Differenze tra le versioni di "MetadataLegacy2024"

Versione attuale delle 10:04, 30 ott 2024

Le seguenti istruzioni riguardano il rinnovo del certificato pubblico dei metadata aggregati che avverrà il giorno 18/11/2024 alle ore 11:00.

Se utilizzate il servizio IDEM MDX (https://mdx.idem.garr.it) potete ignorare le istruzioni che seguono.

Generale

Il certificato oggetto del rinnovo è utilizzato per verificare la firma dei metadata aggregati. L'operazione di rinnovo consiste in un'estensione della validità mantenendo la stessa chiave pubblica. Di fatto il certificato è lo stesso, nel senso che corrisponde alla stessa chiave privata, ma con una durata diversa.

Questo vuol dire che i software, come ad esempio Shibboleth IdP e Shibboleth SP, che usano il certificato solo come chiave pubblica per verificare la firma dei metadata, ignorando le informazioni di scadenza, possono continuare a funzionare senza alcuna modifica. Tuttavia il nostro consiglio è di passare a IDEM MDX, vedi https://mdx.idem.garr.it/.

Il nome del certificato rinnovato è idem-signer-legacy.pem perché è il certificato utilizzato per il servizio di distribuzione dei metadata aggregati deprecato in favore di IDEM MDX come segnalato più volte.

Chi usa software che non supportano il protocollo MDQ, e che quindi non possono usare il servizio IDEM MDX, può scaricare il certificato rinnovato seguendo le istruzioni contenute nella pagina Metadata.

English version

The following instructions pertain to the renewal of the public certificate of aggregate metadata which will take place on 18/11/2024 at 11:00 a.m.

If you are using the IDEM MDX service (https://mdx.idem.garr.it), you can ignore the instructions below.

General

The certificate being renewed is used to verify the signing of aggregated metadata. The renewal operation consists of an extension of validity while maintaining the same public key. In fact, the certificate is the same in the sense that it corresponds to the same private key, but with a different duration.

This means that software, such as, for example, Shibboleth IdP and Shibboleth SP, which use the certificate only as a public key to verify the signing of metadata, ignoring the expiration information, can continue to work without any changes. However, our recommendation is to upgrade to IDEM MDX, see https://mdx.idem.garr.it/.

The name of the renewed certificate is idem-signer-legacy.pem because it is the certificate used for the aggregated metadata distribution service deprecated in favor of IDEM MDX as reported several times.

Those using software that does not support the MDQ protocol, and therefore cannot use the IDEM MDX service, can download the renewed certificate by following the instructions on the Metadata page .

