|
|
| Riga 1: |
Riga 1: |
| '''<div style="font-size: 2em;">Le seguenti istruzioni riguardano il rinnovo del certificato pubblico dei metadata aggregati che avverrà il giorno 18/11/2024 alle ore HH:MM.</div>''' | | '''<div style="font-size: 2em;">Le seguenti istruzioni riguardano il rinnovo del certificato pubblico dei metadata aggregati che avverrà il giorno 18/11/2024 alle ore 11:00.</div>''' |
|
| |
|
| {{deprecated|1=Se utilizzate il servizio IDEM MDX (https://mdx.idem.garr.it) le seguenti istruzioni non vi interessano e non devono essere eseguite.}} | | {{deprecated|1=Se utilizzate il servizio IDEM MDX (https://mdx.idem.garr.it) potete ignorare le istruzioni che seguono.}} |
|
| |
|
| ===Generale=== | | ===Generale=== |
| Il certificato oggetto del rinnovo è utilizzato per verificare la firma dei metadata aggregati. L'operazione di rinnovo consiste in un'estensione della validità mantenendo la stessa chiave pubblica. Di fatto il certificato è lo stesso, nel senso che corrisponde alla stessa chiave privata, ma con una durata diversa. | | Il certificato oggetto del rinnovo è utilizzato per verificare la firma dei metadata aggregati. L'operazione di rinnovo consiste in un'estensione della validità mantenendo la stessa chiave pubblica. Di fatto il certificato è lo stesso, nel senso che corrisponde alla stessa chiave privata, ma con una durata diversa. |
|
| |
|
| Questo vuol dire che i software, come ad esempio Shibboleth IdP e Shibboleth SP, che usano il certificato solo come chiave pubblica per verificare la firma dei metadata, ignorando le informazioni di scadenza, possono continuare a funzionare senza alcuna modifica. Tuttavia il nostro consiglio è di passare a IDEM MDX, vedi https://mdx.idem.garr.it/, o, nel caso in cui non fosse possibile, di aggiornare comunque il certificato seguendo le istruzioni che seguono in modo da essere certi di avere l'ultima configurazione corretta. | | Questo vuol dire che i software, come ad esempio Shibboleth IdP e Shibboleth SP, che usano il certificato solo come chiave pubblica per verificare la firma dei metadata, ignorando le informazioni di scadenza, possono continuare a funzionare senza alcuna modifica. Tuttavia il nostro consiglio è di passare a IDEM MDX, vedi https://mdx.idem.garr.it/. |
|
| |
|
| Il nome del certificato rinnovato è <code>idem-signer-legacy.pem</code> perché è il certificato utilizzato per il servizio di distribuzione dei metadata aggregati '''deprecato''' in favore di IDEM MDX come segnalato più volte. | | Il nome del certificato rinnovato è <code>idem-signer-legacy.pem</code> perché è il certificato utilizzato per il servizio di distribuzione dei metadata aggregati '''deprecato''' in favore di IDEM MDX come segnalato più volte. |
|
| |
|
| ===Shibboleth IdP===
| | Chi usa software che non supportano il protocollo MDQ, e che quindi non possono usare il servizio IDEM MDX, può scaricare il certificato rinnovato seguendo le istruzioni contenute nella pagina [Metadata]. |
| | |
| #Recuperare il certificato della Federazione:
| |
| #*<code>wget <nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki> -O /opt/shibboleth-idp/credentials/idem-signer-legacy.pem</code>
| |
| #Controllare la validità del certificato:
| |
| #*eseguire il comando: <code>openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -sha1 -noout</code><br />deve restituire: <code>SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7</code>
| |
| #Modificare la configurazione:
| |
| #*configurare certificato e flusso di metadata desiderato in <code>/opt/shibboleth-idp/conf/metadata-providers.xml,</code> ad es. per il flusso '''IDEM Test''':<syntaxhighlight lang="xml">
| |
| <MetadataProvider id="URLMD-IDEM-Federation"
| |
| xsi:type="FileBackedHTTPMetadataProvider"
| |
| backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml"
| |
| metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml">
| |
| <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
| |
| certificateFile="%{idp.home}/credentials/idem-signer-legacy.pem"/>
| |
| <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/>
| |
| <MetadataFilter xsi:type="EntityRole">
| |
| <RetainedRole>md:SPSSODescriptor</RetainedRole>
| |
| </MetadataFilter>
| |
| </MetadataProvider>
| |
| </syntaxhighlight>
| |
| #*Verificare il funzionamento con: <code>bash /opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.MetadataResolverService</code>
| |
| | |
| ===Shibboleth SP===
| |
| | |
| #Recuperare il certificato della Federazione:
| |
| #*<code>wget <nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki> -O /etc/shibboleth/idem-signer-legacy.pem</code>
| |
| #Controllare la validità del certificato:
| |
