Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
de:shibidp3config-zertifikate [2017/03/12 02:13] Wolfgang Pempe |
de:shibidp3config-zertifikate [2017/04/13 12:03] Raoul Gunnar Borenius |
||
|---|---|---|---|
| Zeile 5: | Zeile 5: | ||
| Die bei der Installation erzeugten Private Keys und zugehörigen selbst-signierten Zertifikate müssen für den späteren Produktionsbetrieb gegen DFN-PKI-Zertifikate ausgetauscht werden. Wir empfehlen die Verwendung der selben Key- und Zertifikats-Files, die bereits für den Webserver verwendet werden, damit das Key-Handling nicht zu unübersichtlich wird. | Die bei der Installation erzeugten Private Keys und zugehörigen selbst-signierten Zertifikate müssen für den späteren Produktionsbetrieb gegen DFN-PKI-Zertifikate ausgetauscht werden. Wir empfehlen die Verwendung der selben Key- und Zertifikats-Files, die bereits für den Webserver verwendet werden, damit das Key-Handling nicht zu unübersichtlich wird. | ||
| - | Unter Debian/Ubuntu liegen diese Files typischerweise unter /etc/ssl, bei anderen Systemen bitte entsprechend anpassen: | + | Unter Debian/Ubuntu liegen diese Files typischerweise unter /etc/ssl: |
| <file ini /opt/shibboleth-idp/conf/idp.properties> | <file ini /opt/shibboleth-idp/conf/idp.properties> | ||
| Zeile 24: | Zeile 24: | ||
| * in den PEM-Dateien dürfen keine Kommentare enthalten, sie müssen in der ersten Zeile mit "-----BEGIN" anfangen | * in den PEM-Dateien dürfen keine Kommentare enthalten, sie müssen in der ersten Zeile mit "-----BEGIN" anfangen | ||
| * in den PEM-Dateien dürfen am Ende der Zeilen keine Blanks oder andere unsichtbare Zeichen sein | * in den PEM-Dateien dürfen am Ende der Zeilen keine Blanks oder andere unsichtbare Zeichen sein | ||
| - | * Bitte darauf achten, dass die PEM-Dateien vom Tomcat-User gelesen werden dürfen! | ||
| * die private-key-Datei darf nicht mit einer Passphrase verschlüsselt sein! | * die private-key-Datei darf nicht mit einer Passphrase verschlüsselt sein! | ||
| + | ** Bitte darauf achten, dass die PEM-Dateien vom Tomcat-User gelesen werden dürfen ** | ||
| - | Auf Debian/Ubuntu-Systemen sind die Private Keys nur für Mitglieder der Gruppe 'ssl-cert' lesbar. | + | Damit der IdP (der im Tomcat und damit mit den Berechtigungen des Tomcat-Users läuft) Zugriff auf die Dateien |
| - | Der Tomcat-User muss also Mitglied dieser Gruppe sein, siehe die entsprechenden [[https://wiki.aai.dfn.de/de:shibidp3prepare#servlet_container|Hinweise | + | unterhalb von /etc/ssl/private bekommt muss er (unter Debian und Ubuntu) in die Gruppe 'ssl-cert' aufgenommen |
| - | zur Vorbereitung der Systemumgebung in diesem Wiki]] und auch im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/IDP30/SecurityConfiguration|SecurityConfiguration]]. | + | werden: |
| + | |||
| + | <code bash> | ||
| + | root@idp:~# usermod -aG ssl-cert tomcat8 | ||
| + | </code> | ||
| + | |||
| + | FIXME: RedHat/SuSE | ||
| Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): | Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): | ||
| <code bash> | <code bash> | ||
| - | root@idp:/opt/shibboleth-idp# service tomcat8 restart | + | root@idp:/opt/shibboleth-idp# systemctl restart tomcat8 |
| </code> | </code> | ||
- Zuletzt geändert: vor 3 Monaten