Zertifikat Rollover beim Shibboleth Serviceprovider
Sofern Sie einen Shibboleth Serviceprovider mit den offiziellen Paketen des Shibboleth Konsortiums (siehe Installation) betreiben, können Sie beim Wechsel des Zertifikats in Shibboleth einen sogenannten Zertifikat Rollover durchführen. Dieser hat den Vorteil, dass es keine Downtime beim Wechsel des Zertifikats gibt.
Dazu beantragen Sie zunächst wie gewohnt das neue Serverzertifikat. Nachdem Sie dieses erhalten haben, ergänzen Sie es in der Datei /etc/shibboleth/shibboleth2.xml wie folgt:
<CredentialResolver type="File"key="sp.key" certificate="sp.crt"/> <!-- Hier das neue Zertifikat ergänzen--> <CredentialResolver type="File"key="sp_new.key" certificate="sp_new.crt"/> |
- Überprüfen Sie, ob mit dieser Konfiguration der Dienst weiterhin funktioniert:
shibd -t
- Bei RHEL basierenden Systemen (centOS, Rocky Linux etc.) muss vorher noch der LD_LIBRARY_PATH erweitert werden:
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/opt/shibboleth/lib64/
- Abschließend den Shibboleth Dienst neu starten:
systemctl restart shibd
- Nun wenden Sie sich mit einer Mail an servicedesk@itc.rwth-aachen.de und informieren dort über den anstehenden Zertifikatswechsel.
- Nach 2-3 Tagen tauschen Sie dann die Reihenfolge in der /etc/shibboleth/shibboleth2.xml. Starten Sie dann den Shibboleth Dienst neu:
systemctl restart shibd
- Nach weiteren 2-3 Tagen kann das alte Zertifikat vollständig entfernt werden. Abschließend muss auch hier wieder der Shibboleth Dienst neu gestartet werden. Optional können Sie nach dem vollständigen Wechsel erneut eine E-Mail an servicedesk@itc.rwth-aachen.de schicken, mit der Information, dass der Zertifikatswechsel für Ihren Service Provider jetzt vollständig abgeschlossen ist.
