Um die Signatur der Föderationsmetadaten validieren zu können müssen Sie das entsprechende Zertfikat von DFN-AAI Portal herunterladen und z.B. unter /etc/ssl/aai/dfn-aai.pem ablegen. Der (SHA2) Fingerprint ist unter https://www.aai.dfn.de/teilnahme/metadaten/ dokumentiert

root@idp:~# mkdir /etc/ssl/aai/
root@idp:~# cd /etc/ssl/aai/
root@idp:/etc/ssl/aai# wget https://www.aai.dfn.de/fileadmin/metadata/dfn-aai.pem

Falls noch nicht geschehen, OpenSSL installieren (um später Zertifkat auf dem System verwalten zu können):

root@idp:~# apt-get install openssl

Diese sind erst beim Übergang in den Produktionsbetrieb zwingend erforderlich! Daher empfehlen wir zunächst mit den bei Shibboleth mitgelieferten bzw. bei der Installation automatisch generierten Zertifikaten zu testen.

Wenn Sie die Tests in der DFN-AAI-Test abgeschlossen haben und mit der Konfigurtion des IdPs vertraut sind, ist ein Austausch der Zertifikate dann schnell gemacht.

An dieser Stelle aber schon einmal der Hinweis dass Sie beim Beantragen des Zertifikats daran denken sollten das Zertifikatsprofile „Shibboleth IdP/SP“ auszuwählen damit das Zertifikat für alle SAML-Funktionen eingesetzt werden kann. Mit diesem Profil kann das selbe Zertifikat auch problemlos im Webserver verwendet werden. Zur Erstellung eines Zertifikatrequests siehe die FAQ der DFN-PKI.