Differenze tra le versioni di "RolloverCertificati"
Jump to navigation
Jump to search
| Riga 9: | Riga 9: | ||
All'interno di un SP Shibboleth possono essere configurate 2 tipologie di chiave: '''signing key''' e '''encryption key'''. E' altresì possibile che sia usata una sola chiave per entrambi gli scopi. | All'interno di un SP Shibboleth possono essere configurate 2 tipologie di chiave: '''signing key''' e '''encryption key'''. E' altresì possibile che sia usata una sola chiave per entrambi gli scopi. | ||
| − | ;Sostituzione signing key | + | ;Sostituzione della signing key |
:Nel caso sia necessario sostituire la chiave di signing basterà aggiungere ai metadata del SP in Federazione la nuova chiave ed aspettare che l'informazione di propaghi a tutte le entità (di solito avviene in 24h). | :Nel caso sia necessario sostituire la chiave di signing basterà aggiungere ai metadata del SP in Federazione la nuova chiave ed aspettare che l'informazione di propaghi a tutte le entità (di solito avviene in 24h). | ||
:Aspettato il tempo necessario basterà aggiornare la configurazione del SP per usare la nuova signing key. | :Aspettato il tempo necessario basterà aggiornare la configurazione del SP per usare la nuova signing key. | ||
| − | ;Sostituzione encryption key o chiave unica | + | ;Sostituzione della encryption key o della chiave unica |
:Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo: | :Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo: | ||
| Riga 21: | Riga 21: | ||
# rimuovere via Registry il vecchio certificato dai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione. | # rimuovere via Registry il vecchio certificato dai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione. | ||
# aggiornare la configurazione del SP rimuovendo la vecchia chiave. | # aggiornare la configurazione del SP rimuovendo la vecchia chiave. | ||
| + | |||
| + | Come semplice esempio, se la configurazione iniziale fosse la seguente: | ||
| + | |||
| + | <CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem"/> | ||
| + | |||
| + | Dopo il passo 1 la configurazione sarà: | ||
| + | |||
| + | <CredentialResolver type="Chaining"> | ||
| + | <CredentialResolver type="File" key="new-key.pem" certificate="new-cert.pem" use="encryption"/> | ||
| + | <CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem"/> | ||
| + | </CredentialResolver> | ||
| + | |||
| + | E dopo il passo 3: | ||
| + | |||
| + | <CredentialResolver type="Chaining"> | ||
| + | <CredentialResolver type="File" key="new-key.pem" certificate="new-cert.pem"/> | ||
| + | <CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem" use="encryption"/> | ||
| + | </CredentialResolver> | ||
| + | |||
| + | Alla fine del passo 5 sarà: | ||
| + | |||
| + | <CredentialResolver type="File" key="new-key.pem" certificate="new-cert.pem"/> | ||
| + | |||
=== Identity Provider === | === Identity Provider === | ||
Versione delle 16:31, 10 apr 2019
Cambio dei certificati (Certificate Rollover)
Questa pagina descrive il processo di rollover dei certificati per entità Shibboleth. La procedura descritta di seguito consente di sostituire i certificati senza alcuna interruzione del servizio.
Service Provider
Le seguenti informazioni sono tratte dalla documentazione ufficiale Shibboleth SP3.
All'interno di un SP Shibboleth possono essere configurate 2 tipologie di chiave: signing key e encryption key. E' altresì possibile che sia usata una sola chiave per entrambi gli scopi.
- Sostituzione della signing key
- Nel caso sia necessario sostituire la chiave di signing basterà aggiungere ai metadata del SP in Federazione la nuova chiave ed aspettare che l'informazione di propaghi a tutte le entità (di solito avviene in 24h).
- Aspettato il tempo necessario basterà aggiornare la configurazione del SP per usare la nuova signing key.
- Sostituzione della encryption key o della chiave unica
- Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo:
- creare un nuovo certificato e aggiornare la configurazione del SP includendo la nuova chiave indicando esplicitamente
use="encryption". - aggiungere via Registry il nuovo certificato ai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione.
- aggiornare la configurazione del SP invertendo il parametro
use="encryption"dalla nuova chiave alla vecchia. - rimuovere via Registry il vecchio certificato dai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione.
- aggiornare la configurazione del SP rimuovendo la vecchia chiave.
Come semplice esempio, se la configurazione iniziale fosse la seguente:
<CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem"/>
Dopo il passo 1 la configurazione sarà:
<CredentialResolver type="Chaining">
<CredentialResolver type="File" key="new-key.pem" certificate="new-cert.pem" use="encryption"/>
<CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem"/>
</CredentialResolver>
E dopo il passo 3:
<CredentialResolver type="Chaining">
<CredentialResolver type="File" key="new-key.pem" certificate="new-cert.pem"/>
<CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem" use="encryption"/>
</CredentialResolver>
Alla fine del passo 5 sarà:
<CredentialResolver type="File" key="new-key.pem" certificate="new-cert.pem"/>
