Certifikáty

V typické instalaci Shibboleth IdP/SP potřebujete X.509 certifikát, kterým se komponenta identifikuje v rámci federace.

Certifikát musí splňovat:

• klíč musí mít délku alespoň 2048 bitů
• musí být platný
• položka CN certifikátu musí odpovídat hostname serveru, na kterém je umístěna komponenta (IdP nebo SP)
• může být shodný s tím který se používá pro SSL v Apachi
• může být podepsán sám sebou (self-signed)
• měl by používat podpis SHA-2 a lepší

V případě, že potřebujeme vyměnit certifikát v metadatech IdP nebo SP, pokud to provedeme klasickým způsobem, tj. metadata IdP/SP jednoduše vyměníme, pravděpodobně vznikne časové okno, během kterého nebude služba (ať už aplikace či autentizace) dostupná. Stane se tak, protože náš IdP/SP už používá nový certifikát, zatímco ostatní IdP/SP mají k dispozici ten starý, dokud neprovedou aktualizaci metadat.

Řešením je, udržovat po nějakou dobu v metadatech oba certifikáty. Vynikající návod v angličtině i s diagramy najdete na stránkach SWITCH.