Differenze tra le versioni di "RolloverCertificati"
Jump to navigation
Jump to search
Riga 9: | Riga 9: | ||
All'interno di un SP Shibboleth possono essere configurate 2 tipologie di chiave: '''signing key''' e '''encryption key'''. E' altresì possibile che sia usata una sola chiave per entrambi gli scopi. | All'interno di un SP Shibboleth possono essere configurate 2 tipologie di chiave: '''signing key''' e '''encryption key'''. E' altresì possibile che sia usata una sola chiave per entrambi gli scopi. | ||
− | ;Sostituzione signing key | + | ;Sostituzione della signing key |
:Nel caso sia necessario sostituire la chiave di signing basterà aggiungere ai metadata del SP in Federazione la nuova chiave ed aspettare che l'informazione di propaghi a tutte le entità (di solito avviene in 24h). | :Nel caso sia necessario sostituire la chiave di signing basterà aggiungere ai metadata del SP in Federazione la nuova chiave ed aspettare che l'informazione di propaghi a tutte le entità (di solito avviene in 24h). | ||
:Aspettato il tempo necessario basterà aggiornare la configurazione del SP per usare la nuova signing key. | :Aspettato il tempo necessario basterà aggiornare la configurazione del SP per usare la nuova signing key. | ||
− | ;Sostituzione encryption key o chiave unica | + | ;Sostituzione della encryption key o della chiave unica |
:Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo: | :Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo: | ||
Riga 21: | Riga 21: | ||
# rimuovere via Registry il vecchio certificato dai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione. | # rimuovere via Registry il vecchio certificato dai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione. | ||
# aggiornare la configurazione del SP rimuovendo la vecchia chiave. | # aggiornare la configurazione del SP rimuovendo la vecchia chiave. | ||
+ | |||
+ | Come semplice esempio, se la configurazione iniziale fosse la seguente: | ||
+ | |||
+ | <CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem"/> | ||
+ | |||
+ | Dopo il passo 1 la configurazione sarà: | ||
+ | |||
+ | <CredentialResolver type="Chaining"> | ||
+ | <CredentialResolver type="File" key="new-key.pem" certificate="new-cert.pem" use="encryption"/> | ||
+ | <CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem"/> | ||
+ | </CredentialResolver> | ||
+ | |||
+ | E dopo il passo 3: | ||
+ | |||
+ | <CredentialResolver type="Chaining"> | ||
+ | <CredentialResolver type="File" key="new-key.pem" certificate="new-cert.pem"/> | ||
+ | <CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem" use="encryption"/> | ||
+ | </CredentialResolver> | ||
+ | |||
+ | Alla fine del passo 5 sarà: | ||
+ | |||
+ | <CredentialResolver type="File" key="new-key.pem" certificate="new-cert.pem"/> | ||
+ | |||
=== Identity Provider === | === Identity Provider === |
Versione delle 17:31, 10 apr 2019
Cambio dei certificati (Certificate Rollover)
Questa pagina descrive il processo di rollover dei certificati per entità Shibboleth. La procedura descritta di seguito consente di sostituire i certificati senza alcuna interruzione del servizio.
Service Provider
Le seguenti informazioni sono tratte dalla documentazione ufficiale Shibboleth SP3.
All'interno di un SP Shibboleth possono essere configurate 2 tipologie di chiave: signing key e encryption key. E' altresì possibile che sia usata una sola chiave per entrambi gli scopi.
- Sostituzione della signing key
- Nel caso sia necessario sostituire la chiave di signing basterà aggiungere ai metadata del SP in Federazione la nuova chiave ed aspettare che l'informazione di propaghi a tutte le entità (di solito avviene in 24h).
- Aspettato il tempo necessario basterà aggiornare la configurazione del SP per usare la nuova signing key.
- Sostituzione della encryption key o della chiave unica
- Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo:
- creare un nuovo certificato e aggiornare la configurazione del SP includendo la nuova chiave indicando esplicitamente
use="encryption"
. - aggiungere via Registry il nuovo certificato ai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione.
- aggiornare la configurazione del SP invertendo il parametro
use="encryption"
dalla nuova chiave alla vecchia. - rimuovere via Registry il vecchio certificato dai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione.
- aggiornare la configurazione del SP rimuovendo la vecchia chiave.
Come semplice esempio, se la configurazione iniziale fosse la seguente:
<CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem"/>
Dopo il passo 1 la configurazione sarà:
<CredentialResolver type="Chaining"> <CredentialResolver type="File" key="new-key.pem" certificate="new-cert.pem" use="encryption"/> <CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem"/> </CredentialResolver>
E dopo il passo 3:
<CredentialResolver type="Chaining"> <CredentialResolver type="File" key="new-key.pem" certificate="new-cert.pem"/> <CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem" use="encryption"/> </CredentialResolver>
Alla fine del passo 5 sarà:
<CredentialResolver type="File" key="new-key.pem" certificate="new-cert.pem"/>