Differenze tra le versioni di "MetadataLegacy2024"
Jump to navigation
Jump to search
| Riga 1: | Riga 1: | ||
'''<div style="font-size: 2em;">Le seguenti istruzioni riguardano il rinnovo del certificato pubblico dei metadata aggregati che avverrà il giorno 18/11/2024 alle ore HH:MM.</div>''' | '''<div style="font-size: 2em;">Le seguenti istruzioni riguardano il rinnovo del certificato pubblico dei metadata aggregati che avverrà il giorno 18/11/2024 alle ore HH:MM.</div>''' | ||
| − | {{deprecated|1=Se utilizzate il servizio IDEM MDX (https://mdx.idem.garr.it) | + | {{deprecated|1=Se utilizzate il servizio IDEM MDX (https://mdx.idem.garr.it) le seguenti istruzioni non vi interessano e non devono essere eseguite.}} |
| − | ===Shibboleth=== | + | === Generale === |
| + | Il certificato oggetto del rinnovo è utilizzato per verificare la firma dei metadata aggregati. L'operazione di rinnovo consiste in un'estensione della validità mantenendo la stessa chiave pubblica. Di fatto il certificato è lo stesso, nel senso che corrisponde alla stessa chiave privata, ma con una durata diversa. | ||
| + | |||
| + | Questo vuol dire che i software, come ad esempio Shibboleth IdP e Shibboleth SP, che usano il certificato solo come chiave pubblica per verificare la firma dei metadata, ignorando le informazioni di scadenza, possono continuare a funzionare senza alcuna modifica. Tuttavia il nostro consiglio è di passare a MDX, vedi https://mdx.idem.garr.it/, o, nel caso in cui non fosse possibile, di aggiornare comunque il certificato seguendo le istruzioni che seguono in modo da essere certi di avere l'ultima configurazione corretta. | ||
| + | |||
| + | Il nome del certificato rinnovato è <code>idem-signer-legacy.pem</code> perché è il certificato utilizzato per il servizio di distribuzione dei metadata aggregati '''deprecato''' in favore di IDEM MDX come segnalato più volte. | ||
| + | |||
| + | === Shibboleth === | ||
#Recuperare il certificato della Federazione: | #Recuperare il certificato della Federazione: | ||
#*<code>wget <nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki> -O /opt/shibboleth-idp/credentials/idem-signer-legacy.pem</code> | #*<code>wget <nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki> -O /opt/shibboleth-idp/credentials/idem-signer-legacy.pem</code> | ||
#Controllare la validità del certificato: | #Controllare la validità del certificato: | ||
| − | #* | + | #*eseguire il comando: <code>openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -sha1 -noout</code><br />deve restituire: <code>SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7</code> |
| − | |||
#Modificare la configurazione: | #Modificare la configurazione: | ||
#*configurare certificato e flusso di metadata desiderato in <code>/opt/shibboleth-idp/conf/metadata-providers.xml,</code> ad es. per il flusso '''IDEM Test''':<syntaxhighlight lang="xml"> | #*configurare certificato e flusso di metadata desiderato in <code>/opt/shibboleth-idp/conf/metadata-providers.xml,</code> ad es. per il flusso '''IDEM Test''':<syntaxhighlight lang="xml"> | ||
| Riga 31: | Riga 37: | ||
#*<code>wget <nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki> -O /var/simplesamlphp/cert/idem-signer-legacy.pem</code> | #*<code>wget <nowiki>https://md.idem.garr.it/certs/idem-signer-legacy.pem</nowiki> -O /var/simplesamlphp/cert/idem-signer-legacy.pem</code> | ||
#Controllare la validità del certificato: | #Controllare la validità del certificato: | ||
| − | #* | + | #*eseguire il comando: <code>openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -sha1 -noout</code><br />deve restituire: <code>SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7</code> |
| − | |||
#Modificare la configurazione: | #Modificare la configurazione: | ||
#*configurare certificato e flusso di metadata desiderato in <code>/var/simplesamlphp/config/config-metarefresh.php</code>, ad es. per il flusso '''IDEM Test''':<syntaxhighlight lang="php"> | #*configurare certificato e flusso di metadata desiderato in <code>/var/simplesamlphp/config/config-metarefresh.php</code>, ad es. per il flusso '''IDEM Test''':<syntaxhighlight lang="php"> | ||
| Riga 75: | Riga 80: | ||
#Controllare la validità del certificato: | #Controllare la validità del certificato: | ||
#*SHA1:<br />eseguire il comando: <code>openssl x509 -in /tmp/idem-signer-legacy.pem -fingerprint -sha1 -noout</code><br />deve restituire: <code>SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7</code> <br /> | #*SHA1:<br />eseguire il comando: <code>openssl x509 -in /tmp/idem-signer-legacy.pem -fingerprint -sha1 -noout</code><br />deve restituire: <code>SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7</code> <br /> | ||
| − | |||
Versione delle 12:50, 29 ott 2024
Le seguenti istruzioni riguardano il rinnovo del certificato pubblico dei metadata aggregati che avverrà il giorno 18/11/2024 alle ore HH:MM.
