RolloverCertificati
Versione del 10 apr 2019 alle 17:31 di Monticini@garr.it (discussione | contributi)
Cambio dei certificati (Certificate Rollover)
Questa pagina descrive il processo di rollover dei certificati per entità Shibboleth. La procedura descritta di seguito consente di sostituire i certificati senza alcuna interruzione del servizio.
Service Provider
Le seguenti informazioni sono tratte dalla documentazione ufficiale Shibboleth SP3.
All'interno di un SP Shibboleth possono essere configurate 2 tipologie di chiave: signing key e encryption key. E' altresì possibile che sia usata una sola chiave per entrambi gli scopi.
- Sostituzione della signing key
- Nel caso sia necessario sostituire la chiave di signing basterà aggiungere ai metadata del SP in Federazione la nuova chiave ed aspettare che l'informazione di propaghi a tutte le entità (di solito avviene in 24h).
- Aspettato il tempo necessario basterà aggiornare la configurazione del SP per usare la nuova signing key.
- Sostituzione della encryption key o della chiave unica
- Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo:
- creare un nuovo certificato e aggiornare la configurazione del SP includendo la nuova chiave indicando esplicitamente
use="encryption"
. - aggiungere via Registry il nuovo certificato ai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione.
- aggiornare la configurazione del SP invertendo il parametro
use="encryption"
dalla nuova chiave alla vecchia. - rimuovere via Registry il vecchio certificato dai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione.
- aggiornare la configurazione del SP rimuovendo la vecchia chiave.
Come semplice esempio, se la configurazione iniziale fosse la seguente:
<CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem"/>
Dopo il passo 1 la configurazione sarà:
<CredentialResolver type="Chaining"> <CredentialResolver type="File" key="new-key.pem" certificate="new-cert.pem" use="encryption"/> <CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem"/> </CredentialResolver>
E dopo il passo 3:
<CredentialResolver type="Chaining"> <CredentialResolver type="File" key="new-key.pem" certificate="new-cert.pem"/> <CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem" use="encryption"/> </CredentialResolver>
Alla fine del passo 5 sarà:
<CredentialResolver type="File" key="new-key.pem" certificate="new-cert.pem"/>