Differenze tra le versioni di "RolloverCertificati"
| Riga 14: | Riga 14: | ||
Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo: | Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo: | ||
| − | * creare un nuovo certificato e aggiornare la configurazione del SP includendo la nuova chiave indicando esplicitamente < | + | * creare un nuovo certificato e aggiornare la configurazione del SP includendo la nuova chiave indicando esplicitamente <code>use="encryption"</code>. |
| − | * | + | * aggiungere via Registry il nuovo certificato ai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione. |
| − | * | + | * aggiornare la configurazione del SP invertendo il parametro <code>use="encryption"</code> dalla nuova chiave alla vecchia. |
| − | * | + | * rimuovere via Registry il vecchio certificato dai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione. |
| − | * | + | * aggiornare la configurazione del SP rimuovendo la vecchia chiave. |
=== Identity Provider === | === Identity Provider === | ||
Versione delle 17:18, 10 apr 2019
Cambio dei certificati (Certificate Rollover)
Questa pagina descrive il processo di rollover dei certificati per entità Shibboleth. La procedura descritta di seguito consente di sostituire i certificati senza alcuna interruzione del servizio.
Service Provider
Le seguenti informazioni sono tratte dalla documentazione ufficiale Shibboleth SP3.
All'interno di un SP Shibboleth possono essere configurate 2 tipologie di chiave: signing key e encryption key. E' altresì possibile che sia usata una sola chiave per entrambi gli scopi.
Nel caso sia necessario sostituire la chiave di signing basterà aggiungere ai metadata del SP in Federazione la nuova chiave ed aspettare che l'informazione di propaghi a tutte le entità (di solito avviene in 24h). Aspettato il tempo necessario basterà aggiornare la configurazione del SP per usare la nuova signing key.
Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo:
- creare un nuovo certificato e aggiornare la configurazione del SP includendo la nuova chiave indicando esplicitamente
use="encryption". - aggiungere via Registry il nuovo certificato ai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione.
- aggiornare la configurazione del SP invertendo il parametro
use="encryption"dalla nuova chiave alla vecchia. - rimuovere via Registry il vecchio certificato dai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione.
- aggiornare la configurazione del SP rimuovendo la vecchia chiave.
