CAFe
  • CAFe
  • Central de Ajuda - CAFe
  • Políticas do Serviço
    • Termo de privacidade do Provedor de Serviço (SP)
    • CAFe Service Provider (SP) Privacy Agreement
    • Política da Comunidade Acadêmica Federada (CAFe)
    • Politics of Federated Academic Community (CAFe)
  • Aviso - Vulnerabilidade Shibboleth SP
  • Verificação de Inicidentes
  • Lista de Clientes
  • Atributos da CAFe
  • Perguntas Frequentes
    • FAQ - CAFe
    • FAQ - Pentaho
  • Pentaho
    • Pentaho
    • Procedimentos de Instalação
      • Procedimento de importação do template de Máquina Virtual (PDI 9.0)
      • Instalação Cliente PDI - Versão 9
      • Configuração do EID-PDI
        • Apresentação da Arquitetura do EID-PDI
        • Vídeo de configuração do EID-PDI
        • Descrição do modelo de dados EID
        • Descrição dos Jobs e Transformações disponíveis no PDI/EID
        • Descrição dos parâmetros do EID/PDI 9.0
        • Logs EID PDI
      • Controle de versão Pentaho Data Integration
      • Pentaho Módulo Web
        • Relatórios Pentaho
        • Agendamento de Jobs
      • Instalação do Apache DS - Windows
      • Tutorial Básico Apache DS
      • Procedimentos de criação da VM EID PDI
  • OpenLDAP
    • Instalação do OpenLDAP com esquema brEduPerson no Ubuntu 22.04
    • Habilitando o campo do sambaNTPassword
  • IDP CAFe
    • Requisitos de Uso
    • Manual de Usuário
      • Problemas no acesso CAFe
      • Coleta/Verificação de Atributos
        • Chimarrão (Homologação)
        • CAFe (Produção)
    • Procedimentos Técnicos
      • Como alterar o atributo principal de autenticação em seu IDP
      • Gerar nova chave e certificado para o shibboleth
      • Gerar nova chave e certificado para o Apache (auto assinado)
      • Instalando um certificado web válido em um IdP
      • Critérios de consulta ao OpenLDAP para Shibboleth
      • Altera nível do log do IDP para DEBUG
      • Ajustando Atributos CPF e Data de Nascimento para ICPEdu
      • Alterando o hostname e dominio de um IdP em produção na CAFe
      • Desabilitando o serviço Fail2ban do IdP CAFe
      • Instalando certificado Let's Encrypt no IDP Shibboleth
      • Customização da mensagens de login no IDP
      • Integrando o Office 365 com Shibboleth IDP
        • Office 365 - Configuração no Shibbboleth IDP
        • Office 365 - Configuração no Microsoft Entra
      • Instalação Manual do MFA CAFe
        • Requisitos de instalação do MFA
        • Procedimento de instalação
        • Configurações importantes - CAPTCHA
        • Ambiente com Redundância
        • Operando MFA
      • Alta Disponibilidade do Serviço
  • RPilot (IDP)
    • Instalação IDP RPilot
      • Escolhendo o Produto
      • Execução da Receita
        • Solicitar Execução
        • Parâmetros de uma receita
        • Revisão das Variáveis
        • Solicitações de Execuções
      • Homologar a instalação do IDP
      • Homologar a instalação do MFA
      • Customização da logo Institucional
    • Sobre o MFA CAFe
      • Senhas descartáveis MFA
      • Códigos de Emergência MFA
  • Service Provider (SP)
    • Guia de Instalação Shibboleth SP (3.4)
Powered by GitBook
On this page
  • Criando certificados csr e key
  • Criando certificado crt
  • Permissao para os arquivo
  • Imprimindo certificados para envio ao MOKA da CAFe
  • Metadado do SP gerado manualmente
  • Procedimento para atualização de certificado em um SP
  • Encontrar onde estao os certificados
  • Fazendo backup dos certificados atuais
  • Removendo certificados atuais
  • Testando e resetando shibboleth

Was this helpful?

Export as PDF
  1. Service Provider (SP)
  2. Adesão SP

Geração de Chave e Certificado

Este tutorial apresenta os passos necessários para se fazer a geração de Chave e Certificado SSL.A seguir serão apresentados os requisitos bem como roteiro para a referida instalação.

