Um die Signatur der Föderationsmetadaten validieren zu können, müssen Sie das entsprechende Zertfikat von DFN-AAI Portal herunterladen und z.B. unter /etc/ssl/aai/dfn-aai.pem ablegen. Der (SHA2) Fingerprint ist unter Metadaten dokumentiert

root@idp:~# mkdir /etc/ssl/aai/
root@idp:~# cd /etc/ssl/aai/
root@idp:/etc/ssl/aai# wget https://www.aai.dfn.de/fileadmin/metadata/dfn-aai.pem

Falls noch nicht geschehen, OpenSSL installieren (um später Zertifkate auf dem System verwalten zu können):

root@idp:~# apt-get install openssl

Diese sind erst beim Übergang in den Produktionsbetrieb zwingend erforderlich! Daher empfehlen wir, zunächst mit den bei Shibboleth mitgelieferten bzw. bei der Installation automatisch generierten Zertifikaten zu testen.

Wenn Sie die Tests in der DFN-AAI-Test abgeschlossen haben und mit der Konfiguration des IdP vertraut sind, ist ein Austausch der Zertifikate dann schnell gemacht.

Beim Beantragen des Zertifikats sollten Sie unbedingt daran denken, das Zertifikatprofil „Shibboleth IdP/SP“ auszuwählen, damit das Zertifikat für alle SAML-Funktionen eingesetzt werden kann. Mit diesem Profil kann das selbe Zertifikat auch problemlos im Webserver verwendet werden. Zur Erstellung eines Zertifikatrequests siehe die FAQ der DFN-PKI.