Dies ist eine alte Version des Dokuments!

Vorarbeiten: Tomcat  
 Vorarbeiten: Webserver

IdP-Vorbereitung: Zertifikate

Zertifikat zur Validierung der Metadaten-Signatur holen

Um die Signatur der Föderationsmetadaten validieren zu können, müssen Sie das entsprechende Zertfikat vom DFN-AAI Portal herunterladen und z.B. unter /etc/ssl/aai/dfn-aai.pem ablegen. Der (SHA2) Fingerprint ist unter Metadaten dokumentiert. 

root@idp:~# mkdir /etc/ssl/aai/
root@idp:~# wget https://www.aai.dfn.de/fileadmin/metadata/dfn-aai.g2.pem -P /etc/ssl/aai

OpenSSL installieren

Falls noch nicht geschehen, installieren Sie OpenSSL , um später Zertifikate auf dem System verwalten zu können: 

root@idp:~# apt install openssl

DFN-PKI-Zertifikat holen

Der IdP benötigt an zwei Stellen ein Zertifikat:

  • für die Kommunikation zwischen Client und Webserver über HTTPS und
  • für die SAML-basierte Kommunikation, also das Signieren und Verschlüsseln des SAML-Traffics.

Wir empfehlen der Einfachheit halber, für beides dasselbe Zertifikat zu verwenden.

Zertifikatsprofil 'Shibboleth IdP/SP'

Beim Beantragen des Zertifikats sollten Sie das Zertifikatsprofil „Shibboleth IdP/SP“ auswählen, damit das Zertifikat für alle SAML-Funktionen eingesetzt werden kann. Mit diesem Profil kann das selbe Zertifikat auch problemlos am Webserver verwendet werden.

Die DFN-PKI-Zertifikate für die SAML-basierte Kommunikation sind erst beim Übergang in den Produktivbetrieb zwingend erforderlich. Daher empfehlen wir, zunächst mit den Zertifikaten zu testen, die bei der Shibboleth-Installation automatisch generiert werden. Wenn Sie die Tests in der DFN-AAI-Test abgeschlossen haben und mit der Konfiguration des IdP vertraut sind, ist ein Austausch der Zertifikate schnell gemacht.

Zur Erstellung eines Zertifikatrequests siehe die FAQ der DFN-PKI.

Vorarbeiten: Tomcat  
Überblick: Tutorial zur IdP-Inbetriebnahme  
 Vorarbeiten: Webserver
  • Zuletzt geändert: vor 4 Jahren