[HREF-tech] Metadata aláírókulcs cseréje

[Szabó, Gyula]

Nagyon izgalmas! :)

Az esemény bekövetkeztekor ezen az oldalon [1] is lecserélődik a fingerprint
meg a certificate?

[1] https://metadata.eduid.hu/current/

gyufi

2011/10/11 Frank Tamás <sitya at niif.hu>

> Emlékeztető :)
>
> Tamás
>
> On 2011.10.06., at 16:50, Kristof Bajnok wrote:
>
> > Kedves kollégák,
> >
> > a jelenlegi föderációs metadata állomány egy, az NIIF CA által tanúsított
> > kulccsal van aláírva, azonban ez a tanúsítvány már jó ideje lejárt. Ez
> > közvetlenül nem jelent problémát, azonban elképzelhető, hogy új
> partnerek,
> > ill. az eduGAIN csatlakozás során ez gondot fog okozni. És persze amúgy
> sem
> > elegáns, hogy a (technikai) bizalom forrást egy lejárt tanúsítvány
> > hitelesítsen.
> >
> > Ezért - a Tagok Tanácsa döntése nyomán - október 11-én, kedden, 11:30-kor
> > lecseréljük az aláírókulcsot az aláíró daemon alatt.
> >
> > 1. Mit jelent ez?
> > A kulcscsere *után* az összes IdP-nél és SP-nél módosítani *kell* a
> hitelesítő
> > kulcsot. Az elérhetőségen nem szükséges változtatni, az továbbra is
> maradjon:
> >  http://metadata.eduid.hu/current/href.xml
> > (illetve a különböző set-ek, pl: bme.xml, ppke.xml, stb is változatlan
> helyen
> > érhetőek el).
> >
> > 2. Mi történik, ha nem módosítod a hitelesítő kulcsot?
> > A rendszeres metadata frissítés nem fog működni, valamint a Shibboleth
> IdP nem
> > indítható újra (!!!). Mivel a Shibboleth SP is a /var/run alatt tárolja a
> > cache-elt metadatát, egy gép újraindítás után a Shibboleth nem fog
> elindulni.
> > Ezért aztán kedden, 10:30-kor nagyon fontos, hogy minden IdP és SP
> frissítsen!
> >
> > 3. Előre is módosíthatom-e az aláíró kulcsot?
> > Nem érdemes. Kedden 10:30-ig a régi aláírókulcs van érvényben, így ha
> korábban
> > lecseréled, akkor ugyanazok a problémák jelentkezhetnek, mint az előző
> > pontnál.
> >
> > 4. Mi az aláíró tanúsítvány?
> > Csatolva, az én PGP kulcsommal aláírva.
> > A tanúsítvány SHA1 ujjlenyomata:
> > FE:AE:0B:E8:FB:59:ED:F7:CB:7F:69:DF:19:4F:8B:6D:C7:F6:96:66
> >
> > Ez egy 2048 bites self-signed tanúsítvány, 20 éves lejárattal. A
> > tanúsítványhoz tartozó privát kulcs kizárólag hardver tokenen található
> meg.
> >
> > 5. Milyen konfigurációs állományokat kell megváltoztatni?
> >  - Shibboleth IdP: relying-party.xml
> >  - Shibboleth SP: shibboleth2.xml
> >  - SimpleSAMLphp: config-metarefresh.php
> >
> > Kedden még újabb figyelmeztető levéllel jelentkezünk.
> >
> > Kristóf
> > <href-metadata-signer.crt>_______________________________________________
> > HREF-tech mailing list
> > HREF-tech at listserv.niif.hu
> > https://listserv.niif.hu/mailman/listinfo/href-tech
>
>
> _______________________________________________
> HREF-tech mailing list
> HREF-tech at listserv.niif.hu
> https://listserv.niif.hu/mailman/listinfo/href-tech
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <https://listserv.niif.hu/pipermail/href-tech/attachments/20111011/78259fb4/attachment.htm>