Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:shibidp3config-zertifikate [2017/02/24 17:56] – Raoul Gunnar Borenius | de:shibidp3config-zertifikate [2021/05/03 13:56] (aktuell) – veralteten Inhalt gelöscht Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====Zertifikate==== | ||
- | |||
- | Sofern Sie erfolgreich Attribute übertragen konnten sollten Sie jetzt als nächstes auf DFN-PKI-Zertifikate wechseln. | ||
- | |||
- | Die bei der Installation erzeugten Private Keys und zugehörigen selbst-signierten Zertifikate müssen für den späteren Produktionsbetrieb gegen DFN-PKI-Zertifikate ausgetauscht werden. Wir empfehlen die Verwendung der selben Key- und Zertifikats-Files, | ||
- | |||
- | Unter Debian/ | ||
- | |||
- | <file ini / | ||
- | # ... | ||
- | # Settings for public/ | ||
- | # During decryption key rollover, point the " | ||
- | # keypair, uncomment in credentials.xml, | ||
- | idp.signing.key= / | ||
- | idp.signing.cert= / | ||
- | idp.encryption.key= / | ||
- | idp.encryption.cert= / | ||
- | # | ||
- | # | ||
- | # ... | ||
- | </ | ||
- | |||
- | * das Format der Zert-Datei muss PEM sein, DER funktioniert nicht! | ||
- | * in den PEM-Dateien dürfen keine Kommentare enthalten, sie müssen in der ersten Zeile mit " | ||
- | * in den PEM-Dateien dürfen am Ende der Zeilen keine Blanks oder andere unsichtbare Zeichen sein | ||
- | * Bitte darauf achten, dass die PEM-Dateien vom Tomcat-User gelesen werden dürfen! | ||
- | * die private-key-Datei darf nicht mit einer Passphrase verschlüsselt sein! | ||
- | |||
- | |||
- | Auf Debian/ | ||
- | Der Tomcat-User muss also Mitglied dieser Gruppe sein, siehe die entsprechenden [[https:// | ||
- | zur Vorbereitung der Systemumgebung in diesem Wiki]] und auch im Shibboleth Wiki unter [[https:// | ||
- | |||
- | Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): | ||
- | <code bash> | ||
- | root@idp:/ | ||
- | </ | ||
- | |||
- | **Wichtig**: | ||
- | |||
- | * **Denken Sie daran, das neue Zertifikat in der DFN-AAI-Metadatenverwaltung einzutragen. Dort sind zunächst die bei der Installation generierten selbst-signierten Zertifikate eingetragen worden.** Am besten löschen Sie dort alle (sechs!) Zertifikatsinstanzen und tragen danach das neue Zertifikat nur noch zweimal ein: einmal im Abschnitt "IdP Single Sign On Descriptor" | ||
- | * **Warten Sie dann zwei Stunden bis die neuen Zertifkate in die DFN-AAI-Test-Metadaten aufgenommen worden sind und testen Sie nochmal die Attribut-Freigaben mithilfe der DFN-Test-SPs!** | ||
- | * Die Datei./ | ||
- | |||
- | ** Weiter geht's mit der [[de: | ||