Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung Beide Seiten der Revision
de:shibidp3config-zertifikate [2017/03/13 15:31]
Raoul Gunnar Borenius
de:shibidp3config-zertifikate [2017/04/13 12:03]
Raoul Gunnar Borenius
Zeile 5: Zeile 5:
 Die bei der Installation erzeugten Private Keys und zugehörigen selbst-signierten Zertifikate müssen für den späteren Produktionsbetrieb gegen DFN-PKI-Zertifikate ausgetauscht werden. Wir empfehlen die Verwendung der selben Key- und Zertifikats-Files,​ die bereits für den Webserver verwendet werden, damit das Key-Handling nicht zu unübersichtlich wird. Die bei der Installation erzeugten Private Keys und zugehörigen selbst-signierten Zertifikate müssen für den späteren Produktionsbetrieb gegen DFN-PKI-Zertifikate ausgetauscht werden. Wir empfehlen die Verwendung der selben Key- und Zertifikats-Files,​ die bereits für den Webserver verwendet werden, damit das Key-Handling nicht zu unübersichtlich wird.
  
-Unter Debian/​Ubuntu liegen diese Files typischerweise unter /etc/ssl, bei anderen Systemen bitte entsprechend anpassen:+Unter Debian/​Ubuntu liegen diese Files typischerweise unter /etc/ssl:
  
 <file ini /​opt/​shibboleth-idp/​conf/​idp.properties>​ <file ini /​opt/​shibboleth-idp/​conf/​idp.properties>​
Zeile 24: Zeile 24:
   * in den PEM-Dateien dürfen keine Kommentare enthalten, sie müssen in der ersten Zeile mit "​-----BEGIN"​ anfangen   * in den PEM-Dateien dürfen keine Kommentare enthalten, sie müssen in der ersten Zeile mit "​-----BEGIN"​ anfangen
   * in den PEM-Dateien dürfen am Ende der Zeilen keine Blanks oder andere unsichtbare Zeichen sein   * in den PEM-Dateien dürfen am Ende der Zeilen keine Blanks oder andere unsichtbare Zeichen sein
-  * Bitte darauf achten, dass die PEM-Dateien vom Tomcat-User gelesen werden dürfen! 
   * die private-key-Datei darf nicht mit einer Passphrase verschlüsselt sein!   * die private-key-Datei darf nicht mit einer Passphrase verschlüsselt sein!
  
 +** Bitte darauf achten, dass die PEM-Dateien vom Tomcat-User gelesen werden dürfen **
  
-Auf Debian/Ubuntu-Systemen sind die Private Keys nur für Mitglieder der Gruppe '​ssl-cert' ​lesbar. +Damit der IdP (der im Tomcat und damit mit den Berechtigungen des Tomcat-Users läuft) Zugriff auf die Dateien 
-Der Tomcat-User muss also Mitglied dieser Gruppe sein, siehe die entsprechenden [[https://​wiki.aai.dfn.de/​de:shibidp3prepare#servlet_container|Hinweise +unterhalb von /etc/​ssl/​private bekommt muss er (unter Debian und Ubuntu) in die Gruppe '​ssl-cert' ​aufgenommen 
-zur Vorbereitung der Systemumgebung in diesem Wiki]] und auch im Shibboleth Wiki unter [[https://wiki.shibboleth.net/​confluence/​display/​IDP30/​SecurityConfiguration|SecurityConfiguration]].+werden: 
 + 
 +<code bash> 
 +root@idp:~usermod -aG ssl-cert tomcat8 
 +</code> 
 + 
 +FIXME: RedHat/SuSE
  
 Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):​ Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):​
  • Zuletzt geändert: vor 5 Tagen