MetadataLegacy2024

Da WIKI IDEM GARR.
Jump to navigation Jump to search

Le seguenti istruzioni riguardano il rinnovo del certificato pubblico dei metadata aggregati che avverrà il giorno 18/11/2024 alle ore HH:MM.

Se utilizzate il servizio IDEM MDX (https://mdx.idem.garr.it) e non riscontrate problemi dopo il 18-11-2024, le seguenti istruzioni non vi interessano e non devono essere eseguite.

Shibboleth

  1. Recuperare il certificato della Federazione:
    • wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /opt/shibboleth-idp/credentials/idem-signer-legacy.pem
  2. Controllare la validità del certificato:
    • SHA1:
      eseguire il comando: openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -sha1 -noout
      deve restituire: SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7
    • MD5:
      eseguire il comando: openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -md5 -noout
      deve restituire: MD5 Fingerprint=7A:30:52:E2:2D:A5:F9:46:9A:7A:38:47:51:82:81:C2
  3. Modificare la configurazione:
    • configurare certificato e flusso di metadata desiderato in /opt/shibboleth-idp/conf/metadata-providers.xml, ad es. per il flusso IDEM Test:
      <MetadataProvider id="URLMD-IDEM-Federation" 
                  xsi:type="FileBackedHTTPMetadataProvider"
                  backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml" 
                  metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml"> 
   <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" 
                   certificateFile="%{idp.home}/credentials/idem-signer-legacy.pem"/>
   <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/>
   <MetadataFilter xsi:type="EntityRole"> 
      <RetainedRole>md:SPSSODescriptor</RetainedRole>
   </MetadataFilter>
</MetadataProvider>
    • Verificare il funzionamento con: bash /opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.MetadataResolverService

SimpleSAMLphp

  1. Recuperare il certificato della Federazione:
    • wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /var/simplesamlphp/cert/idem-signer-legacy.pem
  2. Controllare la validità del certificato:
    • SHA1:
      eseguire il comando: openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -sha1 -noout
      deve restituire: SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7
    • MD5:
      eseguire il comando: openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -md5 -noout
      deve restituire: MD5 Fingerprint=7A:30:52:E2:2D:A5:F9:46:9A:7A:38:47:51:82:81:C2
  3. Modificare la configurazione:
    • configurare certificato e flusso di metadata desiderato in /var/simplesamlphp/config/config-metarefresh.php, ad es. per il flusso IDEM Test:
      <?php

$config = [
   'sets' => [
      'idem' => [
         'cron'    => ['hourly'],
         'sources' => [
                       [
                        'src' => 'http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml',
                        'certificates' => [
                           '/var/simplesamlphp/cert/idem-signer-legacy.pem',
                        ],
                        'template' => [
                           'tags'  => ['idem'],
                           'authproc' => [
                              51 => ['class' => 'core:AttributeMap', 'oid2name'],
                           ],
                        ],

                        'types' => ['saml20-sp-remote'],   // Load only SAML v2.0 SP from metadata
                       ],
                      ],
         'expireAfter' => 864000, // Maximum 10 days cache time (3600*24*10)
         'outputDir'   => 'metadata/',

         'outputFormat' => 'flatfile',
      ],
   ],
];
    • Aprire la pagina https://ssp-idp.example.org/simplesaml/module.php/core/frontpage_federation.php e forzare il download dei metadata di Federazione premendo su Metarefresh: fetch metadata o aspettare 1 giorno (Sostituire ssp-idp.example.org il proprio IdP Full Qualified Domain Name)

Altri Framework - ADFS Toolkit, SaToSa, ecc.

Consigliamo di utilizzare il nuovo certificato dei metadata aggregati fin da subito se non è possibile utilizzare IDEM MDX (https://mdx.idem.garr.it):

  1. Recuperare il certificato della Federazione:
    • wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /tmp/idem-signer-legacy.pem
  2. Controllare la validità del certificato:
    • SHA1:
      eseguire il comando: openssl x509 -in /tmp/idem-signer-legacy.pem -fingerprint -sha1 -noout
      deve restituire: SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7
    • MD5:
      eseguire il comando: openssl x509 -in /tmp/idem-signer-legacy.pem -fingerprint -md5 -noout
      deve restituire: MD5 Fingerprint=7A:30:52:E2:2D:A5:F9:46:9A:7A:38:47:51:82:81:C2
Estratto da "https://wiki.idem.garr.it/w/index.php?title=MetadataLegacy2024&oldid=13437"