Skip to Content

IdP sertifikaatin vaihto

Last modified by jukarvon@helsinki_fi on 2023/12/19 08:01

login.helsinki.fi-IdP:n varmenne päivitetään kesäkuun alussa. Uudessa on muutamia poikkeuksia vanhaan:

  • Varmenne vaihdetaan itseallekirjoitettuun ja pitemmällä voimassaoloajalla varustettuun. Tulevaisuudessa varmenne vaihdetaan Shibboleth-konsortion suositusten mukaisesti vain, kun siihen on tietoturvaan perustuva tarve.
  • Metadatassa määritetään erillinen varmenne allekirjoitukseen ja salaukseen.

Omistan/Ylläpidän palvelua X, koskeeko tämä minua?

Jos palveluun kirjaudutaan sivulla, jonka osoitte alkaa https://login.helsinki.fi/ - tämä koskee kyseistä palvelua ja olet siten vastuussa huolehtimaan, että palvelu toimii myös muutoksen jälkeen.

Lisää yleisiä kysymyksiä sivun lopussa.

Aikataulu

  1. 5.6.2018 kello 9:30 mennessä IdP:n uusi sertifikaatti lisätään palveluille jaettavaan metadataan.
  2. 6.6.2018 kello 9:30: IdP ottaa uuden sertifikaatin käyttöön ja vanha sertifikaatti poistetaan metadatasta tämän jälkeen.

Palveluun vaaditut muutokset

Jos SP päivittää metadatan automaattisesti, ei mitään muutoksia tarvitse tehdä. Shibboleth SP:lle esimerkin metadatan automaattisesta päivittämisestä löytää Shibboleth SP:n konfigurointi -ohjeesta.

Jos SP ei päivitä metadataa automaattisesti, tulee metadata päivittää käsin ennen 2.vaihetta sekä uudelleen 2. vaiheen jälkeen (ylimääräisen sertifikaatin poistaminen). Tarvittavat toimenpiteet riippuvat käytetystä SAML-toteutuksesta ja niihin voi tutustua kyseisen toteutuksen dokumentaatiosta. Huom. Shibboleth SP:n tapauksessa kannattaa aina asettaa automaattinen päivitys päälle. Samoin muiden SAML-toteutusten, jos ne tukevat automaattista päivitystä ja metadata-tiedoston oikeellisuuden varmistamista erillisellä varmenteella.

Poikkeukset

Palvelu ei tue useampaa samanaikaista varmennetta

Osa SAML SP -sovelluksista ei tue useampaa samanaikaista varmennetta IdP:lle. Tässä tapauksessa varmenne täytyy vaihtaa käsin palveluun samaan aikaan kun uusi varmenne otetaan käyttöön IdP:llä. Tällöin palvelu ei todennäköisesti tue myöskään erillistä varmennetta allekirjoitukseen ja salaukseen. Koska salaus IdP:n suuntaan ei ole pakollista, on alla saatavilla metadata myös muodossa, joka sisältää vain salausvarmenteen.

Shibboleth SP ja SimpleSAMLphp ovat tuotteita, joiden tiedetään tukevan useampaa sertifikaattia.

Palvelu ei osaa lukea metadataa vaan muutokset määritetään käsin asetuksiin

Tällöin uudet varmenteet löytyvät metadasta (<KeyDescriptor use="signing"> ja <KeyDescriptor use="encryption">) ja ne voi sieltä päivittää asetuksiin.

Muita muutoksia tässä päivityksessä ei tapahdu, mutta aiemmin keväällä metadataan on lisätty mm. SLO-osoite.

Huom. Päivitä tällöin tieto tästä myös SP-rekisterin Additional notes-kohtaan sekä mainitse käytetty SAML-toteutus. Näin osaamme tulevaisuudessa kohdistaa tiedotusta paremmin.

Metadatan sijainti

Metadata julkaistaan allekirjoitetussa XML-tiedostossa. Allekirjoituksen tarkistamiseen käytetyn varmenteen saa osoitteesta https://login.helsinki.fi/metadata/sc/sign-login.helsinki.fi.crt

Nykyinen metadata löytyy osoitteesta https://login.helsinki.fi/metadata/sign-hy-metadata.xml

  • Tämä päivitetään 5.6. aamulla siten, että se sisältää sekä uuden että vanhan varmenteen.
  • Tämä päivitetään uudelleen IdP:n varmenteen vaihdon jälkeen siten, että se sisältää vain uuden varmenteen.

Metadata, joka sisältää sekä uudet että vanhat varmenteet: https://login.helsinki.fi/metadata/sign-hy-metadata-both.xml

Metadata, joka sisältää vain uudet varmenteet: https://login.helsinki.fi/metadata/sign-hy-metadata-new.xml

Metadata, joka sisältää vain uuden allekirjoitusvarmenteen: https://login.helsinki.fi/metadata/sign-hy-metadata-signing-only.xml

  • Voidaan käyttää, jos SAML-toteutus ei tue useampaa varmennetta. IdP:lle lähetettävien viestien salaaminen ei tällä hetkellä ole useimmissa tapauksissa tarpeellista.

