Differenze tra le versioni di "RolloverCertificati"
Jump to navigation
Jump to search
Riga 9: | Riga 9: | ||
All'interno di un SP Shibboleth possono essere configurate 2 tipologie di chiave: '''signing key''' e '''encryption key'''. E' altresì possibile che sia usata una sola chiave per entrambi gli scopi. | All'interno di un SP Shibboleth possono essere configurate 2 tipologie di chiave: '''signing key''' e '''encryption key'''. E' altresì possibile che sia usata una sola chiave per entrambi gli scopi. | ||
− | Nel caso sia necessario sostituire la chiave di signing basterà aggiungere ai metadata del SP in Federazione la nuova chiave ed aspettare che l'informazione di propaghi a tutte le entità (di solito avviene in 24h). | + | ;Sostituzione signing key |
− | Aspettato il tempo necessario basterà aggiornare la configurazione del SP per usare la nuova signing key. | + | :Nel caso sia necessario sostituire la chiave di signing basterà aggiungere ai metadata del SP in Federazione la nuova chiave ed aspettare che l'informazione di propaghi a tutte le entità (di solito avviene in 24h). |
+ | :Aspettato il tempo necessario basterà aggiornare la configurazione del SP per usare la nuova signing key. | ||
− | Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo: | + | ;Sostituzione encryption key o chiave unica |
+ | :Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo: | ||
− | + | # creare un nuovo certificato e aggiornare la configurazione del SP includendo la nuova chiave indicando esplicitamente <code>use="encryption"</code>. | |
− | + | # aggiungere via Registry il nuovo certificato ai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione. | |
− | + | # aggiornare la configurazione del SP invertendo il parametro <code>use="encryption"</code> dalla nuova chiave alla vecchia. | |
− | + | # rimuovere via Registry il vecchio certificato dai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione. | |
− | + | # aggiornare la configurazione del SP rimuovendo la vecchia chiave. | |
=== Identity Provider === | === Identity Provider === |
Versione delle 17:23, 10 apr 2019
Cambio dei certificati (Certificate Rollover)
Questa pagina descrive il processo di rollover dei certificati per entità Shibboleth. La procedura descritta di seguito consente di sostituire i certificati senza alcuna interruzione del servizio.
Service Provider
Le seguenti informazioni sono tratte dalla documentazione ufficiale Shibboleth SP3.
All'interno di un SP Shibboleth possono essere configurate 2 tipologie di chiave: signing key e encryption key. E' altresì possibile che sia usata una sola chiave per entrambi gli scopi.
- Sostituzione signing key
- Nel caso sia necessario sostituire la chiave di signing basterà aggiungere ai metadata del SP in Federazione la nuova chiave ed aspettare che l'informazione di propaghi a tutte le entità (di solito avviene in 24h).
- Aspettato il tempo necessario basterà aggiornare la configurazione del SP per usare la nuova signing key.
- Sostituzione encryption key o chiave unica
- Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo:
- creare un nuovo certificato e aggiornare la configurazione del SP includendo la nuova chiave indicando esplicitamente
use="encryption"
. - aggiungere via Registry il nuovo certificato ai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione.
- aggiornare la configurazione del SP invertendo il parametro
use="encryption"
dalla nuova chiave alla vecchia. - rimuovere via Registry il vecchio certificato dai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione.
- aggiornare la configurazione del SP rimuovendo la vecchia chiave.