[HREF-tech] Metadata aláírókulcs cseréje

Kristof Bajnok bajnokk at niif.hu
2011. Okt. 6., Cs, 16:50:04 CEST 

Kedves kollégák,

a jelenlegi föderációs metadata állomány egy, az NIIF CA által tanúsított 
kulccsal van aláírva, azonban ez a tanúsítvány már jó ideje lejárt. Ez 
közvetlenül nem jelent problémát, azonban elképzelhető, hogy új partnerek, 
ill. az eduGAIN csatlakozás során ez gondot fog okozni. És persze amúgy sem 
elegáns, hogy a (technikai) bizalom forrást egy lejárt tanúsítvány 
hitelesítsen.

Ezért - a Tagok Tanácsa döntése nyomán - október 11-én, kedden, 11:30-kor 
lecseréljük az aláírókulcsot az aláíró daemon alatt. 

1. Mit jelent ez? 
A kulcscsere *után* az összes IdP-nél és SP-nél módosítani *kell* a hitelesítő 
kulcsot. Az elérhetőségen nem szükséges változtatni, az továbbra is maradjon: 
  http://metadata.eduid.hu/current/href.xml 
(illetve a különböző set-ek, pl: bme.xml, ppke.xml, stb is változatlan helyen 
érhetőek el).

2. Mi történik, ha nem módosítod a hitelesítő kulcsot? 
A rendszeres metadata frissítés nem fog működni, valamint a Shibboleth IdP nem 
indítható újra (!!!). Mivel a Shibboleth SP is a /var/run alatt tárolja a 
cache-elt metadatát, egy gép újraindítás után a Shibboleth nem fog elindulni. 
Ezért aztán kedden, 10:30-kor nagyon fontos, hogy minden IdP és SP frissítsen!

3. Előre is módosíthatom-e az aláíró kulcsot?
Nem érdemes. Kedden 10:30-ig a régi aláírókulcs van érvényben, így ha korábban 
lecseréled, akkor ugyanazok a problémák jelentkezhetnek, mint az előző 
pontnál.

4. Mi az aláíró tanúsítvány?
Csatolva, az én PGP kulcsommal aláírva. 
A tanúsítvány SHA1 ujjlenyomata: 
FE:AE:0B:E8:FB:59:ED:F7:CB:7F:69:DF:19:4F:8B:6D:C7:F6:96:66

Ez egy 2048 bites self-signed tanúsítvány, 20 éves lejárattal. A 
tanúsítványhoz tartozó privát kulcs kizárólag hardver tokenen található meg.

5. Milyen konfigurációs állományokat kell megváltoztatni?
  - Shibboleth IdP: relying-party.xml
  - Shibboleth SP: shibboleth2.xml
  - SimpleSAMLphp: config-metarefresh.php

Kedden még újabb figyelmeztető levéllel jelentkezünk.

Kristóf
--------- következő rész ---------
A non-text attachment was scrubbed...
Name: href-metadata-signer.crt
Type: application/x-x509-ca-cert
Size: 1574 bytes
Desc: nem elérhető
URL: <https://listserv.niif.hu/pipermail/href-tech/attachments/20111006/65368b48/attachment.crt>
--------- következő rész ---------
A non-text attachment was scrubbed...
Name: nem elérhető
Type: application/pgp-signature
Size: 198 bytes
Desc: This is a digitally signed message part.
URL: <https://listserv.niif.hu/pipermail/href-tech/attachments/20111006/65368b48/attachment.pgp>

További információk a(z) HREF-tech levelezőlistáról