• Created by Unknown User (marcus.tinnsten), last modified by Unknown User (lexhagenm) on 2022 05 04


Tjänst under avveckling

Dessa sidor kommer att tas bort 2023-01-01


Uppdatering

I Säkerhetstjänster 2.9 och senare kan byte av certifikat utföras i Säkerhetstjänsters GUI via menyn Administration --> Nyckelhantering användaren har administrativa behörigheter för denna menyutgång.

Se System --> Nyckelhantering i användarhandboken samt Byte av befintligt certifikat - via GUI för vidare instruktioner.

DatumVersionNamnFörändring

 

0.1

Örjan Olofsson

Lagt till dokumenthistorik

 

1.0

Örjan Olofsson

Uppdaterat och granskat för 2.17

 

2.0Unknown User (lexhagenm)Omskriven för att stödja både äldre och nyare versioner.



Inledning

Observera att certifikatsbyte oftast påverkar metadatat eftersom certifikatet man byter till kommer att användas vid signering av request mm
Därför ingår det i rutinen att byta metadata för både SP och IdP.

Om man har andra SP:ar än Säkerhetstjänsters egna GUI måste detta alltså planeras tillsammans med dessa SP:ar!


Förutsättningar

  • Nytt/nya certifikat i P12-format med lösenord för P12-filen samt lösenord för den privata  nyckeln i P12-filen.
  • Åtkomst till Säkerhetstjänsters administrationsgränssnitt (som administratör).
  • Åtkomst till filsystemet där Säkerhetstjänsters konfiguration ligger.
  • Rättighet att stänga ner och starta om Säkerhetstjänster.

Utförande


  • Ta först en backup av hela konfigurationskatalogen config på den delade diskytan.
    Exempel Linux: /share/Sakerhetstjanst2.17/local/config/
    Exempel Windows: C:\share\Sakerhetstjanst2.17\local\config\

  • Lägg till det nya certifikatet (port-adressering 8443-8080) eller certifikaten (ssl standardport 443) i administrationsgränssnittet under menyn Nyckelhantering.

    Resultatet av dessa operationer är nya konfigurations/xml-filer med ett slumpat namn i katalogen com.logica.se.iac.identity.pkcs12.factory på i config-katalogen den delade diskytan.

    2.17

    I tidigare versioner heter katalogen com.logica.se.iac.identity.pkcs12.factory.1.0.0 och innehåller något färre filer.
    image-2019-01-30-10-26-43-548.png
    2.5

Lägg till följande temporära id:n

  • tmp-app
  • tmp-cd
  • tmp-idp
  • tmp-secure.idp
  • tmp-ws


Lägg till följande temporära id:n

  • tmp_identity
  • tmp_idp_identity
  • tmp_cdc-identity




  • Stäng ner servicen Säkerhetstjänster på alla noder.

  • Gå till konfigurationskatalogen com.logica.se.iac.identity.pkcs12.factory(.1.0.0) i config-katalogen på den delade diskytan.

  • Nu skall befintliga filer bytas ut mot de nyss skapade. Börja med att döpa om alla befintliga filer t.ex genom att lägga till .bak i slutet på filnamnet 


    2.17


    2.5


  • Nu ska varje ny fil modifieras och döpas om. Vi börjar t.ex med filen 1548850832151-0.xml och ser under elementet name att det var den vi gav id:t tmp-ws.
    Vi ändrar värdet till ws som i gamla filen ws.xml.bak. Man kan också städa upp elementet pid och skriva ws även här. 

     
    2.17



    2.17

    Spara filen och döp om filen till ws.xml så att det blir en ersättare till ws.xml.bak

  • Gör nu likadant med alla nya filer så att vi har ersättare för alla identiteter.


    2.17


    2.5

  • Vi har säkert nya lösenord på de nya certifikaten. Dessa måste matas in i konfigurationsfilen com.logica.se.iac.identity.passwordprovider(.1.0.0).xml i config-katalogen på  den delade diskytan.

    Observera att formatet är id:password så det är bara det efter kolon ( : ) som ska bytas ut för respektive certifikat/identitet.


    2.17


    2.5

  • När alla filer är sparade ska systemet kunna startas upp.

  • Certifikatsbyte påverkar metadata för både SP och IdP i Säkerhetstjänster. Därför måste dessa nu exporteras och importeras på nytt.

    För att komma åt GUI:t kan man nu behöva slå av behörighetskontrollen från OSGi-konsolen.

    telnet localhost 1111
    osgi> spfilter -off
    osgi> authz -off

    Exportera nytt SP-metadata under Administration → SP SAML
    Exportera nytt IdP-metadata under Autentisering → IdP SAML
    Ta bort det gamla metadatat för SP och IdP samt läs in de nyss exporterade filerna under Administration → SAML Metadata

    Slå på behörigheten igen i OSGi-konsolen

    osgi> spfilter -on
    osgi> authz -on

    I tidigare versioner av Säkerhetstjänster måste dessa kommandon föregås av sys
    osgi> sys spfilter -on
    osgi> sys authz -on


Klart! Nu ska det gå att logga in i Säkerhetstjänster som ska presentera sig med de nya certifikaten.


Rollback

Skulle något vara fel efter certifikatsbytet kan man gå tillbaka till ursprungsläget genom att stänga ner Säkerhetstjänster och ersätta config-katalogen med backupen som rutinen ovan började med och starta upp igen med gamla konfigurationen.






  • No labels

Publik Information