@@ Riga 1: / Riga 1: @@
-'''<div style="font-size: 2em;">Le seguenti istruzioni riguardano il rinnovo del certificato pubblico dei metadata aggregati che avverrà il giorno 18/11/2024 alle ore HH:MM.</div>'''
+'''<div style="font-size: 2em;">Le seguenti istruzioni riguardano il rinnovo del certificato pubblico dei metadata aggregati che avverrà il giorno 18/11/2024 alle ore 11:00.</div>'''
-{{deprecated|1=Se utilizzate il servizio IDEM MDX (https://mdx.idem.garr.it) le seguenti istruzioni non vi interessano e non devono essere eseguite.}}
+{{deprecated|1=Se utilizzate il servizio IDEM MDX (https://mdx.idem.garr.it) potete ignorare le istruzioni che seguono.}}
 ===Generale===
 Il certificato oggetto del rinnovo è utilizzato per verificare la firma dei metadata aggregati. L'operazione di rinnovo consiste in un'estensione della validità mantenendo la stessa chiave pubblica. Di fatto il certificato è lo stesso, nel senso che corrisponde alla stessa chiave privata, ma con una durata diversa.
-Questo vuol dire che i software, come ad esempio Shibboleth IdP e Shibboleth SP, che usano il certificato solo come chiave pubblica per verificare la firma dei metadata, ignorando le informazioni di scadenza, possono continuare a funzionare senza alcuna modifica. Tuttavia il nostro consiglio è di passare a IDEM MDX, vedi https://mdx.idem.garr.it/, o, nel caso in cui non fosse possibile, di aggiornare comunque il certificato seguendo le istruzioni che seguono in modo da essere certi di avere l'ultima configurazione corretta.
+Questo vuol dire che i software, come ad esempio Shibboleth IdP e Shibboleth SP, che usano il certificato solo come chiave pubblica per verificare la firma dei metadata, ignorando le informazioni di scadenza, possono continuare a funzionare senza alcuna modifica. Tuttavia il nostro consiglio è di passare a IDEM MDX, vedi https://mdx.idem.garr.it/.
 Il nome del certificato rinnovato è <code>idem-signer-legacy.pem</code> perché è il certificato utilizzato per il servizio di distribuzione dei metadata aggregati '''deprecato''' in favore di IDEM MDX come segnalato più volte.
-===Shibboleth IdP===
+Chi usa software che non supportano il protocollo MDQ, e che quindi non possono usare il servizio IDEM MDX, può scaricare il certificato rinnovato seguendo le istruzioni contenute nella pagina [[Metadata]].
-#Recuperare il certificato della Federazione:
+== English version ==
-#*<code>wget <nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki> -O /opt/shibboleth-idp/credentials/idem-signer-legacy.pem</code>
+<br />
-#Controllare la validità del certificato:
-#*eseguire il comando: <code>openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -sha1 -noout</code><br />deve restituire: <code>SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7</code>
-#Modificare la configurazione:
-#*configurare certificato e flusso di metadata desiderato in <code>/opt/shibboleth-idp/conf/metadata-providers.xml,</code> ad es. per il flusso '''IDEM Test''':<syntaxhighlight lang="xml">
-<MetadataProvider id="URLMD-IDEM-Federation"
-                  xsi:type="FileBackedHTTPMetadataProvider"
-                  backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml"
-                  metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml">
-   <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
-                   certificateFile="%{idp.home}/credentials/idem-signer-legacy.pem"/>
-   <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/>
-   <MetadataFilter xsi:type="EntityRole">
-      <RetainedRole>md:SPSSODescriptor</RetainedRole>
-   </MetadataFilter>
-</MetadataProvider>
-</syntaxhighlight>
-#*Verificare il funzionamento con: <code>bash /opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.MetadataResolverService</code>
-===Shibboleth SP===
+'''<div style="font-size: 2em;">The following instructions pertain to the renewal of the public certificate of aggregate metadata which will take place on 18/11/2024 at 11:00 a.m.</div>
-#Recuperare il certificato della Federazione:
+{{deprecated|1=If you are using the IDEM MDX service (https://mdx.idem.garr.it), you can ignore the instructions below.}}
-#*<code>wget <nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki> -O /etc/shibboleth/idem-signer-legacy.pem</code>
-#Controllare la validità del certificato:
-#*eseguire il comando: <code>openssl x509 -in /etc/shibboleth/idem-signer-legacy.pem -fingerprint -sha1 -noout</code><br />deve restituire: <code>SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7</code>
-#Modificare la configurazione:
-#*configurare certificato e flusso di metadata desiderato in <code>/etc/shibboleth/shibboleth2.xml,</code> ad es. per il flusso '''IDEM Test''':<syntaxhighlight lang="xml">
-<MetadataProvider type="XML" url="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml"
-                  backingFilePath="idem-test-metadata-sha256.xml" maxRefreshDelay="7200">
-      <MetadataFilter type="Signature" certificate="idem-signer-legacy.pem"/>
-      <MetadataFilter type="RequireValidUntil" maxValidityInterval="864000" />
-</MetadataProvider>
-</syntaxhighlight>
-#*Verificare il funzionamento con: <code>service shibd restart</code>
-===SimpleSAMLphp===
+=== General ===
+The certificate being renewed is used to verify the signing of aggregated metadata. The renewal operation consists of an extension of validity while maintaining the same public key. In fact, the certificate is the same in the sense that it corresponds to the same private key, but with a different duration.
-#Recuperare il certificato della Federazione:
+This means that software, such as, for example, Shibboleth IdP and Shibboleth SP, which use the certificate only as a public key to verify the signing of metadata, ignoring the expiration information, can continue to work without any changes. However, our recommendation is to upgrade to IDEM MDX, see <nowiki>https://mdx.idem.garr.it/</nowiki>.
-#*<code>wget <nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki> -O /var/simplesamlphp/cert/idem-signer-legacy.pem</code>
-#Controllare la validità del certificato:
-#*eseguire il comando: <code>openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -sha1 -noout</code><br />deve restituire: <code>SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7</code>
-#Modificare la configurazione:
-#*configurare certificato e flusso di metadata desiderato in <code>/var/simplesamlphp/config/config-metarefresh.php</code>, ad es. per il flusso '''IDEM Test''':<syntaxhighlight lang="php">
-<?php
-$config = [
+The name of the renewed certificate is <code>idem-signer-legacy.pem</code> because it is the certificate used for the aggregated metadata distribution service '''deprecated''' in favor of IDEM MDX as reported several times.
-   'sets' => [
-      'idem' => [
-         'cron'    => ['hourly'],
-         'sources' => [
-                       [
-                        'src' => 'http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml',
-                        'certificates' => [
-                           '/var/simplesamlphp/cert/idem-signer-legacy.pem',
-                        ],
-                        'template' => [
-                           'tags'  => ['idem'],
-                           'authproc' => [
-=> ['class' => 'core:AttributeMap', 'oid2name'],
-                           ],
-                        ],
-                        'types' => ['saml20-sp-remote'],   // Load only SAML v2.0 SP from metadata
+Those using software that does not support the MDQ protocol, and therefore cannot use the IDEM MDX service, can download the renewed certificate by following the instructions on the [[Metadata]] page .
-                       ],
-                      ],
-         'expireAfter' => 864000, // Maximum 10 days cache time (3600*24*10)
-         'outputDir'   => 'metadata/',
-         'outputFormat' => 'flatfile',
-      ],
-   ],
-];
-</syntaxhighlight>
-#*Aprire la pagina '''<nowiki>https://ssp-idp.example.org/simplesaml/module.php/core/frontpage_federation.php</nowiki>''' e forzare il download dei metadata di Federazione premendo su <code>Metarefresh: fetch metadata</code> o aspettare 1 giorno  (''Sostituire <code>ssp-idp.example.org</code> il proprio IdP Full Qualified Domain Name'')
-===Altri Framework - ADFS Toolkit, SaToSa, ecc.===
-Consigliamo di utilizzare il nuovo certificato dei metadata aggregati fin da subito se non è possibile utilizzare IDEM MDX (https://mdx.idem.garr.it):
-#Recuperare il certificato della Federazione:
-#*<code>wget <nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki> -O /tmp/idem-signer-legacy.pem</code>
-#Controllare la validità del certificato:
-#*SHA1:<br />eseguire il comando: <code>openssl x509 -in /tmp/idem-signer-legacy.pem -fingerprint -sha1 -noout</code><br />deve restituire: <code>SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7</code> <br />

Differenze tra le versioni di "MetadataLegacy2024"

Versione attuale delle 10:04, 30 ott 2024

Generale

English version

General

Menu di navigazione

Strumenti personali

Namespace

Varianti

Visite

Altro

Ricerca

Navigazione

IDEM Wiki

IDEM Organi

GARR CS

Min Salute

Strumenti