RolloverCertificati

Da WIKI IDEM GARR.
Jump to navigation Jump to search

Cambio dei certificati (Certificate Rollover)

Questa pagina descrive il processo di rollover dei certificati per entità Shibboleth. La procedura descritta di seguito consente di sostituire i certificati senza alcuna interruzione del servizio.

Service Provider

Le seguenti informazioni sono tratte dalla documentazione ufficiale Shibboleth SP3.

All'interno di un SP Shibboleth possono essere configurate 2 tipologie di chiave: signing key e encryption key. E' altresì possibile che sia usata una sola chiave per entrambi gli scopi.

Sostituzione della signing key

Nel caso sia necessario sostituire la chiave di signing basterà aggiungere ai metadata del SP in Federazione la nuova chiave ed aspettare che l'informazione di propaghi a tutte le entità (di solito avviene in 24h). Aspettato il tempo necessario basterà aggiornare la configurazione del SP per usare la nuova signing key.

Sostituzione della encryption key o della chiave unica

Nel caso sia necessario sostituire la chiave di encryption o la singola chiave usata per entrambi gli scopi (signing/encryption) è necessario seguire un apposito processo:

  1. creare un nuovo certificato e aggiornare la configurazione del SP includendo la nuova chiave indicando esplicitamente use="encryption".
  2. aggiungere via Registry il nuovo certificato ai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione.
  3. aggiornare la configurazione del SP invertendo il parametro use="encryption" dalla nuova chiave alla vecchia.
  4. rimuovere via Registry il vecchio certificato dai metadata del SP (istruzioni per Registry) e attendere 24h per la propagazione.
  5. aggiornare la configurazione del SP rimuovendo la vecchia chiave.

Come semplice esempio, se la configurazione iniziale fosse la seguente:

 <CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem"/>

Dopo il passo 1 la configurazione sarà:

 <CredentialResolver type="Chaining">
      <CredentialResolver type="File" key="new-key.pem" certificate="new-cert.pem" use="encryption"/>
      <CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem"/>
 </CredentialResolver>

E dopo il passo 3:

 <CredentialResolver type="Chaining">
      <CredentialResolver type="File" key="new-key.pem" certificate="new-cert.pem"/>
      <CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem" use="encryption"/>
 </CredentialResolver>

Alla fine del passo 5 sarà:

 <CredentialResolver type="File" key="new-key.pem" certificate="new-cert.pem"/>


Identity Provider