sie müssen in der ersten Zeile mit "-----BEGIN" anfangen   * in den PEM-Dateien dürfen keine Kommentare enthalten, sie müssen in der ersten Zeile mit "-----BEGIN" anfangen
   * in den PEM-Dateien dürfen am Ende der Zeilen keine Blanks oder andere unsichtbare Zeichen sein   * in den PEM-Dateien dürfen am Ende der Zeilen keine Blanks oder andere unsichtbare Zeichen sein
-  * Bitte darauf achten, dass die PEM-Dateien vom Tomcat-User gelesen werden dürfen! 
   * die private-key-Datei darf nicht mit einer Passphrase verschlüsselt sein!   * die private-key-Datei darf nicht mit einer Passphrase verschlüsselt sein!
  
 +** Bitte darauf achten, dass die PEM-Dateien vom Tomcat-User gelesen werden dürfen **
  
-Auf Debian/Ubuntu-Systemen sind die Private Keys nur für Mitglieder der Gruppe 'ssl-cert' lesbar. +Damit der IdP (der im Tomcat und damit mit den Berechtigungen des Tomcat-Users läuft) Zugriff auf die Dateien 
-Der Tomcat-User muss also Mitglied dieser Gruppe sein, siehe die entsprechenden [[https://wiki.aai.dfn.de/de:shibidp3prepare#servlet_container|Hinweise +unterhalb von /etc/ssl/private bekommt muss er (unter Debian und Ubuntu) in die Gruppe 'ssl-cert' aufgenommen 
-zur Vorbereitung der Systemumgebung in diesem Wiki]] und auch im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/IDP30/SecurityConfiguration|SecurityConfiguration]].+werden: 
 + 
 +<code bash> 
 +root@idp:~# usermod -aG ssl-cert $( getent passwd | grep ^tomcat | cut -d ":" -f1 ) 
 +</code> 
 + 
 +Das Verzeichnis ''/etc/ssl/private'' und sein Inhalt sollen dem User ''root'' und der Gruppe ''ssl-cert'' gehören: 
 +<code bash> 
 +root@idp:~# chown -R root:ssl-cert /etc/ssl/private 
 +</code> 
 + 
 +Der private Schlüssel soll für ''root'' les- und schreibbar sein, für die Gruppe ''ssl-cert'' nur lesbar, andere haben dort keine Rechte: 
 +<code bash> 
 +root@idp:~# chmod 0640 /etc/ssl/private/idp-dev.uni-beispiel.de.key.pem 
 +</code> 
 + 
 +So sehen die Dateirechte auf dem privaten Schlüssel aus
 +<code bash> 
 +root@idp:~# ls -la /etc/ssl/private/idp-dev.uni-beispiel.de.key.pem  
 +-rw-r----- 1 root ssl-cert 3272 May 31 12:56 /etc/ssl/private/idp-dev.uni-beispiel.de.key.pem 
 +</code>
  
 Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):
 <code bash> <code bash>
-root@idp:/opt/shibboleth-idp# service tomcat8 restart+root@idp:/opt/shibboleth-idp# systemctl restart tomcat[8|9]
 </code> </code>
  
Zeile 40: Zeile 61:
  
   * **Denken Sie daran, das neue Zertifikat in der DFN-AAI-Metadatenverwaltung einzutragen. Dort sind zunächst die bei der Installation generierten selbst-signierten Zertifikate eingetragen worden.** Am besten löschen Sie dort alle (sechs!) Zertifikatsinstanzen und tragen danach das neue Zertifikat nur noch zweimal ein: einmal im Abschnitt "IdP Single Sign On Descriptor" und einmal im Abschnitt "Attribute Authority Descriptor". In beiden Fällen lassen Sie dabei das Feld "Verwendungszweck" leer. Dieses wird nur für Spezialfälle gebraucht.   * **Denken Sie daran, das neue Zertifikat in der DFN-AAI-Metadatenverwaltung einzutragen. Dort sind zunächst die bei der Installation generierten selbst-signierten Zertifikate eingetragen worden.** Am besten löschen Sie dort alle (sechs!) Zertifikatsinstanzen und tragen danach das neue Zertifikat nur noch zweimal ein: einmal im Abschnitt "IdP Single Sign On Descriptor" und einmal im Abschnitt "Attribute Authority Descriptor". In beiden Fällen lassen Sie dabei das Feld "Verwendungszweck" leer. Dieses wird nur für Spezialfälle gebraucht.
-  * **Warten Sie dann zwei Stunden bis die neuen Zertifkate in die DFN-AAI-Test-Metadaten aufgenommen worden sind und testen Sie nochmal die Attribut-Freigaben wie oben beschrieben!** +  * **Warten Sie dann zwei Stunden bis die neuen Zertifkate in die DFN-AAI-Test-Metadaten aufgenommen worden sind und testen Sie nochmal die Attribut-Freigaben mithilfe der DFN-Test-SPs!** 
-  * Die Datei./metadata/idp-metadata.xml enthält nach wie vor die selbst-signierten Zertifikate, die bei der Installation automatisch generiert werden. Diese Datei wird nicht automatisch aktualisiert. Allerdings ist das insofern kein Problem, als sie für den Betrieb des IdP nicht erforderlich ist, sondern lediglich als Hilfsmittel zur Registrierung des IdP in einer Föderation gedacht ist. +  * Die Datei./metadata/idp-metadata.xml enthält nach wie vor die selbst-signierten Zertifikate, die bei der Installation automatisch generiert wurden. Diese Datei wird nicht automatisch aktualisiert. Allerdings ist das kein Problem, als sie für den Betrieb des IdP nicht erforderlich ist, sondern lediglich als Hilfsmittel zur initialen Registrierung des IdP in einer Föderation gedacht ist. Wir empfehlen diese Datei "in Ruhe" zu lassen.
- +
-====Weiterführende Konfiguration====+
  
-Weiter geht's mit dem Webseiten-Layout auf der [[de:shibidp3web|Layout-Seite]].+** Weiter geht's mit der [[de:shibidp3i18n|Internationalisierung]] der IdP-Webseiten** 
  
 +{{tag>idp3 deprecated}}