[HREF-tech] Metadata aláírókulcs cseréje

Frank Tamás sitya at niif.hu
2011. Okt. 11., K, 09:35:40 CEST 

Emlékeztető :)

Tamás

On 2011.10.06., at 16:50, Kristof Bajnok wrote:

> Kedves kollégák,
> 
> a jelenlegi föderációs metadata állomány egy, az NIIF CA által tanúsított 
> kulccsal van aláírva, azonban ez a tanúsítvány már jó ideje lejárt. Ez 
> közvetlenül nem jelent problémát, azonban elképzelhető, hogy új partnerek, 
> ill. az eduGAIN csatlakozás során ez gondot fog okozni. És persze amúgy sem 
> elegáns, hogy a (technikai) bizalom forrást egy lejárt tanúsítvány 
> hitelesítsen.
> 
> Ezért - a Tagok Tanácsa döntése nyomán - október 11-én, kedden, 11:30-kor 
> lecseréljük az aláírókulcsot az aláíró daemon alatt. 
> 
> 1. Mit jelent ez? 
> A kulcscsere *után* az összes IdP-nél és SP-nél módosítani *kell* a hitelesítő 
> kulcsot. Az elérhetőségen nem szükséges változtatni, az továbbra is maradjon: 
>  http://metadata.eduid.hu/current/href.xml 
> (illetve a különböző set-ek, pl: bme.xml, ppke.xml, stb is változatlan helyen 
> érhetőek el).
> 
> 2. Mi történik, ha nem módosítod a hitelesítő kulcsot? 
> A rendszeres metadata frissítés nem fog működni, valamint a Shibboleth IdP nem 
> indítható újra (!!!). Mivel a Shibboleth SP is a /var/run alatt tárolja a 
> cache-elt metadatát, egy gép újraindítás után a Shibboleth nem fog elindulni. 
> Ezért aztán kedden, 10:30-kor nagyon fontos, hogy minden IdP és SP frissítsen!
> 
> 3. Előre is módosíthatom-e az aláíró kulcsot?
> Nem érdemes. Kedden 10:30-ig a régi aláírókulcs van érvényben, így ha korábban 
> lecseréled, akkor ugyanazok a problémák jelentkezhetnek, mint az előző 
> pontnál.
> 
> 4. Mi az aláíró tanúsítvány?
> Csatolva, az én PGP kulcsommal aláírva. 
> A tanúsítvány SHA1 ujjlenyomata: 
> FE:AE:0B:E8:FB:59:ED:F7:CB:7F:69:DF:19:4F:8B:6D:C7:F6:96:66
> 
> Ez egy 2048 bites self-signed tanúsítvány, 20 éves lejárattal. A 
> tanúsítványhoz tartozó privát kulcs kizárólag hardver tokenen található meg.
> 
> 5. Milyen konfigurációs állományokat kell megváltoztatni?
>  - Shibboleth IdP: relying-party.xml
>  - Shibboleth SP: shibboleth2.xml
>  - SimpleSAMLphp: config-metarefresh.php
> 
> Kedden még újabb figyelmeztető levéllel jelentkezünk.
> 
> Kristóf
> <href-metadata-signer.crt>_______________________________________________
> HREF-tech mailing list
> HREF-tech at listserv.niif.hu
> https://listserv.niif.hu/mailman/listinfo/href-tech

További információk a(z) HREF-tech levelezőlistáról