Zeige QuelltextÄltere VersionenLinks hierherNach oben Letzte ÄnderungenPer E-Mail sendenDruckenPermalink × Inhaltsverzeichnis IdP-Vorbereitung: Zertifikate der DFN-PKI Zertifikat zur Validierung der Metadaten-Signatur holen OpenSSL installieren Zertifikate für Webserver und SAML-basierte Kommunikation Dies ist eine alte Version des Dokuments! ← Vorarbeiten: Tomcat Vorarbeiten: Webserver → IdP-Vorbereitung: Zertifikate der DFN-PKI Zertifikat zur Validierung der Metadaten-Signatur holen Um die Signatur der Föderationsmetadaten validieren zu können, müssen Sie das entsprechende Zertfikat vom DFN-AAI Portal herunterladen und z.B. unter /etc/ssl/aai/dfn-aai.pem ablegen. Der (SHA2) Fingerprint ist unter Metadaten dokumentiert. root@idp:~# mkdir /etc/ssl/aai/ root@idp:~# wget https://www.aai.dfn.de/fileadmin/metadata/dfn-aai.pem -P /etc/ssl/aai OpenSSL installieren Falls noch nicht geschehen, installieren Sie OpenSSL , um später Zertifikate auf dem System verwalten zu können: root@idp:~# apt install openssl Zertifikate für Webserver und SAML-basierte Kommunikation Der IdP benötigt an zwei Stellen ein Zertifikat: für die Kommunikation zwischen Client und Webserver über HTTPS und für die SAML-basierte Kommunikation, also das Signieren und Verschlüsseln des SAML-Traffics. Hierfür können auch selbst-signierte (müssen verifiziert werden) oder von einer (zuvor vom DFN-AAI-Team verfizierten) lokalen CA ausgestellte Zertifikate verwendet werden. Sofern Webserver-Zertifikate aus der DFN-PKI genutzt werden, sind diese für beide o.g. Zwecke einsetzbar. Zertifikatsprofil 'Shibboleth IdP/SP' in der DFN-PKI Beim Beantragen des Zertifikats sollten Sie das Zertifikatsprofil „Shibboleth IdP/SP“ auswählen, damit das Zertifikat für alle SAML-Funktionen eingesetzt werden kann. Mit diesem Profil kann das selbe Zertifikat auch problemlos am Webserver verwendet werden. Für die Vorbereitung des Webservers sollten Sie sich an dieser Stelle bereits das Zertifikat der DFN-PKI holen. Die den Policies der DFN-AAI entsprechenden Zertifikate für die SAML-basierte Kommunikation (DFN-PKI, 3 Jahre gültig selbst-signierte oder aus einer lokalen CA - siehe oben) sind erst beim Übergang in den Produktivbetrieb zwingend erforderlich. Daher empfehlen wir, zunächst mit den Zertifikaten zu testen, die bei der Shibboleth-Installation automatisch generiert werden. Wenn Sie die Tests in der DFN-AAI-Test abgeschlossen haben und mit der Konfiguration des IdP vertraut sind, ist ein Austausch der Zertifikate schnell gemacht. Zur Erstellung eines Zertifikatrequests siehe die FAQ der DFN-PKI. idp4, tutorial ← Vorarbeiten: Tomcat Überblick: Tutorial zur IdP-Inbetriebnahme Vorarbeiten: Webserver → idp4 tutorial Zuletzt geändert: vor 3 Jahren Anmelden