Differenze tra le versioni di "MetadataLegacy2024"
Jump to navigation
Jump to search
| Riga 1: | Riga 1: | ||
{{deprecated|1=Se utilizzate il servizio IDEM MDX (https://mdx.idem.garr.it) le seguenti istruzioni non vi interessano e non devono essere eseguite.}} | {{deprecated|1=Se utilizzate il servizio IDEM MDX (https://mdx.idem.garr.it) le seguenti istruzioni non vi interessano e non devono essere eseguite.}} | ||
| + | |||
| + | ==='''Le seguenti istruzioni riguardano il rinnovo del certificato pubblico dei metadata aggregati che avverrà il giorno 18/11/2024 alle ore HH:MM'''=== | ||
===Shibboleth=== | ===Shibboleth=== | ||
| − | # | + | #Recuperare il certificato della Federazione: |
#*<code>wget <nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki> -O /opt/shibboleth-idp/credentials/idem-signer-legacy.pem</code> | #*<code>wget <nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki> -O /opt/shibboleth-idp/credentials/idem-signer-legacy.pem</code> | ||
#Controllare la validità del certificato: | #Controllare la validità del certificato: | ||
#*SHA1:<br />eseguire il comando: <code>openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -sha1 -noout</code><br />deve restituire: <code>SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7</code> <br /> | #*SHA1:<br />eseguire il comando: <code>openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -sha1 -noout</code><br />deve restituire: <code>SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7</code> <br /> | ||
#*MD5:<br />eseguire il comando: <code>openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -md5 -noout</code><br />deve restituire: <code>MD5 Fingerprint=7A:30:52:E2:2D:A5:F9:46:9A:7A:38:47:51:82:81:C2</code> | #*MD5:<br />eseguire il comando: <code>openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -md5 -noout</code><br />deve restituire: <code>MD5 Fingerprint=7A:30:52:E2:2D:A5:F9:46:9A:7A:38:47:51:82:81:C2</code> | ||
| − | # | + | #Modificare la configurazione: |
#*configurare certificato e flusso di metadata desiderato in <code>/opt/shibboleth-idp/conf/metadata-providers.xml,</code> ad es. per il flusso '''IDEM Test''':<syntaxhighlight lang="xml"> | #*configurare certificato e flusso di metadata desiderato in <code>/opt/shibboleth-idp/conf/metadata-providers.xml,</code> ad es. per il flusso '''IDEM Test''':<syntaxhighlight lang="xml"> | ||
<MetadataProvider id="URLMD-IDEM-Federation" | <MetadataProvider id="URLMD-IDEM-Federation" | ||
| Riga 26: | Riga 28: | ||
===SimpleSAMLphp=== | ===SimpleSAMLphp=== | ||
| − | # | + | #Recuperare il certificato della Federazione: |
#*<code>wget <nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki> -O /var/simplesamlphp/cert/idem-signer-legacy.pem</code> | #*<code>wget <nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki> -O /var/simplesamlphp/cert/idem-signer-legacy.pem</code> | ||
#Controllare la validità del certificato: | #Controllare la validità del certificato: | ||
#*SHA1:<br />eseguire il comando: <code>openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -sha1 -noout</code><br />deve restituire: <code>SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7</code> <br /> | #*SHA1:<br />eseguire il comando: <code>openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -sha1 -noout</code><br />deve restituire: <code>SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7</code> <br /> | ||
#*MD5:<br />eseguire il comando: <code>openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -md5 -noout</code><br />deve restituire: <code>MD5 Fingerprint=7A:30:52:E2:2D:A5:F9:46:9A:7A:38:47:51:82:81:C2</code> | #*MD5:<br />eseguire il comando: <code>openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -md5 -noout</code><br />deve restituire: <code>MD5 Fingerprint=7A:30:52:E2:2D:A5:F9:46:9A:7A:38:47:51:82:81:C2</code> | ||
| − | # | + | #Modificare la configurazione: |
#*configurare certificato e flusso di metadata desiderato in <code>/var/simplesamlphp/config/config-metarefresh.php</code>, ad es. per il flusso '''IDEM Test''':<syntaxhighlight lang="php"> | #*configurare certificato e flusso di metadata desiderato in <code>/var/simplesamlphp/config/config-metarefresh.php</code>, ad es. per il flusso '''IDEM Test''':<syntaxhighlight lang="php"> | ||
<?php | <?php | ||
| Riga 65: | Riga 67: | ||
#*Aprire la pagina '''<nowiki>https://ssp-idp.example.org/simplesaml/module.php/core/frontpage_federation.php</nowiki>''' e forzare il download dei metadata di Federazione premendo su <code>Metarefresh: fetch metadata</code> o aspettare 1 giorno (''Sostituire <code>ssp-idp.example.org</code> il proprio IdP Full Qualified Domain Name'') | #*Aprire la pagina '''<nowiki>https://ssp-idp.example.org/simplesaml/module.php/core/frontpage_federation.php</nowiki>''' e forzare il download dei metadata di Federazione premendo su <code>Metarefresh: fetch metadata</code> o aspettare 1 giorno (''Sostituire <code>ssp-idp.example.org</code> il proprio IdP Full Qualified Domain Name'') | ||
| − | === Altri Framework - ADFS Toolkit, SaToSa, ecc. === | + | ===Altri Framework - ADFS Toolkit, SaToSa, ecc.=== |
Consigliamo di utilizzare il nuovo certificato dei metadata aggregati fin da subito se non è possibile utilizzare IDEM MDX (https://mdx.idem.garr.it): | Consigliamo di utilizzare il nuovo certificato dei metadata aggregati fin da subito se non è possibile utilizzare IDEM MDX (https://mdx.idem.garr.it): | ||
| − | * https://md.idem.garr.it/certs/idem-signer-legacy.pem | + | #Recuperare il certificato della Federazione: |
| + | #*<code>wget <nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki> -O /tmp/idem-signer-legacy.pem</code> | ||
| + | #Controllare la validità del certificato: | ||
| + | #*SHA1:<br />eseguire il comando: <code>openssl x509 -in /tmp/idem-signer-legacy.pem -fingerprint -sha1 -noout</code><br />deve restituire: <code>SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7</code> <br /> | ||
| + | #*MD5:<br />eseguire il comando: <code>openssl x509 -in /tmp/idem-signer-legacy.pem -fingerprint -md5 -noout</code><br />deve restituire: <code>MD5 Fingerprint=7A:30:52:E2:2D:A5:F9:46:9A:7A:38:47:51:82:81:C2</code> | ||
Versione delle 12:12, 29 ott 2024
Se utilizzate il servizio IDEM MDX (https://mdx.idem.garr.it) le seguenti istruzioni non vi interessano e non devono essere eseguite.
