Differenze tra le versioni di "RolloverCertificati"
| Riga 5: | Riga 5: | ||
=== Service Provider === | === Service Provider === | ||
| − | Le informazioni sono tratte dalla documentazione ufficiale | + | Le seguenti informazioni sono tratte dalla documentazione ufficiale [https://wiki.shibboleth.net/confluence/display/SP3/Multiple+Credentials Shibboleth SP3]. |
| + | |||
| + | All'interno di un SP Shibboleth possono essere configurate 2 tipi di chiave (una per uso signing e una per uso encryption. E' altresì possibile che sia usata una sola chiave per entrambi gli scopi. | ||
| + | |||
| + | Nel caso sia necessario sostituire la chiave di signing basterà aggiungere ai metadata del SP in Federazione la nuova chiave ed aspettare che l'informazione di propaghi a tutte le entità (di solito avviene in 24h). | ||
| + | Aspettato il tempo necessario basterà configurare il SP per usare la nuova signing key. | ||
| + | |||
| + | Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo: | ||
| + | |||
| + | * Add a second private key to your SP configuration explicitly as a decryption key (use="encryption"). | ||
| + | * Publish the corresponding public key in your metadata and wait for propagation. | ||
| + | * Switch the encryption usage constraint in the SP configuration from the new key to the old key. | ||
| + | * Remove the old public key from the metadata and wait for propagation. | ||
| + | * Remove the old private key from your SP configuration. | ||
=== Identity Provider === | === Identity Provider === | ||
Versione delle 17:09, 10 apr 2019
Cambio dei certificati (Certificate Rollover)
Questa pagina descrive il processo di rollover dei certificati per entità Shibboleth. La procedura descritta di seguito consente di sostituire i certificati senza alcuna interruzione del servizio.
Service Provider
Le seguenti informazioni sono tratte dalla documentazione ufficiale Shibboleth SP3.
All'interno di un SP Shibboleth possono essere configurate 2 tipi di chiave (una per uso signing e una per uso encryption. E' altresì possibile che sia usata una sola chiave per entrambi gli scopi.
Nel caso sia necessario sostituire la chiave di signing basterà aggiungere ai metadata del SP in Federazione la nuova chiave ed aspettare che l'informazione di propaghi a tutte le entità (di solito avviene in 24h). Aspettato il tempo necessario basterà configurare il SP per usare la nuova signing key.
Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo:
- Add a second private key to your SP configuration explicitly as a decryption key (use="encryption").
- Publish the corresponding public key in your metadata and wait for propagation.
- Switch the encryption usage constraint in the SP configuration from the new key to the old key.
- Remove the old public key from the metadata and wait for propagation.
- Remove the old private key from your SP configuration.
