cs:archive:old-metadata-signing

Nástroj na podepisování metadat

Postaven na základě EduGAIN metadata signing tools.

Quickstart

Podepsání metadat (pokud je potřeba - upravit skript metasign_eduid.sh):

# cd /opt/tools/metasign
# ./metasign_eduid.sh

Ověření metadat (pokud je potřeba upravit skript metaverify_eduid.sh):

# cd /opt/tools/metasign
# ./metasign_verify.sh

Výroba keystore

Pokud nemáme keystore obsahující klíč a certifikát, kterými budeme podepisovat metadata, musíme ho vytvořit:

# cd /opt/tools/metasign
# ./create-keystore.sh
Provide a password for the new keystore: 
********
Provide path to x.509 private key: 
/etc/ssl/private/eduid-metasign.key.pem
Provide path to x.509 certificate: 
/etc/ssl/certs/eduid-metasign.crt.pem
Creating keystore with password 'eduid_metadata_signer', key file '/etc/ssl/private/eduid-metasign.key.pem' and certificate '/etc/ssl/certs/eduid-metasign.crt.pem' ...
Successfuly wrote: [eduid.cz_metadata_signer.jks]
Done

Podepisování

Pak už můžeme podepsat metadata příkazem:

# cd /opt/tools/metasign
# bin/metadatatool --sign --in /var/www/site/eduid/root/docs/eduid/metadata/eduid-metadata.xml \
   --keystore eduid.cz_metadata_signer.jks --alias eduid.cz_metadata_signer --password ***

Nebo použijeme skript, kde je vše připravené:

# cd /opt/tools/metasign
# ./metasign_eduid.sh

Obsah skriptu metasign_eduid.sh:

#! /bin/sh
#
 
# Current directory
DIR=`pwd`
 
# Java Home, needed by metadatatool
export JAVA_HOME=/usr/lib/jvm/java-1.5.0-sun/
 
# IDP Home, needed by metadatatool
export IDP_HOME=$DIR
 
#bin/metadatatool --sign \
#--in <metadata file>
#--keystore <keystore file> \
#--alias <certificate alias> \
#--password <keystore password>
 
MD_FILE="/var/www/site/eduid/root/docs/eduid/metadata/eduid-metadata.xml"
KEYSTORE_FILE="eduid.cz_metadata_signer.jks"
KEYSTORE_PWD="eduid_metadata_signer"
KEYNAME="eduid.cz_metadata_signer"
 
bin/metadatatool --sign --in ${MD_FILE} --keystore ${KEYSTORE_FILE} --alias ${KEYNAME} --password ${KEYSTORE_PWD}

Ověření

# cd /opt/tools/metasign
# bin/metadatatool --in /var/www/site/eduid/root/docs/eduid/metadata/eduid-metadata-sign.xml \
  --keystore eduid.cz_metadata_signer.jks --alias eduid.cz_metadata_signer --password *****

Nebo speciálním skriptem (v případě že něco není v pořádku zobrazí se chybové hlášení0:

# cd /opt/tools/metasign
# ./metaverify_eduid.sh
Last modified:: 2017/02/10 07:02