Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp:prepare-http [2022/07/07 10:02] – Abschnitt zu Backchannel-Kommunikation und Seltsamkeiten bei Zertifikatsvalidierung Silke Meyerde:shibidp:prepare-http [2024/11/12 14:25] (aktuell) – [Apache-Module aktivieren] : Zugriff auf Gruppe ssl-cert Thorsten Michels
Zeile 11: Zeile 11:
 ==== Installation ==== ==== Installation ====
  
-=== Debian 10/11 ===+=== Debian 12 ===
  
 <code bash> <code bash>
Zeile 17: Zeile 17:
 </code> </code>
  
-=== RHEL 6/CentOS 7 ===+ 
 +==== Apache-Module aktivieren ====
  
 <code bash> <code bash>
-root@idp:~# yum -y install httpd mod_ssl+root@idp:~# a2enmod ssl headers proxy proxy_ajp
 </code> </code>
  
-=== SLES 11/12, OpenSUSE Leap 15.1 === +Außerdem braucht der Web Server Zugriff auf die Zertifikatsschlüssel:
- +
-Apache wird als Proxy vor Tomcat via AJP verwendet. In ''/etc/sysconfig/apache2'' muss bei APACHE_MODULES proxy //vor// proxy_ajp stehen. Außerdem muss ''APACHE_SERVER_FLAGS="SSL"'' gesetzt sein. +
- +
-==== Apache-Module aktivieren ==== +
 <code bash> <code bash>
-root@idp:~# a2enmod ssl headers proxy proxy_ajp+root@idp:~# usermod -aG ssl-cert www-data
 </code> </code>
  
-Abschließend muss der Web Server neu gestartet werden+Abschließend muss der Web Server neu gestartet werden:
 <code bash> <code bash>
 root@idp:~# systemctl restart apache2 root@idp:~# systemctl restart apache2
Zeile 95: Zeile 91:
   # Die Zertifikatsdatei enthält die vollständige Kette, vgl.   # Die Zertifikatsdatei enthält die vollständige Kette, vgl.
   # http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslcertificatechainfile   # http://httpd.apache.org/docs/current/mod/mod_ssl.html#sslcertificatechainfile
 +  # ACHTUNG: Wenn Sie für die SAML-Kommunikation ein anderes, länger laufendes Zertifikat
 +  # als für den Webserver verwenden, müssen Sie hier dieses SAML-Zertifikat eintragen.
 +  # Siehe unten bei "Backchannel Requests".
   SSLCertificateFile      /etc/ssl/localcerts/idp.uni-beispiel.crt.pem   SSLCertificateFile      /etc/ssl/localcerts/idp.uni-beispiel.crt.pem
   SSLCertificateKeyFile   /etc/ssl/private/idp.uni-beispiel.key.pem   SSLCertificateKeyFile   /etc/ssl/private/idp.uni-beispiel.key.pem
  • Zuletzt geändert: vor 3 Jahren