Indice
Le seguenti istruzioni riguardano il rinnovo del certificato pubblico dei metadata aggregati che avverrà il giorno 18/11/2024 alle ore HH:MM
Shibboleth
- Recuperare il certificato della Federazione:
wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /opt/shibboleth-idp/credentials/idem-signer-legacy.pem
- Controllare la validità del certificato:
- SHA1:
eseguire il comando:openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -sha1 -noout
deve restituire:SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7 - MD5:
eseguire il comando:openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -md5 -noout
deve restituire:MD5 Fingerprint=7A:30:52:E2:2D:A5:F9:46:9A:7A:38:47:51:82:81:C2
- SHA1:
- Modificare la configurazione:
- configurare certificato e flusso di metadata desiderato in
/opt/shibboleth-idp/conf/metadata-providers.xml,ad es. per il flusso IDEM Test:<MetadataProvider id="URLMD-IDEM-Federation" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml" metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" certificateFile="%{idp.home}/credentials/idem-signer-legacy.pem"/> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/> <MetadataFilter xsi:type="EntityRole"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider>
- Verificare il funzionamento con:
bash /opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.MetadataResolverService
- configurare certificato e flusso di metadata desiderato in
SimpleSAMLphp
- Recuperare il certificato della Federazione:
wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /var/simplesamlphp/cert/idem-signer-legacy.pem
- Controllare la validità del certificato:
- SHA1:
eseguire il comando:openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -sha1 -noout
deve restituire:SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7 - MD5:
eseguire il comando:openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -md5 -noout
deve restituire:MD5 Fingerprint=7A:30:52:E2:2D:A5:F9:46:9A:7A:38:47:51:82:81:C2
- SHA1:
- Modificare la configurazione:
- configurare certificato e flusso di metadata desiderato in
/var/simplesamlphp/config/config-metarefresh.php, ad es. per il flusso IDEM Test:<?php $config = [ 'sets' => [ 'idem' => [ 'cron' => ['hourly'], 'sources' => [ [ 'src' => 'http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml', 'certificates' => [ '/var/simplesamlphp/cert/idem-signer-legacy.pem', ], 'template' => [ 'tags' => ['idem'], 'authproc' => [ 51 => ['class' => 'core:AttributeMap', 'oid2name'], ], ], 'types' => ['saml20-sp-remote'], // Load only SAML v2.0 SP from metadata ], ], 'expireAfter' => 864000, // Maximum 10 days cache time (3600*24*10) 'outputDir' => 'metadata/', 'outputFormat' => 'flatfile', ], ], ];
- Aprire la pagina https://ssp-idp.example.org/simplesaml/module.php/core/frontpage_federation.php e forzare il download dei metadata di Federazione premendo su
Metarefresh: fetch metadatao aspettare 1 giorno (Sostituiressp-idp.example.orgil proprio IdP Full Qualified Domain Name)
- configurare certificato e flusso di metadata desiderato in
Altri Framework - ADFS Toolkit, SaToSa, ecc.
Consigliamo di utilizzare il nuovo certificato dei metadata aggregati fin da subito se non è possibile utilizzare IDEM MDX (https://mdx.idem.garr.it):
- Recuperare il certificato della Federazione:
wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /tmp/idem-signer-legacy.pem
- Controllare la validità del certificato:
- SHA1:
eseguire il comando:openssl x509 -in /tmp/idem-signer-legacy.pem -fingerprint -sha1 -noout
deve restituire:SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7 - MD5:
eseguire il comando:openssl x509 -in /tmp/idem-signer-legacy.pem -fingerprint -md5 -noout
deve restituire:MD5 Fingerprint=7A:30:52:E2:2D:A5:F9:46:9A:7A:38:47:51:82:81:C2
- SHA1:
