Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:shibsp [2020/01/27 15:12] – [Apache Webserver] Silke Meyer | de:shibsp [2020/01/31 14:56] – Wolfgang Pempe |
---|
SSLProtocol -all +TLSv1.2 +TLSv1.3 | SSLProtocol -all +TLSv1.2 +TLSv1.3 |
SSLHonorCipherOrder Off | SSLHonorCipherOrder Off |
SSLCompression off | SSLCompression Off |
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 | SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 |
SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256 | SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256 |
</file> | </file> |
Um sicherzustellen, dass die Webserver-Konfiguration den aktuellen Sicherheitsstandards entspricht, informieren Sie sich bitte z.B. bei [[https://ssl-config.mozilla.org/|Mozilla]], dem [[https://www.dfn-cert.de/|DFN-CERT]], der [[https://blog.pki.dfn.de/|DFN-PKI]] oder [[https://www.ssllabs.com/|SSL LABS]]. Das letztgenannte Portal bietet auch einen Online-Test der Webserver-Konfiguration an. | Um sicherzustellen, dass die Webserver-Konfiguration den aktuellen Sicherheitsstandards entspricht, informieren Sie sich bitte z.B. bei [[https://ssl-config.mozilla.org/|Mozilla]], dem [[https://www.dfn-cert.de/|DFN-CERT]], der [[https://blog.pki.dfn.de/|DFN-PKI]] oder [[https://www.ssllabs.com/|SSL LABS]]. Das letztgenannte Portal bietet auch einen Online-Test der Webserver-Konfiguration an. |
====Shibboleth SP (2.5 / 2.6)==== | ====Shibboleth SP (3.x)==== |
<callout type="primary" title="Ergänzende Hinweise"> | <callout type="primary" title="Ergänzende Hinweise"> |
* **Zu den Änderungen in der neuen Version 3.x** | * **Zu den Änderungen gegenüber der alten Version 2.x** |
* Siehe im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/SP3/UpgradingFromV2|UpgradingFromV2]]. | * Siehe im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/SP3/UpgradingFromV2|UpgradingFromV2]]. |
* **Zertifikate** ''CredentialResolver'' | * **Zertifikate** ''CredentialResolver'' |
... | ... |
<!-- die entityID des SPs --> | <!-- die entityID des SPs --> |
| <!-- siehe unter https://wiki.shibboleth.net/confluence/display/SP3/ApplicationDefaults --> |
<ApplicationDefaults entityID="https://sp.example.org/shibboleth" ... > | <ApplicationDefaults entityID="https://sp.example.org/shibboleth" ... > |
... | ... |
<!-- zu den Parametern vgl. | <!-- zu den Parametern vgl. |
https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPSessions --> | https://wiki.shibboleth.net/confluence/display/SP3/Sessions --> |
<Sessions lifetime="28800" timeout="3600" relayState="ss:mem" | <Sessions lifetime="28800" timeout="3600" relayState="ss:mem" |
checkAddress="false" consistentAddress="true" | checkAddress="false" consistentAddress="true" |
... | ... |
<!-- Metadaten der Test-Föderation --> | <!-- Metadaten der Test-Föderation --> |
<MetadataProvider type="XML" uri="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-test-metadata.xml" | <!-- den Pfad zum Zertifikat zur Signaturüberprüfung den lokalen Gegebenheiten anpassen! --> |
backingFilePath="dfn-aai-test-metadata.xml" reloadInterval="3600"> | <MetadataProvider type="XML" url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-test-metadata.xml" |
| validate="true" backingFilePath="dfn-aai-test-metadata.xml" reloadInterval="3600"> |
<MetadataFilter type="Signature" certificate="/etc/shibboleth/dfn-aai.g2.pem"/> | <MetadataFilter type="Signature" certificate="/etc/shibboleth/dfn-aai.g2.pem"/> |
</MetadataProvider> | </MetadataProvider> |