Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Nächste Überarbeitung Beide Seiten der Revision
de:shibidp3config-zertifikate [2017/03/12 02:13]
Wolfgang Pempe
de:shibidp3config-zertifikate [2017/04/13 12:03]
Raoul Gunnar Borenius
Zeile 5: Zeile 5:
 Die bei der Installation erzeugten Private Keys und zugehörigen selbst-signierten Zertifikate müssen für den späteren Produktionsbetrieb gegen DFN-PKI-Zertifikate ausgetauscht werden. Wir empfehlen die Verwendung der selben Key- und Zertifikats-Files,​ die bereits für den Webserver verwendet werden, damit das Key-Handling nicht zu unübersichtlich wird. Die bei der Installation erzeugten Private Keys und zugehörigen selbst-signierten Zertifikate müssen für den späteren Produktionsbetrieb gegen DFN-PKI-Zertifikate ausgetauscht werden. Wir empfehlen die Verwendung der selben Key- und Zertifikats-Files,​ die bereits für den Webserver verwendet werden, damit das Key-Handling nicht zu unübersichtlich wird.
  
-Unter Debian/​Ubuntu liegen diese Files typischerweise unter /etc/ssl, bei anderen Systemen bitte entsprechend anpassen:+Unter Debian/​Ubuntu liegen diese Files typischerweise unter /etc/ssl:
  
 <file ini /​opt/​shibboleth-idp/​conf/​idp.properties>​ <file ini /​opt/​shibboleth-idp/​conf/​idp.properties>​
Zeile 24: Zeile 24:
   * in den PEM-Dateien dürfen keine Kommentare enthalten, sie müssen in der ersten Zeile mit "​-----BEGIN"​ anfangen   * in den PEM-Dateien dürfen keine Kommentare enthalten, sie müssen in der ersten Zeile mit "​-----BEGIN"​ anfangen
   * in den PEM-Dateien dürfen am Ende der Zeilen keine Blanks oder andere unsichtbare Zeichen sein   * in den PEM-Dateien dürfen am Ende der Zeilen keine Blanks oder andere unsichtbare Zeichen sein
-  * Bitte darauf achten, dass die PEM-Dateien vom Tomcat-User gelesen werden dürfen! 
   * die private-key-Datei darf nicht mit einer Passphrase verschlüsselt sein!   * die private-key-Datei darf nicht mit einer Passphrase verschlüsselt sein!
  
 +** Bitte darauf achten, dass die PEM-Dateien vom Tomcat-User gelesen werden dürfen **
  
-Auf Debian/Ubuntu-Systemen sind die Private Keys nur für Mitglieder der Gruppe '​ssl-cert' ​lesbar. +Damit der IdP (der im Tomcat und damit mit den Berechtigungen des Tomcat-Users läuft) Zugriff auf die Dateien 
-Der Tomcat-User muss also Mitglied dieser Gruppe sein, siehe die entsprechenden [[https://​wiki.aai.dfn.de/​de:shibidp3prepare#servlet_container|Hinweise +unterhalb von /etc/​ssl/​private bekommt muss er (unter Debian und Ubuntu) in die Gruppe '​ssl-cert' ​aufgenommen 
-zur Vorbereitung der Systemumgebung in diesem Wiki]] und auch im Shibboleth Wiki unter [[https://wiki.shibboleth.net/​confluence/​display/​IDP30/​SecurityConfiguration|SecurityConfiguration]].+werden: 
 + 
 +<code bash> 
 +root@idp:~usermod -aG ssl-cert tomcat8 
 +</code> 
 + 
 +FIXME: RedHat/SuSE
  
 Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):​ Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):​
 <code bash> <code bash>
-root@idp:/​opt/​shibboleth-idp# ​service tomcat8 ​restart+root@idp:/​opt/​shibboleth-idp# ​systemctl ​restart ​tomcat8
 </​code>​ </​code>​
  
  • Zuletzt geändert: vor 3 Monaten