V typické instalaci Shibboleth IdP/SP potřebujete X.509 certifikát, kterým se komponenta identifikuje v rámci federace.
Certifikát musí splňovat následující požadavky:
Doporučujeme používat tzv. Self-Signed certifikát s platností 10 let.
V případě, že potřebujete vyměnit certifikát v metadatech IdP nebo SP, pokud to provedeme klasickým způsobem, tj. metadata IdP/SP jednoduše vyměníme, vznikne časové okno, během kterého nebude služba (ať už aplikace či autentizace) dostupná. Stane se tak, protože IdP/SP už používá nový certifikát, zatímco ostatní IdP/SP mají k dispozici ten starý, dokud neprovedou aktualizaci metadat.
Řešením je udržovat po nějakou dobu v metadatech oba certifikáty, tedy stávající (= starý) a nový. Vynikající návod v angličtině i s diagramy najdete na stránkach SWITCH.
CESNET, z. s. p. o.
Zikova 4, 16000 Praha 6
Tel: +420 224 352 994
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 224 352 994
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz