Zeige QuelltextÄltere VersionenLinks hierherNach oben Letzte ÄnderungenPer E-Mail sendenDruckenPermalink × Inhaltsverzeichnis IdP-Vorbereitung: Zertifikate Zertifikat zur Validierung der Metadaten-Signatur holen OpenSSL installieren Zertifikate für Webserver und SAML-basierte Kommunikation ← Vorarbeiten: Tomcat Vorarbeiten: Webserver → IdP-Vorbereitung: Zertifikate Zertifikat zur Validierung der Metadaten-Signatur holen Um die Signatur der Föderationsmetadaten validieren zu können, müssen Sie das entsprechende Zertfikat vom DFN-AAI Portal herunterladen und z.B. unter /etc/ssl/aai/dfn-aai.pem ablegen. Der (SHA2) Fingerprint ist unter Metadaten dokumentiert. root@idp:~# mkdir /etc/ssl/aai/ root@idp:~# wget https://www.aai.dfn.de/metadata/dfn-aai.pem -P /etc/ssl/aai OpenSSL installieren Falls noch nicht geschehen, installieren Sie OpenSSL , um später Zertifikate auf dem System verwalten zu können: root@idp:~# apt install openssl Zertifikate für Webserver und SAML-basierte Kommunikation Der IdP benötigt an zwei Stellen ein Zertifikat: für die Kommunikation zwischen Client und Webserver über HTTPS und für die SAML-basierte Kommunikation, also das Signieren und Verschlüsseln des SAML-Traffics. Hierfür können Zertifikate mit einer Laufzeit von 3 Jahren bzw. 39 Monaten aus der DFN-Verein Community PKI oder von einer lokalen CA ausgestellte Zertifikate verwendet werden. Auch selbst-signierte Zertifikate können verwendet werden. Webserver-Zertifikate des GÉANT TCS können grundsätzlich für beide o.g. Zwecke genutzt werden. Angesichts der Laufzeitverkürzungen für Webserver-Zertifikate sollten für die SAML-basierte Kommunikation jedoch andere Zertifikate mit längeren Laufzeiten verwendet werden. Zertifikatsprofil 'Shibboleth IdP/SP' in der DFN-Verein Community PKI Beim Beantragen des Zertifikats sollten Sie das Zertifikatsprofil „Shibboleth IdP/SP“ auswählen, damit das Zertifikat für alle SAML-Funktionen eingesetzt werden kann. Für die Vorbereitung des Webservers sollten Sie sich an dieser Stelle bereits ein entsprechendes Zertifikat z.B. des GÉANT TCS holen. Die den Policies der DFN-AAI entsprechenden Zertifikate für die SAML-basierte Kommunikation (siehe oben) sind erst beim Übergang in den Produktivbetrieb zwingend erforderlich. Daher kann die grundsätzliche Funktionalität des IdP zunächst anhand der Zertifikate erprobt werden, die bei der Shibboleth-Installation automatisch generiert werden. Wenn Sie die Tests in der DFN-AAI-Test abgeschlossen haben und mit der Konfiguration des IdP vertraut sind, ist ein Austausch der Zertifikate schnell gemacht. Zur Erstellung eines Zertifikatrequests siehe die FAQ der DFN-PKI. idp4, tutorial ← Vorarbeiten: Tomcat Überblick: Tutorial zur IdP-Inbetriebnahme Vorarbeiten: Webserver → idp4 tutorial Zuletzt geändert: vor 7 Wochen Anmelden