Se utilizzate il servizio IDEM MDX (https://mdx.idem.garr.it) le seguenti istruzioni non vi interessano e non devono essere eseguite.
Generale
Il certificato oggetto del rinnovo è utilizzato per verificare la firma dei metadata aggregati. L'operazione di rinnovo consiste in un'estensione della validità mantenendo la stessa chiave pubblica. Di fatto il certificato è lo stesso, nel senso che corrisponde alla stessa chiave privata, ma con una durata diversa.
Questo vuol dire che i software, come ad esempio Shibboleth IdP e Shibboleth SP, che usano il certificato solo come chiave pubblica per verificare la firma dei metadata, ignorando le informazioni di scadenza, possono continuare a funzionare senza alcuna modifica. Tuttavia il nostro consiglio è di passare a MDX, vedi https://mdx.idem.garr.it/, o, nel caso in cui non fosse possibile, di aggiornare comunque il certificato seguendo le istruzioni che seguono in modo da essere certi di avere l'ultima configurazione corretta.
Il nome del certificato rinnovato è idem-signer-legacy.pem perché è il certificato utilizzato per il servizio di distribuzione dei metadata aggregati deprecato in favore di IDEM MDX come segnalato più volte.
Shibboleth
- Recuperare il certificato della Federazione:
wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /opt/shibboleth-idp/credentials/idem-signer-legacy.pem
- Controllare la validità del certificato:
- eseguire il comando:
openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -sha1 -noout
deve restituire:SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7
- eseguire il comando:
- Modificare la configurazione:
- configurare certificato e flusso di metadata desiderato in
/opt/shibboleth-idp/conf/metadata-providers.xml,ad es. per il flusso IDEM Test:<MetadataProvider id="URLMD-IDEM-Federation" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml" metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" certificateFile="%{idp.home}/credentials/idem-signer-legacy.pem"/> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/> <MetadataFilter xsi:type="EntityRole"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider>
- Verificare il funzionamento con:
bash /opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.MetadataResolverService
- configurare certificato e flusso di metadata desiderato in
SimpleSAMLphp
- Recuperare il certificato della Federazione:
wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /var/simplesamlphp/cert/idem-signer-legacy.pem
- Controllare la validità del certificato:
- eseguire il comando:
openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -sha1 -noout
deve restituire:SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7
- eseguire il comando:
- Modificare la configurazione:
- configurare certificato e flusso di metadata desiderato in
/var/simplesamlphp/config/config-metarefresh.php, ad es. per il flusso IDEM Test:<?php $config = [ 'sets' => [ 'idem' => [ 'cron' => ['hourly'], 'sources' => [ [ 'src' => 'http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml', 'certificates' => [ '/var/simplesamlphp/cert/idem-signer-legacy.pem', ], 'template' => [ 'tags' => ['idem'], 'authproc' => [ 51 => ['class' => 'core:AttributeMap', 'oid2name'], ], ], 'types' => ['saml20-sp-remote'], // Load only SAML v2.0 SP from metadata ], ], 'expireAfter' => 864000, // Maximum 10 days cache time (3600*24*10) 'outputDir' => 'metadata/', 'outputFormat' => 'flatfile', ], ], ];
- Aprire la pagina https://ssp-idp.example.org/simplesaml/module.php/core/frontpage_federation.php e forzare il download dei metadata di Federazione premendo su
Metarefresh: fetch metadatao aspettare 1 giorno (Sostituiressp-idp.example.orgil proprio IdP Full Qualified Domain Name)
- configurare certificato e flusso di metadata desiderato in
Altri Framework - ADFS Toolkit, SaToSa, ecc.
Consigliamo di utilizzare il nuovo certificato dei metadata aggregati fin da subito se non è possibile utilizzare IDEM MDX (https://mdx.idem.garr.it):
- Recuperare il certificato della Federazione:
wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /tmp/idem-signer-legacy.pem
- Controllare la validità del certificato:
- SHA1:
eseguire il comando:openssl x509 -in /tmp/idem-signer-legacy.pem -fingerprint -sha1 -noout
deve restituire:SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7
- SHA1:
