Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp:config-zertifikate [2023/03/06 16:49] – [Zertifikate für die SAML-basierte Kommunikation] Update: zu verwendende Zert. für SAML Silke Meyerde:shibidp:config-zertifikate [2024/06/25 15:31] (aktuell) – [Lesezugriff des Tomcat-Users] Doreen Liebenau
Zeile 10: Zeile 10:
   * Der private Schlüssel //darf nicht// mit einer Passphrase verschlüsselt sein.   * Der private Schlüssel //darf nicht// mit einer Passphrase verschlüsselt sein.
  
-===== Eintragen der DFN-PKI-Zertifikate im IdP =====+===== Eintragen der Zertifikate im IdP =====
  
 Unter Debian/Ubuntu liegen diese Dateien typischerweise unter ''/etc/ssl''. Tragen Sie sie in ''./conf/idp.properties'' ein. Unter Debian/Ubuntu liegen diese Dateien typischerweise unter ''/etc/ssl''. Tragen Sie sie in ''./conf/idp.properties'' ein.
Zeile 49: Zeile 49:
 Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):
 <code bash> <code bash>
-root@idp:/opt/shibboleth-idp# systemctl restart tomcat9+root@idp:/opt/shibboleth-idp# systemctl restart tomcat10
 </code> </code>
  
 ===== Eintragen des neuen Zertifikats in der Metadatenverwaltung ===== ===== Eintragen des neuen Zertifikats in der Metadatenverwaltung =====
  
-Das DFN-PKI-Zertifikat muss nun noch in die veröffentlichten Metadaten des IdP eingetragen werden. Dort steht jetzt noch das bei der Installation generierte selbst-signierte Zertifikat. +Das Zertifikat für die SAML-Kommunikation muss nun noch in die veröffentlichten Metadaten des IdP eingetragen werden. Dort steht jetzt noch das bei der Installation generierte selbst-signierte Zertifikat. 
-  * Gehen Sie in die [[https://www.aai.dfn.de/verwaltung|Metadatenverwaltung]]. Löschen in den IdP-Metadaten zunächst alle eingetragenen Zertifikatsinstanzen.+  * Gehen Sie in die [[https://mdv.aai.dfn.de/|Metadatenverwaltung]]. Löschen in den IdP-Metadaten zunächst alle eingetragenen Zertifikatsinstanzen.
   * Tragen Sie das neue Zertifikat zweimal ein: einmal im Abschnitt "IdP Single Sign On Descriptor" und einmal im Abschnitt "Attribute Authority Descriptor". In beiden Fällen lassen Sie dabei das Feld "Verwendungszweck" leer. So wird dasselbe Zertifikat für Signierung //und// Verschlüsselung verwendet.   * Tragen Sie das neue Zertifikat zweimal ein: einmal im Abschnitt "IdP Single Sign On Descriptor" und einmal im Abschnitt "Attribute Authority Descriptor". In beiden Fällen lassen Sie dabei das Feld "Verwendungszweck" leer. So wird dasselbe Zertifikat für Signierung //und// Verschlüsselung verwendet.
   * Warten Sie dann **90 Minuten**, bis die neuen Zertifikate in die DFN-AAI-Test-Metadaten aufgenommen worden sind.   * Warten Sie dann **90 Minuten**, bis die neuen Zertifikate in die DFN-AAI-Test-Metadaten aufgenommen worden sind.
  • Zuletzt geändert: vor 2 Jahren