Dies ist eine alte Version des Dokuments!

Vorarbeiten: Tomcat  
 Vorarbeiten: Webserver

IdP-Vorbereitung: Zertifikate

Zertifikat zur Validierung der Metadaten-Signatur holen

Um die Signatur der Föderationsmetadaten validieren zu können, müssen Sie das entsprechende Zertfikat vom DFN-AAI Portal herunterladen und z.B. unter /etc/ssl/aai/dfn-aai.pem ablegen. Der (SHA2) Fingerprint ist unter Metadaten dokumentiert. 

root@idp:~# mkdir /etc/ssl/aai/
root@idp:~# wget https://www.aai.dfn.de/fileadmin/metadata/dfn-aai.g2.pem -C /etc/ssl/aai

OpenSSL installieren

Falls noch nicht geschehen, installieren Sie OpenSSL , um später Zertifikate auf dem System verwalten zu können: 

root@idp:~# apt install openssl

DFN-PKI-Zertifikat holen

Zertifikate der DFN-PKI sind erst beim Übergang in den Produktivbetrieb zwingend erforderlich. Daher empfehlen wir, zunächst mit den Zertifikaten zu testen, die bei der Shibboleth-Installation automatisch generiert werden.

Wenn Sie die Tests in der DFN-AAI-Test abgeschlossen haben und mit der Konfiguration des IdP vertraut sind, ist ein Austausch der Zertifikate schnell gemacht.

Beim Beantragen des Zertifikats sollten Sie unbedingt daran denken, das Zertifikatprofil „Shibboleth IdP/SP“ auszuwählen, damit das Zertifikat für alle SAML-Funktionen eingesetzt werden kann. Mit diesem Profil kann das selbe Zertifikat auch problemlos im Webserver verwendet werden.

Zur Erstellung eines Zertifikatrequests siehe die FAQ der DFN-PKI.

Vorarbeiten: Tomcat  
Überblick: Tutorial zur IdP-Inbetriebnahme  
 Vorarbeiten: Webserver
  • Zuletzt geändert: vor 4 Jahren