IT Center Help

Sie befinden sich im Service: Identity Management

Zertifikat Rollover beim Shibboleth Serviceprovider

Anleitung

Hinweis

Diese Dokumentation ist von https://help.switch.ch/aai/guides/sp/certificate-rollover/ entnommen. Dort kann die Konfiguration des Serviceproviders interaktiv durchgeführt werden.

Auf dieser Seite erfahren Sie, wie Sie ein Zertifikat Rollover beim Shibboleth Serviceprovider durchführen können. Dieser hat den Vorteil, dass es keine Downtime beim Wechsel des Zertifikats gibt.

Voraussetzung ist, dass Sie einen Shibboleth Serviceprovider mit den offiziellen Paketen des Shibboleth Konsortiums (siehe Installation) betreiben.

Schritt 1
Dazu beantragen Sie zunächst ein Zertifikat der DFN-Verein Community PKI. Nachdem Sie dieses erhalten haben, ergänzen Sie in der Datei /etc/shibboleth/shibboleth2.xml den CredentialResolver wie folgt:

<CredentialResolver type="Chaining">

<CredentialResolver type="File"
key="/etc/shibboleth/sp-key.pem"
certificate="/etc/shibboleth/sp-cert.pem"/>

<CredentialResolver type="File"
key="/etc/shibboleth/sp-key-2025.pem"
certificate="/etc/shibboleth/sp-cert-2025.pem"/>
</CredentialResolver>

Bitte beachten Sie, dass die Berechtigung für das Zertifikat/Schlüsselpaar stimmen. In der Regel läuft der Shibboleth Serviceprovider unter dem Nutzer und der Gruppe shibd.

Schritt 2
Nach Anpassung der Änderung prüfen Sie die Konfiguration mittels "shibd -t". Hier sollten keine Fehler mehr auftreten.

Schritt 3
Anschließend starten Sie den Dienst neu mittels "systemctl restart shibd". Nun sind das alte und neue Zertifikat aktiv.

Schritt 4
Ergänzen Sie das neue Zertifikat im Service Provider Manager.

Schritt 5
Informieren Sie uns mit einer Mail an servicedesk@itc.rwth-aachen.de über den anstehenden Zertifikatswechsel.

Die Metadaten mit dem neuen, zusätzlichen Zertifikat werden dann in kürze aktualisiert und der Status im ServiceProviderManager ändert sich von "angefragt" in "produktiv". Ab diesem Zeitpunkt gelten beide Zertifikate.

Schritt 6
Sobald der Status sich im Service Provider Manager geändert hat oder Sie via E-Mail über den Tausch informiert worden sind, können Sie die Reihenfolge erneut tauschen. Dieses Mal kommt das neue Zertifikat an erster Stelle und das alte Zertifikat an zweiter Stelle:

<CredentialResolver type="Chaining">

<CredentialResolver type="File"
key="/etc/shibboleth/sp-key-2025.pem"
certificate="/etc/shibboleth/sp-cert-2025.pem"/>

<CredentialResolver type="File"
key="/etc/shibboleth/sp-key.pem"
certificate="/etc/shibboleth/sp-cert.pem"/>

</CredentialResolver>

Schritt 7
Prüfen Sie erneut prüfen, ob alles in Ordnung ist mittels "shibd -t".

Schritt 8
Starten Sie den Dienst noch mal neu mittels "systemctl restart shibd".

Schritt 9
Entfernen Sie das alte Zertifikat vollständig im Service Provider Manager.

Schritt 10
Informieren Sie uns mit einer Mail an servicedesk@itc.rwth-aachen.de, damit die Metadaten angepasst werden können.

Schritt 11
Sobald die Änderung abgeschlossen ist, können Sie das alte Zertifikat aus der shibboleth2.xml entfernen.

zuletzt geändert am 13.01.2026

Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz