Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:shibidp:prepare-zert [2020/04/16 12:04] Silke Meyerde:shibidp:prepare-zert [2020/10/01 09:24] Wolfgang Pempe
Zeile 3: Zeile 3:
 ===== Zertifikat zur Validierung der Metadaten-Signatur holen ===== ===== Zertifikat zur Validierung der Metadaten-Signatur holen =====
  
-Um die Signatur der Föderationsmetadaten validieren zu können, müssen Sie das entsprechende Zertfikat vom [[https://www.aai.dfn.de/fileadmin/metadata/dfn-aai.pem|DFN-AAI Portal]] herunterladen und z.B. unter ''/etc/ssl/aai/dfn-aai.pem'' ablegen. Der (SHA2) Fingerprint ist unter [[de:metadata|Metadaten]] dokumentiert.+Um die Signatur der Föderationsmetadaten validieren zu können, müssen Sie das entsprechende Zertfikat vom [[https://www.aai.dfn.de/fileadmin/metadata/dfn-aai.pem|DFN-AAI Portal]] herunterladen und z.B. unter ''/etc/ssl/aai/dfn-aai.pem'' ablegen. Der (SHA2) Fingerprint ist unter [[:de:metadata|Metadaten]] dokumentiert.
  
 <code bash> <code bash>
 root@idp:~# mkdir /etc/ssl/aai/ root@idp:~# mkdir /etc/ssl/aai/
-root@idp:~# wget https://www.aai.dfn.de/fileadmin/metadata/dfn-aai.g2.pem -P /etc/ssl/aai+root@idp:~# wget https://www.aai.dfn.de/fileadmin/metadata/dfn-aai.pem -P /etc/ssl/aai 
 </code> </code>
  
Zeile 16: Zeile 17:
 <code bash> <code bash>
 root@idp:~# apt install openssl root@idp:~# apt install openssl
 +
 </code> </code>
  
Zeile 21: Zeile 23:
  
 Der IdP benötigt an zwei Stellen ein Zertifikat: Der IdP benötigt an zwei Stellen ein Zertifikat:
 +
   * für die Kommunikation zwischen Client und Webserver über HTTPS und   * für die Kommunikation zwischen Client und Webserver über HTTPS und
   * für die SAML-basierte Kommunikation, also das Signieren und Verschlüsseln des SAML-Traffics.   * für die SAML-basierte Kommunikation, also das Signieren und Verschlüsseln des SAML-Traffics.
 +
 Wir empfehlen der Einfachheit halber, für beides dasselbe Zertifikat zu verwenden. Wir empfehlen der Einfachheit halber, für beides dasselbe Zertifikat zu verwenden.
  
-<callout color="#ff9900" title="Zertifikatsprofil 'Shibboleth IdP/SP'"> +<callout color="#ff9900" title="Zertifikatsprofil 'Shibboleth IdP/SP'"> Beim Beantragen des Zertifikats sollten Sie das Zertifikatsprofil "Shibboleth IdP/SP" auswählen, damit das Zertifikat für alle SAML-Funktionen eingesetzt werden kann. Mit diesem Profil kann das selbe Zertifikat auch problemlos am Webserver verwendet werden. </callout>
-Beim Beantragen des Zertifikats sollten Sie das Zertifikatsprofil "Shibboleth IdP/SP" auswählen, damit das Zertifikat für alle SAML-Funktionen eingesetzt werden kann. Mit diesem Profil kann das selbe Zertifikat auch problemlos am Webserver verwendet werden. +
-</callout>+
  
 Für die Vorbereitung des Webservers sollten Sie sich an dieser Stelle bereits das Zertifikat der DFN-PKI holen. Die DFN-PKI-Zertifikate für die SAML-basierte Kommunikation sind erst beim Übergang in den Produktivbetrieb zwingend erforderlich. Daher empfehlen wir, zunächst mit den Zertifikaten zu testen, die bei der Shibboleth-Installation automatisch generiert werden. Wenn Sie die Tests in der DFN-AAI-Test abgeschlossen haben und mit der Konfiguration des IdP vertraut sind, ist ein Austausch der Zertifikate schnell gemacht. Für die Vorbereitung des Webservers sollten Sie sich an dieser Stelle bereits das Zertifikat der DFN-PKI holen. Die DFN-PKI-Zertifikate für die SAML-basierte Kommunikation sind erst beim Übergang in den Produktivbetrieb zwingend erforderlich. Daher empfehlen wir, zunächst mit den Zertifikaten zu testen, die bei der Shibboleth-Installation automatisch generiert werden. Wenn Sie die Tests in der DFN-AAI-Test abgeschlossen haben und mit der Konfiguration des IdP vertraut sind, ist ein Austausch der Zertifikate schnell gemacht.
Zeile 33: Zeile 35:
 Zur Erstellung eines Zertifikatrequests siehe die [[https://www.pki.dfn.de/faqpki/faqpki-allgemein/#c15083|FAQ der DFN-PKI]]. Zur Erstellung eines Zertifikatrequests siehe die [[https://www.pki.dfn.de/faqpki/faqpki-allgemein/#c15083|FAQ der DFN-PKI]].
  
-Danach geht es weiter mit dem [[de:shibidp:prepare-http|Webserver]].+Danach geht es weiter mit dem [[:de:shibidp:prepare-http|Webserver]].
  
 {{tag>idp4 tutorial}} {{tag>idp4 tutorial}}
 +
 +
  • Zuletzt geändert: vor 13 Monaten