Skip to content. | Skip to navigation

Benutzerspezifische Werkzeuge

 
Sections
Artikelaktionen

Shibboleth Service Provider Certificate Rollover

Erneuern der Zertifikate am Service Provider

Hintergrundinformationen

Ein Shibboleth Service Provider (SP) benötigt unabhängig vom Webserver ein Zertifikat, um Authentifizierungsanforderungen signieren und SAML-Assertions entschlüsseln zu können. Das Zertifikat eines SP ist in den SAML-Metadaten eingebettet, so dass der Identity Provider (IdP) das korrekte Zertifikat eines SP verwenden kann. Daher muss ein neues Zertifikat an folgenden Stellen hinzugefügt/ersetzt werden:

  •     Service Provider - Konfiguration (z.B. shibboleth2.xml für Shibboleth SP)
  •     Federation Metadaten (via AAI Ressource Registry)

Änderungen der Metadaten benötigen mindestens 1 Stunde zur Verbreitung an alle Parteien. Daher können Zertifikate von produktiven Systemen nicht in einem einzigen Schritt ersetzt werden. Die meisten Parteien werden aktualisierte Metadaten zwar innerhalb von zwei Stunden heruntergeladen haben, aber dies kann nicht für die ganze SWITCH AAI-Föderation gewährleistet werden. Der Zertifikatswechsel kann jedoch trotzdem ohne Betriebsunterbrechung durchgeführt werden. Damit dies funktioniert, sind die Reihenfolge und das Timing der folgenden Schritte von entscheidender Bedeutung. Die untenstehende Uebersicht zeigt dies schematisch auf:

SP Certificate Rollover

 

Wenn für ein nicht-produktives System ein Unterbruch von 1 - 2 Stunden kein Problem ist, kann das neue Zertifikat auch direkt anstelle des bisherigen in Shibboleth-Konfiguration und Resource Registry eingetragen werden.

Erstellung des Service Providers Zertifikat

SWITCH empfiehlt die Verwendung von "self-signed" Zertifikaten für Shibboleth-Kommunikation. Wichtig ist zudem, dass diese die "SWITCHaai certificate requirements" erfüllen.

    •  für Shibboleth-SPs unter Linux

 Ein solches Zertifikat kann am einfachsten mit dem im Service Provider integrierten keygen-Befehl erstellt werden. Für Linux-SPs (RHEL) sind dazu folgende Schritte notwendig:

# Use the temp directory to generate new key and certificate
cd /tmp

# Copy the current key file to the temp directory preserving the file permissions
cp -p /etc/shibboleth/sp-key.pem sp-key-temp.pem

# Generate a new pair of certificate and key files (in the current directory)
/opt/shibboleth-sp/etc/shibboleth/keygen.sh -y 3 -h example.fhnw.ch -e https://example.fhnw.ch/shibboleth

# Copy the content to the temporary key file with the correct file permissions
cat sp-key.pem > sp-key-temp.pem

# Move the temporary key file to the correct path
mv sp-key-temp.pem /etc/shibboleth/sp-key-2016.pem

# Cleanup
rm sp-key.pem

# Copy the certificate to the correct location
mv sp-cert.pem /etc/shibboleth/sp-cert-2016.pem

Anschliessend sind die Schritte 1 - 5 gemäss der ausführlichen SWITCH-Anleitung auszuführen

 

  • für Shibboleth-SPs unter Windows

 Auf Windows-SPs kann dies erreicht werden durch das ausführen von folgenden Schritten direkt auf dem Server.

cd C:\Temp
C:\opt\shibboleth-sp\etc\shibboleth\keygen.bat -y 3 -h example.fhnw.ch -e https://example.fhnw.ch/shibboleth -o C:\Temp
mv sp-cert.pem C:\opt\shibboleth-sp\etc\shibboleth\sp-cert-2016.pem
mv sp-key.pem C:\opt\shibboleth-sp\etc\shibboleth\sp-key-2016.pem

Anschliessend sind die Schritte 1 - 5 gemäss der ausführlichen SWITCH-Anleitung auszuführen

    • für andere Service Provider (ADFS, SAP, Krediportal, IdentityServer)

    Falls das Zertifikat für einen Nicht-Shibboleth-SP erstellt werden muss, kann dies durch die oben aufgeführten Befehle auf dem virtuellen Entwicklungs-Client BR21TC00010(Als normaler Benutzer anmelden. geschehen. Die produktspezifischen Konfigurationsschritte sind in den unten verlinkten Help-Artikeln dokumentiert.

    ADFS
    - folgt

    SAP-Portal

    Das SAP-Portal unterstützt kann Roll-Over. Das heisst die effektive Umstellung muss in einem Wartungsfenster gemacht werden. Die ersten zwei Punkte können aber tage im voraus gemacht werden.
    - mit OpenSSL pfx erstellen
    - pfx in NWA importieren
    - in Resource Registry ersetzen (Gemäss Punkt 2 in der ausführlichen SWITCH-Anleitung)
      Sobald die Resource Registry vom Team Web genehmigt wurde, funktioniert das Portal nicht mehr.

    - Danach im NWA das Certifikat welchseln auf das neue. Das alte gleich löschen. Der der Vergangenheit hat er willkürlich plötzlich wieder auf das alte gewechselt.

    Krediportal
    - folgt

    IdentityServer
    - folgt