Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze | Následující verze Obě strany příští revize | ||
cs:tech:sp:shibboleth3:certificate-rollover [2019/07/11 14:22] jop@cesnet.cz [Krok 4: Nastavení nového certifikátu jako preferovaného na SP] |
cs:tech:sp:shibboleth3:certificate-rollover [2019/07/11 14:25] jop@cesnet.cz [Krok 5: Odstranění starého certifikátu z metadat federace] |
||
---|---|---|---|
Řádek 116: | Řádek 116: | ||
Po potvrzení, že metadata byla aktualizována, by si měla všechna IdP metadata aktualizovat opět nejpozději do 24 hodin. | Po potvrzení, že metadata byla aktualizována, by si měla všechna IdP metadata aktualizovat opět nejpozději do 24 hodin. | ||
+ | |||
+ | ==== Krok 6: Odstranění starého certifikátu z konfigurace SP ==== | ||
+ | |||
+ | Starý certifikát z konfigurace SP odstraníme //až po uplynutí alespoň 24 hodin// od doby, kdy jsme dostali od operátora federace potvrzení o odebrání starého certifikátu z metadat. Pouze pak je totiž jistota, že opravdu všechna IdP ve federaci mají aktuální metadata a budou tedy používat již pouze a jen nový certifikát. V případě, že se tak nestane, Vaše služba nebude fungovat. | ||
+ | |||
+ | Konfigurace se provádí v souboru ''/etc/shibboleth/shibboleth2.xml''. Je potřeba změnit element ''<CredentialResolver>'' následujícím způsobem: | ||
+ | |||
+ | <code xml> | ||
+ | <CredentialResolver type="Chaining"> | ||
+ | |||
+ | <CredentialResolver type="File" key="sp-2019-key.pem" certificate="sp-2019-cert.pem" keyName="2019"/> | ||
+ | |||
+ | </CredentialResolver> | ||
+ | </code> | ||
+ | |||
+ | Po úpravě konfigurace SP zkontrolujeme, zda-li je konfigurační soubor v pořádku: | ||
+ | |||
+ | <code bash> | ||
+ | shibd -tc /etc/shibboleth/shibboleth2.xml | ||
+ | </code> | ||
+ | |||
+ | Výstup by měl zobrazit informaci //overall configuration is loadable// bez chyb anebo kritických zpráv. Pokud je vše v pořádku, restartujeme démona Shibboleth: | ||
+ | |||
+ | <code bash> | ||
+ | systemctl restart shibd | ||
+ | </code> | ||
+ | |||
+ | Pokud vše proběhne bez problémů, můžeme smazat starý certifikát a klíč: | ||
+ | |||
+ | <code bash> | ||
+ | rm -i /etc/shibboleth/sp-{cert,key}.pem | ||
+ | </code> | ||