IdP-Vorbereitung: Zertifikate

Um die Signatur der Föderationsmetadaten validieren zu können, müssen Sie das entsprechende Zertfikat vom DFN-AAI Portal herunterladen und z.B. unter /etc/ssl/aai/dfn-aai.pem ablegen. Der (SHA2) Fingerprint ist unter Metadaten dokumentiert.

root@idp:~# mkdir /etc/ssl/aai/
root@idp:~# wget https://www.aai.dfn.de/metadata/dfn-aai.pem -P /etc/ssl/aai

Falls noch nicht geschehen, installieren Sie OpenSSL , um später Zertifikate auf dem System verwalten zu können:

root@idp:~# apt install openssl

Der IdP benötigt an zwei Stellen ein Zertifikat:

• für die Kommunikation zwischen Client und Webserver über HTTPS und
• für die SAML-basierte Kommunikation, also das Signieren und Verschlüsseln des SAML-Traffics. Hierfür können Zertifikate mit einer Laufzeit von 3 Jahren bzw. 39 Monaten aus der DFN-Verein Community PKI oder von einer lokalen CA ausgestellte Zertifikate verwendet werden. Auch selbst-signierte Zertifikate können verwendet werden.

Webserver-Zertifikate von HARICA können grundsätzlich für beide o.g. Zwecke genutzt werden. Angesichts der Laufzeitverkürzungen für Webserver-Zertifikate empfehlen wir für die SAML-basierte Kommunikation Zertifikate mit längeren Laufzeiten zu verwenden.

Für die Vorbereitung des Webservers sollten Sie sich an dieser Stelle bereits ein entsprechendes Zertifikat z.B. des GÉANT TCS holen.

Die den Policies der DFN-AAI entsprechenden Zertifikate für die SAML-basierte Kommunikation (siehe oben) sind erst beim Übergang in den Produktivbetrieb zwingend erforderlich. Daher kann die grundsätzliche Funktionalität des IdP zunächst anhand der Zertifikate erprobt werden, die bei der Shibboleth-Installation automatisch generiert werden. Wenn Sie die Tests in der DFN-AAI-Test abgeschlossen haben und mit der Konfiguration des IdP vertraut sind, ist ein Austausch der Zertifikate schnell gemacht.