Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp3prepare-http [2016/10/27 07:30] – angelegt Raoul Gunnar Borenius | de:shibidp3prepare-http [2019/08/15 13:45] – Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
===== IdP 3.x Vorarbeiten: | ===== IdP 3.x Vorarbeiten: | ||
- | ==== Apache 2.2 ==== | + | ** WICHTIG: Unabhängig vom Betriebsystem dürfen Sie nicht vergessen, die beiden TCP-Port 443 und 8443 für eingehende Zugriffe auf Ihrer vorgelagerten Firewall weltweit aufzumachen!** |
- | ===RHEL 6=== | + | ====RHEL 6/CentOS==== |
<code bash> | <code bash> | ||
- | yum install httpd mod_ssl | + | yum -y install httpd mod_ssl |
</ | </ | ||
- | ====Apache 2.4==== | + | ====SLES 11/12==== |
- | ===SLES 11/12=== | + | Da Apache als Frontend vor Tomcat 7.0 via AJP verwendet wird: in /etc/ |
- | Falls Apache 2.4 als Frontend vor Tomcat 7.0 via AJP verwendet wird: in / | + | ====Debian 8/9/10 ==== |
- | + | ||
- | ===Debian 8=== | + | |
<code bash> | <code bash> | ||
Zeile 21: | Zeile 19: | ||
</ | </ | ||
- | Für einen sicheren Betrieb werden weiterhin einige | + | Module |
<code bash> | <code bash> | ||
Zeile 31: | Zeile 29: | ||
Abschließend muss der Web Server neu gestartet werden | Abschließend muss der Web Server neu gestartet werden | ||
<code bash> | <code bash> | ||
- | root@idp: | + | root@idp: |
</ | </ | ||
+ | ==== Konfiguration ==== | ||
+ | |||
+ | Eine Anleitung zur Erstellung einer Zertifikatskette (s.u. SSLCACertificateFile) findet sich [[de: | ||
- | === Konfiguration | + | Im Mozilla-Wiki finden Sie Empfehlungen für eine [[https:// |
<file apache / | <file apache / | ||
Zeile 67: | Zeile 68: | ||
# | # | ||
< | < | ||
- | ServerName | + | ServerName |
SSLEngine on | SSLEngine on | ||
Zeile 79: | Zeile 80: | ||
Require all granted | Require all granted | ||
ProxyPass ajp:// | ProxyPass ajp:// | ||
- | # " | + | # " |
+ | # im Browser beim Logout über mehrere SPs, | ||
# da hierbei mit iframes gearbeitet wird | # da hierbei mit iframes gearbeitet wird | ||
Header always append X-FRAME-OPTIONS " | Header always append X-FRAME-OPTIONS " | ||
</ | </ | ||
+ | |||
+ | # Support für favicon.ico, | ||
+ | DocumentRoot / | ||
+ | < | ||
+ | Require all granted | ||
+ | </ | ||
</ | </ | ||
Zeile 96: | Zeile 104: | ||
# https:// | # https:// | ||
# | # | ||
+ | |||
+ | # Wenn Sie den Port 8443 nicht bereits an anderer Stelle angeschaltet haben, | ||
+ | # (z.B. bei Debian in / | ||
+ | # können Sie das hier manuell machen: | ||
Listen IDP-IP-ADRESSE: | Listen IDP-IP-ADRESSE: | ||
Listen [IDP-IPv6-ADRESSE]: | Listen [IDP-IPv6-ADRESSE]: | ||
< | < | ||
- | ServerName | + | ServerName |
SSLEngine on | SSLEngine on | ||
Zeile 106: | Zeile 118: | ||
SSLCertificateKeyFile | SSLCertificateKeyFile | ||
SSLCACertificateFile | SSLCACertificateFile | ||
- | SSLCACertificatePath | + | |
- | + | # Diese drei SSL-Optionen sind zwingend notwendig | |
- | # hier muss wegen veralteten SP-Clients (z.B. Thomson Reuters) eine etwas weniger strikte Konfiguration genommen | + | # damit SP-Abfragen auf diesen Port funktionieren! |
- | # werden als von bettercrypto.org empfohlen wird: | + | |
- | SSLCipherSuite ' | + | |
- | + | ||
- | # Diese drei SSL-Optionen sind zwingend notwendig damit SP-Abfragen auf diesen Port funktionieren! | + | |
# Details siehe Shibboleth-Wiki | # Details siehe Shibboleth-Wiki | ||
SSLVerifyClient | SSLVerifyClient | ||
Zeile 130: | Zeile 138: | ||
root@idp:~# service apache2 reload | root@idp:~# service apache2 reload | ||
</ | </ | ||
+ | |||
+ | Lassen Sie beim Reload des Apache den Apache-Error-Log in einem zweiten Fenster mitlaufen um etwaige Fehler oder Warnings sehen zu können: | ||
+ | |||
+ | <code bash> | ||
+ | root@idp:~# tail -f / | ||
+ | </ | ||
+ | |||
+ | === Testen der Verbindung Apache --> Tomcat === | ||
+ | |||
+ | Liest der Apache seine Config ohne Fehler ein, testen Sie bitte als nächstes die Weiterleitung von Apache auf den Tomcat indem Sie folgende URL aufrufen: | ||
+ | < | ||
+ | https:// | ||
+ | </ | ||
+ | |||
+ | Funktioniert die Weiterleitung, | ||
+ | Kommt eine Apache-Fehlermeldung (diese sollte dann auch im obigen Apache-Log erscheinen) dann stimmt die Apache-Configuration noch nicht! Bitte dann nochmal obige Punkte sorgfältig durchgehen. | ||
Anmerkungen: | Anmerkungen: | ||
* Achten Sie bitte darauf, dass sich die SSL-Direktiven tatsächlich in einem VirtualHost-Kontext befinden und **nicht** im Location-Kontext. (Mehr dazu im [[https:// | * Achten Sie bitte darauf, dass sich die SSL-Direktiven tatsächlich in einem VirtualHost-Kontext befinden und **nicht** im Location-Kontext. (Mehr dazu im [[https:// | ||
- | * stellen Sie sicher dass die grundsätzliche | + | * stellen Sie sicher dass die Apache-SSL-Konfiguration aktuellen Sicherheitsstandards entspricht! Details dazu übersteigen den Rahmen diese Anleitung. Hilfreiche Seiten: |
* [[https:// | * [[https:// | ||
* [[https:// | * [[https:// | ||
Zeile 140: | Zeile 164: | ||
* [[https:// | * [[https:// | ||
- | ===Windows=== | + | ====Windows==== |
Beispiel für eine Minimal-Konfiguration unter Windows (bereitgestellt von Thomas Glatzer, Uni Mainz): | Beispiel für eine Minimal-Konfiguration unter Windows (bereitgestellt von Thomas Glatzer, Uni Mainz): | ||
Zeile 242: | Zeile 266: | ||
SSLRandomSeed connect builtin | SSLRandomSeed connect builtin | ||
- | SSLProtocol | + | # SSLProtocol |
- | SSLCipherSuite | + | # SSLCipherSuite |
+ | # Nützliche Quelle: https:// | ||
SSLHonorCipherOrder On | SSLHonorCipherOrder On | ||
Zeile 314: | Zeile 339: | ||
</ | </ | ||
+ | |||
+ | |||
+ | Weiter geht es mit [[de: |