Pelkät uudet varmenteet PEM-muodossa:

Yleiset kysymykset

Omistan/Ylläpidän palvelua X, koskeeko tämä minua?

Jos palveluun kirjaudutaan sivulla, jonka osoitte alkaa https://login.helsinki.fI/ - tämä koskee kyseistä palvelua ja olet siten vastuussa huolehtimaan, että palvelu toimii myös muutoksen jälkeen.

Mikä on Shibboleth / SAML / IdP / SP?

Tästä löytää paremman kuvauksen meidän ylläpitäjille ja palveluomistajille suunnatusta dokumentaatiosta: Shibboleth / SAML2.

Palveluni kirjautuminen ei toimi 5.6. tai 6.6. Mitä pitää tehdä?

Jos kirjautuminen hajoaa 5.5. on syynä todennäköisesti palvelun kyvyttömyys käsitellä useita varmenteita. Tämä on hyvin epätodennäköistä palveluissa, jotka päivittävät metadatan automaattisesti. Tällöin tulee vanha metadata palauttaa osoitteesta https://login.helsinki.fi/metadata/sign-hy-metadata-old.xml ja vaihtaa se käsin uuteen metadataan 6.6. kello 9:30. Tällöin todennäköisesti tarvitsee uudesta metadatasta käyttää versiota, joka sisältää vain allekirjoitusvarmenteen, eli https://login.helsinki.fi/metadata/sign-hy-metadata-signing-only.xml.

Jos kirjautuminen hajoaa 6.6. kello 9:30 alkaen, ei palveluun ole päivitetty (automaattisesi tai käsin) uusia kirjautumispalvelun varmenteita. Palvelun tai sen käyttämän SAML-toteutuksen lokeista pitäisi selvitä syy, jos palvelun pitäisi päivittää metadata automaattisesti eikä näin ole tapahtunut.

Tällöin palveluun pitää päivittää uudet IdP:n varmenteet, jotka löytyvät "Metadatan sijainti" otsikon alta.

Kuinka teidän mitä SAML-toteutusta palveluni käyttää?

Lähtökohtaisesti palvelun ylläpitodokumentaatiosta. Linux-palvelimilla yleisin käytetty sovellus on Shibboleth SP, joka löytyy /etc/shibboleth -kansiosta ja lokiin /var/log/shibbboleth/transaction.log tulee merkintöjä kirjaantumisista.

Kuinka tiedän päivittääkö palveluni IdP:n metadatan automaattisesti?

Alla oleva esimerkki toimii Shibboleth SP:n oletusasennuksissa. Jos käytät muuta SAML-toteutusta, löytyy tieto toivottavasti kyseisen sovelluksen dokumentaatiosta.

Shibboleth SP:ssä voit katsoa /etc/shibboleth/shibboleth2.xml:stä löytyykö sieltä seuraavan tyylinen merkintä aktiivisena:

https://login.helsinki.fi/metadata/sign-hy-metadata.xml


        &#x3c;MetadataProvider type="XML" uri=""              backingFilePath="/etc/shibboleth/metadata/sign-hy-metadata.xml" reloadInterval="7200"&#x3e;            &#x3c;MetadataFilter type="Signature" certificate="sign-login.helsinki.fi.crt"/&#x3e;        &#x3c;/MetadataProvider&#x3e;

Jos löytyy, katso onko backingFilePath:ssa mainittu tiedosto päivittynyt viime aikoina ilman, että sitä on käsin tehty. Tästä jää myös merkintä /var/log/shibboleth/shibd.log:iin.

Huom. Varmista todella lokeista tai tiedoston päiväyksestä, että päivitys toimii oikein. Joissain tapauksessa päivitys on asetettu tapahtumaan, mutta tiedosto-oikeuksien vuoksi sovellus ei ole pystynyt sitä päivittämään ja on tällöin käyttänyt vanhaa metadataa.

Miksi tässä puhutaan metadatasta ja varmenteesta? Mitä ne ovat?

Metadata on tapa välittää tietoa SAML:a käyttävästä palvelusta XML-tiedostossa. Se sisältää mm. palvelun varmenteet, yhteysosoitteet ja yksilöllisen tunnisteen. Tästä syystä myös vaihdettu varmenne on paketoitu osaksi metadataa.

Varmenteista voi lukea vaikka Wikipediasta.

Voiko uutta varmennetta testata ennalta testiympäristössä?

Testi on mahdollista toteuttaa IdP:n testipalvelinta vastaan Tiken työasemaverkossa, ole yhteydessä tarvittaessa atk-autentikointi@helsinki.fi.

Mistä saan apua?

  1. Tämä sivu
  2. Meidän yleinen ohjeistus: Shibboleth / SAML2.
  3. Palvelun konfiguraatioohjeet: Ohjeet Shibbolointiin
  4. Sähköpostitse osoitteesta atk-autentikointi@helsinki.fi
  5. Arcuksen huone numero 323