| #*eseguire il comando: <code>openssl x509 -in /etc/shibboleth/idem-signer-legacy.pem -fingerprint -sha1 -noout</code><br />deve restituire: <code>SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7</code>
| |
| #Modificare la configurazione:
| |
| #*configurare certificato e flusso di metadata desiderato in <code>/etc/shibboleth/shibboleth2.xml,</code> ad es. per il flusso '''IDEM Test''':<syntaxhighlight lang="xml">
| |
| <MetadataProvider type="XML" url="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml"
| |
| backingFilePath="idem-test-metadata-sha256.xml" maxRefreshDelay="7200">
| |
| <MetadataFilter type="Signature" certificate="idem-signer-legacy.pem"/>
| |
| <MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" />
| |
| </MetadataProvider>
| |
| </syntaxhighlight>
| |
| #*Verificare il funzionamento con: <code>service shibd restart</code>
| |
| | |
| ===SimpleSAMLphp===
| |
| | |
| #Recuperare il certificato della Federazione:
| |
| #*<code>wget <nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki> -O /var/simplesamlphp/cert/idem-signer-legacy.pem</code>
| |
| #Controllare la validità del certificato:
| |
| #*eseguire il comando: <code>openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -sha1 -noout</code><br />deve restituire: <code>SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7</code>
| |
| #Modificare la configurazione:
| |
| #*configurare certificato e flusso di metadata desiderato in <code>/var/simplesamlphp/config/config-metarefresh.php</code>, ad es. per il flusso '''IDEM Test''':<syntaxhighlight lang="php">
| |
| <?php
| |
| | |
| $config = [
| |
| 'sets' => [
| |
| 'idem' => [
| |
| 'cron' => ['hourly'],
| |
| 'sources' => [
| |
| [
| |
| 'src' => 'http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml',
| |
| 'certificates' => [
| |
| '/var/simplesamlphp/cert/idem-signer-legacy.pem',
| |
| ],
| |
| 'template' => [
| |
| 'tags' => ['idem'],
| |
| 'authproc' => [
| |
| 51 => ['class' => 'core:AttributeMap', 'oid2name'],
| |
| ],
| |
| ],
| |
| | |
| 'types' => ['saml20-sp-remote'], // Load only SAML v2.0 SP from metadata
| |
| ],
| |
| ],
| |
| 'expireAfter' => 864000, // Maximum 10 days cache time (3600*24*10)
| |
| 'outputDir' => 'metadata/',
| |
| | |
| 'outputFormat' => 'flatfile',
| |
| ],
| |
| ],
| |
| ];
| |
| </syntaxhighlight>
| |
| #*Aprire la pagina '''<nowiki>https://ssp-idp.example.org/simplesaml/module.php/core/frontpage_federation.php</nowiki>''' e forzare il download dei metadata di Federazione premendo su <code>Metarefresh: fetch metadata</code> o aspettare 1 giorno (''Sostituire <code>ssp-idp.example.org</code> il proprio IdP Full Qualified Domain Name'')
| |
| | |
| ===Altri Framework - ADFS Toolkit, SaToSa, ecc.===
| |
| | |
| Consigliamo di utilizzare il nuovo certificato dei metadata aggregati fin da subito se non è possibile utilizzare IDEM MDX (https://mdx.idem.garr.it):
| |
| | |
| #Recuperare il certificato della Federazione:
| |
| #*<code>wget <nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki> -O /tmp/idem-signer-legacy.pem</code>
| |
| #Controllare la validità del certificato:
| |
| #*SHA1:<br />eseguire il comando: <code>openssl x509 -in /tmp/idem-signer-legacy.pem -fingerprint -sha1 -noout</code><br />deve restituire: <code>SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7</code> <br />
| |
Le seguenti istruzioni riguardano il rinnovo del certificato pubblico dei metadata aggregati che avverrà il giorno 18/11/2024 alle ore 11:00.
Se utilizzate il servizio IDEM MDX (https://mdx.idem.garr.it) potete ignorare le istruzioni che seguono.
Generale
Il certificato oggetto del rinnovo è utilizzato per verificare la firma dei metadata aggregati. L'operazione di rinnovo consiste in un'estensione della validità mantenendo la stessa chiave pubblica. Di fatto il certificato è lo stesso, nel senso che corrisponde alla stessa chiave privata, ma con una durata diversa.
Questo vuol dire che i software, come ad esempio Shibboleth IdP e Shibboleth SP, che usano il certificato solo come chiave pubblica per verificare la firma dei metadata, ignorando le informazioni di scadenza, possono continuare a funzionare senza alcuna modifica. Tuttavia il nostro consiglio è di passare a IDEM MDX, vedi https://mdx.idem.garr.it/.
Il nome del certificato rinnovato è idem-signer-legacy.pem perché è il certificato utilizzato per il servizio di distribuzione dei metadata aggregati deprecato in favore di IDEM MDX come segnalato più volte.
Chi usa software che non supportano il protocollo MDQ, e che quindi non possono usare il servizio IDEM MDX, può scaricare il certificato rinnovato seguendo le istruzioni contenute nella pagina [Metadata].