Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- cs:tech:sp:shibboleth3:certificate-rollover [2019/07/11 14:22]
jop@cesnet.cz [Krok 4: Nastavení nového certifikátu jako preferovaného na SP]
+++ cs:tech:sp:shibboleth3:certificate-rollover [2019/07/11 14:28]
jop@cesnet.cz vytvořeno
@@ Řádek 116: / Řádek 116: @@
 Po potvrzení, že metadata byla aktualizována, by si měla všechna IdP metadata aktualizovat opět nejpozději do 24 hodin.
+==== Krok 6: Odstranění starého certifikátu z konfigurace SP ====
+Starý certifikát z konfigurace SP odstraníme //až po uplynutí alespoň 24 hodin// od doby, kdy jsme dostali od operátora federace potvrzení o odebrání starého certifikátu z metadat. Pouze pak je totiž jistota, že opravdu všechna IdP ve federaci mají aktuální metadata a budou tedy používat již pouze a jen nový certifikát. V případě, že se tak nestane, Vaše služba nebude fungovat.
+Konfigurace se provádí v souboru ''/etc/shibboleth/shibboleth2.xml''. Je potřeba změnit element ''<CredentialResolver>'' následujícím způsobem:
+<code xml>
+<CredentialResolver type="Chaining">
+  <CredentialResolver type="File" key="sp-2019-key.pem" certificate="sp-2019-cert.pem" keyName="2019"/>
+</CredentialResolver>
+</code>
+Po úpravě konfigurace SP zkontrolujeme, zda-li je konfigurační soubor v pořádku:
+<code bash>
+shibd -tc /etc/shibboleth/shibboleth2.xml
+</code>
+Výstup by měl zobrazit informaci //overall configuration is loadable// bez chyb anebo kritických zpráv. Pokud je vše v pořádku, restartujeme démona Shibboleth:
+<code bash>
+systemctl restart shibd
+</code>
+Pokud vše proběhne bez problémů, můžeme smazat starý certifikát a klíč:
+<code bash>
+rm -i /etc/shibboleth/sp-{cert,key}.pem
+</code>

Rozdíly

Rychlé odkazy

Kontakt

Service desk