Tässä ohjeessa kuvataan SAML-viestien välityksen suojaavan varmenteen vaihto vain Shibbolethin ja Haka-metadatan suhteen. Muista lisäksi uusia vaihtunut varmenne Tomcatistä / www-palvelimesta

Ohjeessa kuvattu prosessi turvaa katkottoman varmennevaihdon SAML-määritysten mukaisesti toimivien palvelujen kanssa. Markkinoilla on SAML-tuotteita, jotka eivät sellaisenaan tue avaimenvaihtoprosessia, vaan varmenteen vaihtaminen vaatii joko manuaalisia toimenpiteitä, palvelujen kanssa ajoitetun varmennevaihdon tai palveluun kirjautuminen ei toimi lainkaan sinä aikana, kun metadataan on julkaistu kaksi varmennetta. Hakassa ei ilman painavia perusteita tueta ajoitettua varmennevaihtoa, sillä on mahdoton sopia kaikille palveluille sopiva yhteinen metadatan päivitysajankohta.

SAML-palvelun (SP) varmenteen vaihtaminen

Tässä ohjeessa on kerrottu toimintaohjeet Hakaan rekisteröityjen palveluiden varmenteen uusimiseksi esimerkiksi varmenteen vanhentuessa tai avaimen tai varmenteen vaihtuessa muusta syystä. Seuraamalla ohjetta tarkasti voidaan varmenteen vaihto tehdä ilman merkittäviä palvelukatkoja. Mikäli varmenne täytyy vaihtaa tietoturvasyistä, tätä ohjetta ei tule noudattaa vaan varmenne on vaihdettava välittömästi, ota tällöin yhteyttä CSC:n Haka-ylläpitoon.

  1. Konfiguroi SP:si käyttämään rinnakkain sekä uutta että vanhaa varmennetta siten, että vanha varmenne on ensimmäisenä eli oletuksena käytössä. Esimerkki shibboleth2.xml:stä:

    <CredentialResolver type="Chaining">
  <CredentialResolver type="File">
    <Key>
      <Name>VanhaAvain</Name>
      <Path>/etc/shibboleth/vanha.key</Path>
    </Key>
    <Certificate>
      <Path>/etc/shibboleth/vanha.crt</Path>
    </Certificate>
  </CredentialResolver>
  <CredentialResolver type="File">
    <Key>
      <Name>UusiAvain</Name>
      <Path>/etc/shibboleth/uusi.key</Path>
    </Key>
    <Certificate>
      <Path>/etc/shibboleth/uusi.crt</Path>
    </Certificate>
  </CredentialResolver>
</CredentialResolver>
  2. Lisää Resurssirekisterissä SP:si rekisteröintitietoihin uusi varmenne vanhan lisäksi. Metadataan päätyvät tällöin molemmat varmenteet. Mikäli sinulla ei ole Haka-tunnuksia, lähetä uusi varmenne sähköpostitse haka@csc.fi
  3. Odota 24h siitä ajanhetkestä, kun metadata on julkaistu, että se ehtii päivittyä IdP:ihin. Tämän jälkeen vaihda SP:si konfiguraatiossa varmenteiden järjestystä siten, että uusi varmenne on ensimmäisenä ja tulee siis oletukseksi (ks. kohta 1 - eli vaihdat tässä näiden CredentialResolver:eiden järjestyksen päinvastaiseksi. Huom. Ensimmäisenä listassa olevan varmenteen on oltava voimassa! Eli tämä kohta on syytä ehtiä tekemään ennen kuin vanha varmenne vanhenee.
  4. Nyt voit poistaa vanhan varmenteen metadatasta Resurssirekisterillä. 
  5. Kun metadata on jälleen päivittynyt, odota 24h metadatan päivityksestä, jonka jälkeen voit poistaa SP:si konfiguraatiosta vanhan varmenteen.
SAML-tunnistuslähteen (IdP) varmenteen vaihtaminen
  1. Lisää Resurssirekisterissä IdP:si rekisteröintitietoihin uusi varmenne vanhan lisäksi. Metadataan päätyvät tällöin molemmat varmenteet. Mikäli sinulla ei ole Haka-tunnuksia, lähetä uusi varmenne sähköpostitse haka@csc.fi
  2. Odota, että metadata julkaistaan ja että se ehtii päivittyä SP:ihin. Tämän jälkeen vaihda IdP:si konfiguraatiossa varmenteeksi uusi varmenne.
  3. Nyt voit poistaa vanhan varmenteen metadatasta Resurssirekisterillä