Criando certificados csr e key

Substituir o termo {exemplo.rnp.br} pelo nome do seu host de aplicação, por exemplo:

{exemplo.rnp.br} = aplicacao-servico.rnp.br
openssl req -new -newkey rsa:4096 \
-nodes -out /etc/ssl/certs/{exemplo.rnp.br}.csr \
-keyout /etc/ssl/private/{exemplo.rnp.br}.key \
-subj "/C=BR/ST=Rio de Janeiro/L=Rio de Janeiro/O=Rede Nacional de Ensino e Pesquisa/OU=RNP/CN={exemplo.rnp.br}"

Criando certificado crt

openssl x509 \
-req -days 730 \
-in  /etc/ssl/certs/{exemplo.rnp.br}.csr \
-signkey /etc/ssl/private/{exemplo.rnp.br}.key \
-out /etc/ssl/certs/{exemplo.rnp.br}.crt

Permissao para os arquivo

chmod 644 /etc/ssl/private/{exemplo.rnp.br}.key
chmod 644 /etc/ssl/certs/{exemplo.rnp.br}.crt

Imprimindo certificados para envio ao MOKA da CAFe

cat /etc/ssl/certs/{exemplo.rnp.br}.crt

O resultado irá aparecer na tela, copie APENAS os valores que irão aparecer entre as TAGs

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Após copiar esse valor substitua no arquivo de metadado aonde aparecer as TAGs

INSIRA_AQUI_O_CONTEUDO_DO_ARQUIVO_DO_CERTIFICADO

Metadado do SP gerado manualmente

Legenda

Substituir $HOSTNAME, $NOME_SERVICO, $SIGLA_SERVICO, $DESCRICAO_SERVICO, $URL_SERVICO, $CONTATO e $EMAIL_CONTATO

<EntityDescriptor entityID="https://$HOSTNAME/shibboleth-sp2">
 <SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol urn:oasis:names:tc:SAML:1.0:protocol">
 <Extensions>
 <mdui:UIInfo xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui">
 <mdui:DisplayName xml:lang="en">$SIGLA_SERVICO - $NOME_SERVICO</mdui:DisplayName>
 <mdui:Description xml:lang="en">$DESCRICAO_SERVICO.</mdui:Description>
 </mdui:UIInfo>
 </Extensions>
 <KeyDescriptor>
 <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
 <ds:X509Data>
 <ds:X509Certificate>
INSIRA_AQUI_O_CONTEUDO_DO_ARQUIVO_DO_CERTIFICADO
INSIRA_AQUI_O_CONTEUDO_DO_ARQUIVO_DO_CERTIFICADO
INSIRA_AQUI_O_CONTEUDO_DO_ARQUIVO_DO_CERTIFICADO
 </ds:X509Certificate>
 </ds:X509Data>
 </ds:KeyInfo>
 </KeyDescriptor>
 <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://$HOSTNAME/Shibboleth.sso/SAML2/POST" index="1"/>
 <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://$HOSTNAME/Shibboleth.sso/SAML2/POST-SimpleSign" index="2"/>
 <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" Location="https://$HOSTNAME/Shibboleth.sso/SAML2/Artifact" index="3"/>
 <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" Location="https://$HOSTNAME/Shibboleth.sso/SAML2/ECP" index="4"/>
 <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:1.0:profiles:browser-post" Location="https://$HOSTNAME/Shibboleth.sso/SAML/POST" index="5"/>
 <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:1.0:profiles:artifact-01" Location="https://$HOSTNAME/Shibboleth.sso/SAML/Artifact" index="6"/>
 </SPSSODescriptor>
 <Organization>
 <OrganizationName xml:lang="en">$SIGLA_SERVICO - $NOME_SERVICO</OrganizationName>
 <OrganizationDisplayName xml:lang="en">$SIGLA_SERVICO - $NOME_SERVICO</OrganizationDisplayName>
 <OrganizationURL xml:lang="en">http://$URL_SERVICO</OrganizationURL>
 </Organization>
 <ContactPerson contactType="technical">
 <SurName>$CONTATO</SurName>
 <EmailAddress>$EMAIL_CONTATO</EmailAddress>
 </ContactPerson>
</EntityDescriptor>

Pronto ao final salve suas modificações no arquivo e envie o metadado para a equipe de operação da CAFe GTI/RNP através de um chamado pelo nosso canal de atendimento.

Seu metadado será inserido na federação Chimarrão para homologação e se aprovado será migrado para a federação CAFe.

Procedimento para atualização de certificado em um SP

Encontrar onde estao os certificados

cat /etc/shibboleth/shibboleth2.xml

Fazendo backup dos certificados atuais

mkdir /etc/ssl/private/bck && cp /etc/ssl/private/{antigo_certificado}.key /etc/ssl/private/bck
mkdir /etc/ssl/certs/bck && cp /etc/ssl/certs/{antigo_certificado}.crt /etc/ssl/certs/bck

Removendo certificados atuais

rm /etc/ssl/private/{antigo_certificado}.key
rm /etc/ssl/certs/{antigo_certificado}.crt

Testando e resetando shibboleth

shibd -t
service shibd stop
service shibd start
service shibd status

Last updated 1 year ago

Was this helpful?

Gerar um novo certificado, procedimento . Após gerar um novo certificado não esquecer de enviar o contéudo do novo certificado gerado para equipe de operação da CAFe GTI/RNP, pois o mesmo deverá ser substituído no MOKA da CAFe.

acima