Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:shibidp3config-zertifikate [2017/03/12 02:13] Wolfgang Pempede:shibidp3config-zertifikate [2019/09/12 16:33] Silke Meyer
Zeile 5: Zeile 5:
 Die bei der Installation erzeugten Private Keys und zugehörigen selbst-signierten Zertifikate müssen für den späteren Produktionsbetrieb gegen DFN-PKI-Zertifikate ausgetauscht werden. Wir empfehlen die Verwendung der selben Key- und Zertifikats-Files, die bereits für den Webserver verwendet werden, damit das Key-Handling nicht zu unübersichtlich wird. Die bei der Installation erzeugten Private Keys und zugehörigen selbst-signierten Zertifikate müssen für den späteren Produktionsbetrieb gegen DFN-PKI-Zertifikate ausgetauscht werden. Wir empfehlen die Verwendung der selben Key- und Zertifikats-Files, die bereits für den Webserver verwendet werden, damit das Key-Handling nicht zu unübersichtlich wird.
  
-Unter Debian/Ubuntu liegen diese Files typischerweise unter /etc/ssl, bei anderen Systemen bitte entsprechend anpassen:+Unter Debian/Ubuntu liegen diese Files typischerweise unter /etc/ssl:
  
 <file ini /opt/shibboleth-idp/conf/idp.properties> <file ini /opt/shibboleth-idp/conf/idp.properties>
Zeile 24: Zeile 24:
   * in den PEM-Dateien dürfen keine Kommentare enthalten, sie müssen in der ersten Zeile mit "-----BEGIN" anfangen   * in den PEM-Dateien dürfen keine Kommentare enthalten, sie müssen in der ersten Zeile mit "-----BEGIN" anfangen
   * in den PEM-Dateien dürfen am Ende der Zeilen keine Blanks oder andere unsichtbare Zeichen sein   * in den PEM-Dateien dürfen am Ende der Zeilen keine Blanks oder andere unsichtbare Zeichen sein
-  * Bitte darauf achten, dass die PEM-Dateien vom Tomcat-User gelesen werden dürfen! 
   * die private-key-Datei darf nicht mit einer Passphrase verschlüsselt sein!   * die private-key-Datei darf nicht mit einer Passphrase verschlüsselt sein!
  
 +** Bitte darauf achten, dass die PEM-Dateien vom Tomcat-User gelesen werden dürfen **
  
-Auf Debian/Ubuntu-Systemen sind die Private Keys nur für Mitglieder der Gruppe 'ssl-cert' lesbar. +Damit der IdP (der im Tomcat und damit mit den Berechtigungen des Tomcat-Users läuft) Zugriff auf die Dateien 
-Der Tomcat-User muss also Mitglied dieser Gruppe sein, siehe die entsprechenden [[https://wiki.aai.dfn.de/de:shibidp3prepare#servlet_container|Hinweise +unterhalb von /etc/ssl/private bekommt muss er (unter Debian und Ubuntu) in die Gruppe 'ssl-cert' aufgenommen 
-zur Vorbereitung der Systemumgebung in diesem Wiki]] und auch im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/IDP30/SecurityConfiguration|SecurityConfiguration]].+werden: 
 + 
 +<code bash> 
 +root@idp:~usermod -aG ssl-cert tomcat8 
 +</code> 
 + 
 +FIXME: RedHat/SuSE
  
 Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):
 <code bash> <code bash>
-root@idp:/opt/shibboleth-idp# service tomcat8 restart+root@idp:/opt/shibboleth-idp# systemctl restart tomcat[8|9]
 </code> </code>