Byte av befintligt certifikat - via GUI

1 Inledning

Förutsättningar

• Nytt/nya certifikat i P12-format med lösenord för P12-filen samt samma lösenord för den privata nyckeln i P12-filen (nyckeln måste alltså vara krypterad).
• Åtkomst till Säkerhetstjänsters administrationsgränssnitt (som administratör).
• Åtkomst till filsystemet där Säkerhetstjänsters konfiguration ligger.
• Rättighet att stänga ner och starta om Säkerhetstjänster

3 Utförande

Instruktionen nedan beskriver hur vi utför själva bytet av certifikat i GUI:t. Några steg kan ändå behöva göras i OSGi-konsolen.

Under menyn Administration→Nyckelhantering listas alla identiteter med bl.a namn och id. Mappning mellan id och certifikat:

Figur: Exempel på certifikatsnamn där man använder SSL standardport 443 för samtliga tjänster och därmed olika URL:er och certifikat för varje tjänst.

1. Ta först en backup av hela konfigurationskatalogen config på den delade diskytan.
   Exempel Linux: /share/Sakerhetstjanst2.17/local/config/
   Exempel Windows: C:\share\Sakerhetstjanst2.17\local\config\
   
   
   
2. Välj en identitet i listan och klicka på knappen "Byt ut befintlig PKCS#12".
   
    
   Figur: Administration→Nyckelhantering
   
   
3. Välj det nya certifikatet med fil-dialogen och ange lösenordet. Klicka på "Spara".
    
4. Välj samma identitet igen, nu finns två certifikat i listan längst ner på sidan. Ta bort det gamla.
   
    
   Figur: Dubbla certifikat. Ta bort det äldre.
    
5. Upprepa punkt 2-3 för samtliga id:n i listan.
    
6. Om ni har nytt lösenord för certifikaten som har bytts måste även konfigurationen "Identity Password Provider 1.0.0" uppdateras med dessa.
   
   Detta kan göras under Generell konfiguration → Identity Password Provider (notera att prefix innan kolon : ska vara oförändrat och det nya lösenordet skrivs efter kolon).
   (skulle något hända med http-sessionen GUI:t har så att man inte kommer åt detta se punkt 8)
   
    
   Figur: Exempel från version 2.14 av Säkerhetstjänster. Tidigare versioner kan sakna vissa av dessa fält.
    
7. Exportera nu nytt IdP-metadata (Autentisering → IdP SAML) samt SP-metadata (Administration  → SP SAML).
    
8. Importera de metadatafiler du nyss exporterade under menyn Administration  → SAML Metadata (ta bort de befintliga med samma  namn först). Ifall autentiseringstjänsten används av andra SP:ar måste även dessa ladda ner och uppdatera IdP:ns nya metadata. 
   
   
9.  I undantagsfall kan det hända att sessionen avbryts av någon anledning innan det nya metadatat eller lösenorden är på plats. Man får då ett felmeddelande när webbläsaren misslyckas med att ladda sidan. Man måste då stänga av SP-filter och autentiserings-filter för att läsa in metadatat:
   
   
   1. Slå av filtren i OSGi-konsolen.
      spfilter -off
      authz -off
       
   2. Utför instruktionerna som återstår.
       
   3. Gå in i OSGi-konsolen och slå på filtren igen.
      spfilter -on
      authz -on
      
      
10. Kontrollera att det går att logga in i GUI:t och att det inte finns några felloggar som kan relateras till detta jobb.

Klart! 

Rollback

Skulle något vara fel efter certifikatsbytet kan man gå tillbaka till ursprungsläget genom att stänga ner Säkerhetstjänster och ersätta config-katalogen med backupen som rutinen ovan började med och starta upp igen med gamla konfigurationen.