Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:shibidp:prepare-zert [2020/04/14 15:50] – Silke Meyer | de:shibidp:prepare-zert [2022/08/01 09:12] – [Zertifikate für Webserver und SAML-basierte Kommunikation] Wolfgang Pempe |
---|
| <- de:shibidp:prepare-tomcat|Vorarbeiten: Tomcat ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:shibidp:prepare-http|Vorarbeiten: Webserver -> |
| |
====== IdP-Vorbereitung: Zertifikate ====== | ====== IdP-Vorbereitung: Zertifikate ====== |
| |
===== Zertifikat zur Validierung der Metadaten-Signatur holen ===== | ===== Zertifikat zur Validierung der Metadaten-Signatur holen ===== |
| |
Um die Signatur der Föderationsmetadaten validieren zu können, müssen Sie das entsprechende Zertfikat vom [[https://www.aai.dfn.de/fileadmin/metadata/dfn-aai.pem|DFN-AAI Portal]] herunterladen und z.B. unter ''/etc/ssl/aai/dfn-aai.pem'' ablegen. Der (SHA2) Fingerprint ist unter [[de:metadata|Metadaten]] dokumentiert. | Um die Signatur der Föderationsmetadaten validieren zu können, müssen Sie das entsprechende Zertfikat vom [[https://www.aai.dfn.de/metadata/dfn-aai.pem|DFN-AAI Portal]] herunterladen und z.B. unter ''/etc/ssl/aai/dfn-aai.pem'' ablegen. Der (SHA2) Fingerprint ist unter [[:de:metadata|Metadaten]] dokumentiert. |
| |
<code bash> | <code bash> |
root@idp:~# mkdir /etc/ssl/aai/ | root@idp:~# mkdir /etc/ssl/aai/ |
root@idp:~# wget https://www.aai.dfn.de/fileadmin/metadata/dfn-aai.g2.pem -P /etc/ssl/aai | root@idp:~# wget https://www.aai.dfn.de/metadata/dfn-aai.pem -P /etc/ssl/aai |
</code> | </code> |
| |
<code bash> | <code bash> |
root@idp:~# apt install openssl | root@idp:~# apt install openssl |
| |
</code> | </code> |
| |
===== DFN-PKI-Zertifikat holen ===== | ===== Zertifikate für Webserver und SAML-basierte Kommunikation ===== |
| |
Der IdP benötigt an zwei Stellen ein Zertifikat: | Der IdP benötigt an zwei Stellen ein Zertifikat: |
| |
* für die Kommunikation zwischen Client und Webserver über HTTPS und | * für die Kommunikation zwischen Client und Webserver über HTTPS und |
* für die SAML-basierte Kommunikation, also das Signieren und Verschlüsseln des SAML-Traffics. | * für die SAML-basierte Kommunikation, also das Signieren und Verschlüsseln des SAML-Traffics. Hierfür können Zertifikate mit einer Laufzeit von 3 Jahren bzw. 39 Monaten aus der [[https://www.pki.dfn.de/dfn-verein-community-pki|DFN-Verein Community PKI]] oder von einer (zuvor vom DFN-AAI-Team verfizierten) [[de:certificates#eigene_lokale_ca|lokalen CA]] ausgestellte Zertifikate verwendet werden. Auch [[de:certificates#schritt_2beschaffung_generierung_eines_neuen_zertifikates|selbst-signierte]] Zertifikate können verwendet werden (müssen verifiziert werden). |
Wir empfehlen der Einfachheit halber, für beides dasselbe Zertifikat zu verwenden. | |
| |
<callout color="#ff9900" title="Zertifikatsprofil 'Shibboleth IdP/SP'"> | Sofern Webserver-Zertifikate aus der DFN-PKI genutzt werden, sind diese für beide o.g. Zwecke einsetzbar. |
Beim Beantragen des Zertifikats sollten Sie das Zertifikatsprofil "Shibboleth IdP/SP" auswählen, damit das Zertifikat für alle SAML-Funktionen eingesetzt werden kann. Mit diesem Profil kann das selbe Zertifikat auch problemlos am Webserver verwendet werden. | |
</callout> | |
| |
Die DFN-PKI-Zertifikate für die SAML-basierte Kommunikation sind erst beim Übergang in den Produktivbetrieb zwingend erforderlich. Daher empfehlen wir, zunächst mit den Zertifikaten zu testen, die bei der Shibboleth-Installation automatisch generiert werden. Wenn Sie die Tests in der DFN-AAI-Test abgeschlossen haben und mit der Konfiguration des IdP vertraut sind, ist ein Austausch der Zertifikate schnell gemacht. | <callout color="#ff9900" title="Zertifikatsprofil 'Shibboleth IdP/SP' in der DFN-PKI"> Beim Beantragen des Zertifikats sollten Sie das Zertifikatsprofil "Shibboleth IdP/SP" auswählen, damit das Zertifikat für alle SAML-Funktionen eingesetzt werden kann. Mit diesem Profil kann das selbe Zertifikat auch problemlos am Webserver verwendet werden. </callout> |
| |
| Für die Vorbereitung des Webservers sollten Sie sich an dieser Stelle bereits das Zertifikat der DFN-PKI holen. Die den Policies der DFN-AAI entsprechenden Zertifikate für die SAML-basierte Kommunikation (DFN-PKI, 3 Jahre gültig selbst-signierte oder aus einer lokalen CA - siehe oben) sind erst beim Übergang in den Produktivbetrieb zwingend erforderlich. Daher empfehlen wir, zunächst mit den Zertifikaten zu testen, die bei der Shibboleth-Installation automatisch generiert werden. Wenn Sie die Tests in der DFN-AAI-Test abgeschlossen haben und mit der Konfiguration des IdP vertraut sind, ist ein Austausch der Zertifikate schnell gemacht. |
| |
Zur Erstellung eines Zertifikatrequests siehe die [[https://www.pki.dfn.de/faqpki/faqpki-allgemein/#c15083|FAQ der DFN-PKI]]. | Zur Erstellung eines Zertifikatrequests siehe die [[https://www.pki.dfn.de/faqpki/faqpki-allgemein/#c15083|FAQ der DFN-PKI]]. |
| |
| {{tag>idp4 tutorial}} |
| |
| |