Nagyon izgalmas! :)<br><br>Az esemény bekövetkeztekor ezen az oldalon [1] is lecserélődik a fingerprint meg a certificate?<br><br>[1] <a href="https://metadata.eduid.hu/current/">https://metadata.eduid.hu/current/</a><br><br>
gyufi<br><br><div class="gmail_quote">2011/10/11 Frank Tamás <span dir="ltr"><<a href="mailto:sitya@niif.hu">sitya@niif.hu</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Emlékeztető :)<br>
<div class="im"><br>
Tamás<br>
<br>
On 2011.10.06., at 16:50, Kristof Bajnok wrote:<br>
<br>
</div><div><div></div><div class="h5">> Kedves kollégák,<br>
><br>
> a jelenlegi föderációs metadata állomány egy, az NIIF CA által tanúsított<br>
> kulccsal van aláírva, azonban ez a tanúsítvány már jó ideje lejárt. Ez<br>
> közvetlenül nem jelent problémát, azonban elképzelhető, hogy új partnerek,<br>
> ill. az eduGAIN csatlakozás során ez gondot fog okozni. És persze amúgy sem<br>
> elegáns, hogy a (technikai) bizalom forrást egy lejárt tanúsítvány<br>
> hitelesítsen.<br>
><br>
> Ezért - a Tagok Tanácsa döntése nyomán - október 11-én, kedden, 11:30-kor<br>
> lecseréljük az aláírókulcsot az aláíró daemon alatt.<br>
><br>
> 1. Mit jelent ez?<br>
> A kulcscsere *után* az összes IdP-nél és SP-nél módosítani *kell* a hitelesítő<br>
> kulcsot. Az elérhetőségen nem szükséges változtatni, az továbbra is maradjon:<br>
> <a href="http://metadata.eduid.hu/current/href.xml" target="_blank">http://metadata.eduid.hu/current/href.xml</a><br>
> (illetve a különböző set-ek, pl: bme.xml, ppke.xml, stb is változatlan helyen<br>
> érhetőek el).<br>
><br>
> 2. Mi történik, ha nem módosítod a hitelesítő kulcsot?<br>
> A rendszeres metadata frissítés nem fog működni, valamint a Shibboleth IdP nem<br>
> indítható újra (!!!). Mivel a Shibboleth SP is a /var/run alatt tárolja a<br>
> cache-elt metadatát, egy gép újraindítás után a Shibboleth nem fog elindulni.<br>
> Ezért aztán kedden, 10:30-kor nagyon fontos, hogy minden IdP és SP frissítsen!<br>
><br>
> 3. Előre is módosíthatom-e az aláíró kulcsot?<br>
> Nem érdemes. Kedden 10:30-ig a régi aláírókulcs van érvényben, így ha korábban<br>
> lecseréled, akkor ugyanazok a problémák jelentkezhetnek, mint az előző<br>
> pontnál.<br>
><br>
> 4. Mi az aláíró tanúsítvány?<br>
> Csatolva, az én PGP kulcsommal aláírva.<br>
> A tanúsítvány SHA1 ujjlenyomata:<br>
> FE:AE:0B:E8:FB:59:ED:F7:CB:7F:69:DF:19:4F:8B:6D:C7:F6:96:66<br>
><br>
> Ez egy 2048 bites self-signed tanúsítvány, 20 éves lejárattal. A<br>
> tanúsítványhoz tartozó privát kulcs kizárólag hardver tokenen található meg.<br>
><br>
> 5. Milyen konfigurációs állományokat kell megváltoztatni?<br>
> - Shibboleth IdP: relying-party.xml<br>
> - Shibboleth SP: shibboleth2.xml<br>
> - SimpleSAMLphp: config-metarefresh.php<br>
><br>
> Kedden még újabb figyelmeztető levéllel jelentkezünk.<br>
><br>
> Kristóf<br>
</div></div><div><div></div><div class="h5">> <href-metadata-signer.crt>_______________________________________________<br>
> HREF-tech mailing list<br>
> <a href="mailto:HREF-tech@listserv.niif.hu">HREF-tech@listserv.niif.hu</a><br>
> <a href="https://listserv.niif.hu/mailman/listinfo/href-tech" target="_blank">https://listserv.niif.hu/mailman/listinfo/href-tech</a><br>
<br>
<br>
_______________________________________________<br>
HREF-tech mailing list<br>
<a href="mailto:HREF-tech@listserv.niif.hu">HREF-tech@listserv.niif.hu</a><br>
<a href="https://listserv.niif.hu/mailman/listinfo/href-tech" target="_blank">https://listserv.niif.hu/mailman/listinfo/href-tech</a><br>
</div></div></blockquote></div><br>