Scaricare i metadata aggiornati
Scaricare i Metadata aggiornati
Serve solo per shib1.3; la versione 2.* gestisce internamente questa funzione
Panoramica
I metadata sono lo strumento di fiducia della federazione, in quanto contengono l'elenco degli attori fidati (SP e IdP) con i rispettivi nomi e certificati.
Sorge quindi l'esigenza di rinnovare spesso il file di metadata (in quanto potrebbero aggiungersi nuovi partecipanti) e di farlo in modo sicuro.
La sicurezza è garantita da:
- i metadata sono su https, quindi si può verificare l'autenticità dell'IP del mittente;
- il metadata è firmato con il certificato digitale di un amministratore.
Strumenti necessari
- wget
- siterefresh (incluso nella distribuzione di Shibboleth SP)
wget
wget --secure-protocol=SSLv2 --ca-certificate=/etc/ssl/certs/scs-chain.pem https://shibboleth.unimore.it/inner-metadata.xml
In cui scs-chain è il concatenamento di
- http://secure.globalsign.net/cacert/ct_root.pem
- http://secure.globalsign.net/cacert/sureserverEDU.pem
in quest'ordine.
siterefresh
Operazioni preliminari
Scaricare la chiave pubblica del firmatario (attualmente Francesco Malvezzi): http://wiki.unimore.it/mediawiki/upload/d/d6/Garrcert015e.bundle (aggiornata la chiave il 26/5/2008)
Verificarla:
openssl x509 -fingerprint -noout < garrcert015e.bundle
Deve coincidere con la Fingerprint che si ottiene cercando il certificato del firmatario presso l'ente emittente: https://ca.garr.it/mgt/scert.php.
Modalità d'uso
siterefresh --url file:///tmp/inner-metadata.xml --out inner-metadata.xml --cert garrcert.bundle
Uno script bash di esempio
#!/bin/bash METADATA=inner-metadata.xml cd /root if [ -e $METADATA ] then rm -rf $METADATA fi wget --secure-protocol=SSLv2 --ca-certificate=/etc/ssl/certs/scs-chain.pem https://shibboleth.unimore.it/inner-metadata.xml 2> /dev/null siterefresh --url file:///root/$METADATA --out /etc/shibboleth/$METADATA --cert garrcert.bundle