User Tools

Site Tools


Sidebar

cn:ccr:aai:howto:key-rollover

Aggiornamento certificato IdP

Il 27 maggio 2020 è iniziato il processo di key-rollover per l'aggiornamento (necessario a causa della vecchia cifratura non più supportata SHA-1) del certificato X.509 con cui l'IdP firma e decifra le asserzioni SAML nei dialoghi con i vari SP.

Il processo si svolge in quattro fasi:

  1. viene aggiunto un nuovo certificato nell'IdP
  2. ogni gestore di SP aggiorna il proprio SP aggiungendo il nuovo certificato
  3. viene rimosso il vecchio certificato dall'IdP
  4. ogni gestore di SP rimuove il vecchio certificato dell'IdP dalla configurazione del proprio IdP

L'aggiornamento di ogni SP dipende in modo cruciale dal tipo di SP, ma consiste essenzialmente nell'aggiunta di un secondo certificato dell'IdP che può essere scaricato dall'IdP, nella sezione relativa alla federazione.

IdP di test

Il key-rollover dell'infrastruttura di test è in fase-2 dal 1 giugno 2020. Questa fase terminerà il 30 giugno e quindi tutti i gestori di SP di test dovranno aggiornare i loro SP entro tale data.

Ci siamo resi conto del fatto che molti SP non sono in grado di gestire il doppio certificato. Questo significa che tali SP smetteranno di funzionare non appena cancelleremo il vecchio certificato dall'IdP di test. Per questo motivo abbiamo deciso di rimandare la rimozione del vecchio certificato dall'IdP di test al 15 settembre 2020 alle ore 9:00.

Il nuovo certificato dell'IdP di test (new_idp.crt) è scaricabile dalla pagina della Federazione dell'IdP di test

IdP di produzione

Il key-rollover dell'infrastruttura di produzione è in fase-2 dal 27 maggio 2020. Questa fase terminerà il 15 luglio (15 giorni dalla fine della fase-2 dell'infrastruttura di test) e quindi tutti i gestori di SP di test dovranno aggiornare i loro SP entro tale data.

Ci siamo resi conto del fatto che molti SP non sono in grado di gestire il doppio certificato. Questo significa che tali SP smetteranno di funzionare non appena cancelleremo il vecchio certificato dall'IdP di produzione. Per questo motivo abbiamo deciso di rimandare la rimozione del vecchio certificato dall'IdP di produzione al 6 ottobre 2020 alle ore 9:00.

Il nuovo certificato dell'IdP di produzione (new_idp.crt) è scaricabile dalla pagina della Federazione dell'IdP di produzione

cn/ccr/aai/howto/key-rollover.txt · Last modified: 2020/07/03 17:39 by enrico@infn.it