Differenze tra le versioni di "RolloverCertificati"

Da WIKI IDEM GARR.
Jump to navigation Jump to search
Riga 9: Riga 9:
 
All'interno di un SP Shibboleth possono essere configurate 2 tipologie di chiave: '''signing key''' e '''encryption key'''. E' altresì possibile che sia usata una sola chiave per entrambi gli scopi.
 
All'interno di un SP Shibboleth possono essere configurate 2 tipologie di chiave: '''signing key''' e '''encryption key'''. E' altresì possibile che sia usata una sola chiave per entrambi gli scopi.
  
Nel caso sia necessario _sostituire la chiave di signing_ basterà aggiungere ai metadata del SP in Federazione la nuova chiave ed aspettare che l'informazione di propaghi a tutte le entità (di solito avviene in 24h).
+
Nel caso sia necessario sostituire la chiave di signing basterà aggiungere ai metadata del SP in Federazione la nuova chiave ed aspettare che l'informazione di propaghi a tutte le entità (di solito avviene in 24h).
 
Aspettato il tempo necessario basterà aggiornare la configurazione del SP per usare la nuova signing key.
 
Aspettato il tempo necessario basterà aggiornare la configurazione del SP per usare la nuova signing key.
  
 
Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo:
 
Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo:
  
* Add a second private key to your SP configuration explicitly as a decryption key (use="encryption").
+
* creare un nuovo certificato e aggiornare la configurazione del SP includendo la nuova chiave indicando esplicitamente <pre>use="encryption"</pre>.
 
* Publish the corresponding public key in your metadata and wait for propagation.
 
* Publish the corresponding public key in your metadata and wait for propagation.
 
* Switch the encryption usage constraint in the SP configuration from the new key to the old key.
 
* Switch the encryption usage constraint in the SP configuration from the new key to the old key.

Versione delle 17:14, 10 apr 2019

Cambio dei certificati (Certificate Rollover)

Questa pagina descrive il processo di rollover dei certificati per entità Shibboleth. La procedura descritta di seguito consente di sostituire i certificati senza alcuna interruzione del servizio.

Service Provider

Le seguenti informazioni sono tratte dalla documentazione ufficiale Shibboleth SP3.

All'interno di un SP Shibboleth possono essere configurate 2 tipologie di chiave: signing key e encryption key. E' altresì possibile che sia usata una sola chiave per entrambi gli scopi.

Nel caso sia necessario sostituire la chiave di signing basterà aggiungere ai metadata del SP in Federazione la nuova chiave ed aspettare che l'informazione di propaghi a tutte le entità (di solito avviene in 24h). Aspettato il tempo necessario basterà aggiornare la configurazione del SP per usare la nuova signing key.

Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo:

  • creare un nuovo certificato e aggiornare la configurazione del SP includendo la nuova chiave indicando esplicitamente
    use="encryption"
    .
  • Publish the corresponding public key in your metadata and wait for propagation.
  • Switch the encryption usage constraint in the SP configuration from the new key to the old key.
  • Remove the old public key from the metadata and wait for propagation.
  • Remove the old private key from your SP configuration.

Identity Provider