MetadataLegacy2024
Se utilizzate il servizio IDEM MDX (https://mdx.idem.garr.it) le seguenti istruzioni non vi interessano e non devono essere eseguite.
Indice
Generale
Il certificato oggetto del rinnovo è utilizzato per verificare la firma dei metadata aggregati. L'operazione di rinnovo consiste in un'estensione della validità mantenendo la stessa chiave pubblica. Di fatto il certificato è lo stesso, nel senso che corrisponde alla stessa chiave privata, ma con una durata diversa.
Questo vuol dire che i software, come ad esempio Shibboleth IdP e Shibboleth SP, che usano il certificato solo come chiave pubblica per verificare la firma dei metadata, ignorando le informazioni di scadenza, possono continuare a funzionare senza alcuna modifica. Tuttavia il nostro consiglio è di passare a MDX, vedi https://mdx.idem.garr.it/, o, nel caso in cui non fosse possibile, di aggiornare comunque il certificato seguendo le istruzioni che seguono in modo da essere certi di avere l'ultima configurazione corretta.
Il nome del certificato rinnovato è idem-signer-legacy.pem perché è il certificato utilizzato per il servizio di distribuzione dei metadata aggregati deprecato in favore di IDEM MDX come segnalato più volte.
Shibboleth IdP
- Recuperare il certificato della Federazione:
wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /opt/shibboleth-idp/credentials/idem-signer-legacy.pem
- Controllare la validità del certificato:
- eseguire il comando:
openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -sha1 -noout
deve restituire:SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7
- eseguire il comando:
- Modificare la configurazione:
- configurare certificato e flusso di metadata desiderato in
/opt/shibboleth-idp/conf/metadata-providers.xml,ad es. per il flusso IDEM Test:<MetadataProvider id="URLMD-IDEM-Federation" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml" metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" certificateFile="%{idp.home}/credentials/idem-signer-legacy.pem"/> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/> <MetadataFilter xsi:type="EntityRole"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider>
- Verificare il funzionamento con:
bash /opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.MetadataResolverService
- configurare certificato e flusso di metadata desiderato in
Shibboleth SP
- Recuperare il certificato della Federazione:
wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /etc/shibboleth/idem-signer-legacy.pem
- Controllare la validità del certificato:
- eseguire il comando:
openssl x509 -in /etc/shibboleth/idem-signer-legacy.pem -fingerprint -sha1 -noout
deve restituire:SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7
- eseguire il comando:
- Modificare la configurazione:
- configurare certificato e flusso di metadata desiderato in
/etc/shibboleth/shibboleth2.xml,ad es. per il flusso IDEM Test:<MetadataProvider type="XML" url="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml" backingFilePath="idem-test-metadata-sha256.xml" maxRefreshDelay="7200"> <MetadataFilter type="Signature" certificate="idem-signer-legacy.pem"/> <MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" /> </MetadataProvider>
- Verificare il funzionamento con:
service shibd restart
- configurare certificato e flusso di metadata desiderato in
SimpleSAMLphp IdP & SP
- Recuperare il certificato della Federazione:
wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /var/simplesamlphp/cert/idem-signer-legacy.pem
- Controllare la validità del certificato:
- eseguire il comando:
openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -sha1 -noout
deve restituire:SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7
- eseguire il comando:
- Modificare la configurazione:
- configurare certificato e flusso di metadata desiderato in
/var/simplesamlphp/config/config-metarefresh.php, ad es. per il flusso IDEM Test:<?php $config = [ 'sets' => [ 'idem' => [ 'cron' => ['hourly'], 'sources' => [ [ 'src' => 'http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml', 'certificates' => [ '/var/simplesamlphp/cert/idem-signer-legacy.pem', ], 'template' => [ 'tags' => ['idem'], 'authproc' => [ 51 => ['class' => 'core:AttributeMap', 'oid2name'], ], ], 'types' => ['saml20-sp-remote'], // Load only SAML v2.0 SP from metadata ], ], 'expireAfter' => 864000, // Maximum 10 days cache time (3600*24*10) 'outputDir' => 'metadata/', 'outputFormat' => 'flatfile', ], ], ];
- Aprire la pagina https://ssp-idp.example.org/simplesaml/module.php/core/frontpage_federation.php e forzare il download dei metadata di Federazione premendo su
Metarefresh: fetch metadatao aspettare 1 giorno (Sostituiressp-idp.example.orgil proprio IdP Full Qualified Domain Name)
- configurare certificato e flusso di metadata desiderato in
Altri Framework - ADFS Toolkit, SaToSa, ecc.
Consigliamo di utilizzare il nuovo certificato dei metadata aggregati fin da subito se non è possibile utilizzare IDEM MDX (https://mdx.idem.garr.it):
- Recuperare il certificato della Federazione:
wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /tmp/idem-signer-legacy.pem
- Controllare la validità del certificato:
- SHA1:
eseguire il comando:openssl x509 -in /tmp/idem-signer-legacy.pem -fingerprint -sha1 -noout
deve restituire:SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7
- SHA1:
