Procédure pour renouveler le certificat SAML d'un IdP Shibboleth
1. Objet
Cette fiche technique décrit les étapes à suivre pour renouveler le certificat SAML de signature (ou de chiffrement le cas échéant) d'un IDP Shibboleth, sans interruption de service.
Avertissement:
Le renouvellement du certificat SAML d'un IDP est une opération délicate qui ne peut pas être réalisée en une seule étape.
Il est en particulier nécessaire de tenir compte du délai de propagation des métadonnées à l'ensemble des autres entités SAML de la fédération.
Afin de réaliser cette opération sans interruption de service, il est crucial de respecter l'ordre et le timing des instructions décrites ci-après.
Le renouvellement du certificat SAML d'un IDP est une opération délicate qui ne peut pas être réalisée en une seule étape.
Il est en particulier nécessaire de tenir compte du délai de propagation des métadonnées à l'ensemble des autres entités SAML de la fédération.
Afin de réaliser cette opération sans interruption de service, il est crucial de respecter l'ordre et le timing des instructions décrites ci-après.
2. Renouveler le certificat SAML de signature de l'IDP
2.1 Usage du certificat de signature par l'IDP
- Un certificat SAML de signature est utilisé par l'IDP pour envoyer des messages authentifiés aux SPS de la même fédération d'appartenance (ou des mêmes fédérations d'appartenance).
- Ce type de certificat est obligatoire pour un IDP.
- Deux certificats de signature au maximum peuvent être présents à la fois pour un IDP sur le guichet de la fédération pour gérer le renouvellement.
2.2 Instructions pour le renouvellement
La procédure de renouvellement à respecter est la suivante :
# Etape 1 (T0) :
- A T0, le nouveau certificat doit être déclaré sur le guichet de la fédération comme second certificat de signature pour l'IDP, en complément de l'ancien.
- Une fois la modification soumise sur le guichet, une notification est envoyée au responsable de l'IDP. Cette notification récapitule le changement effectué et informe sur la suite du processus de renouvellement et les différents jalons à respecter.
Important:
Le nouveau certificat de signature déclaré sur le guichet sera connu de l'ensemble des SPs de la fédération d'appartenance dans un délai de 48h, ce qui correspond au délai nécessaire à la propagation complète des métadonnées.
Il ne doit donc pas être déclaré dans la configuration de l'IDP à ce stade, sous peine que les messages émanant de celui-ci soient rejetés par certains SPs qui n'auraient pas encore connaissance de ce nouveau certificat.
Le nouveau certificat de signature déclaré sur le guichet sera connu de l'ensemble des SPs de la fédération d'appartenance dans un délai de 48h, ce qui correspond au délai nécessaire à la propagation complète des métadonnées.
Il ne doit donc pas être déclaré dans la configuration de l'IDP à ce stade, sous peine que les messages émanant de celui-ci soient rejetés par certains SPs qui n'auraient pas encore connaissance de ce nouveau certificat.
# Etape 2 (T0 + 48h) :
A T0+48h, le délai nécessaire à la propagation complète des métadonnées est normalement achevé et les 2 certificats de signature déclarés pour l'IDP (l'ancien et le nouveau) sont connus des autres SPs de la fédération d'appartenance.
- A T0+48h, une notification est envoyée au responsable de l'IDP déclaré sur le guichet, l'invitant à mettre la jour la configuration de son IDP avec le nouveau certificat.
- Le nouveau certificat peut alors être déclaré en toute sécurité dans la configuration de l'IDP comme seul certificat de signature, en remplacement de l’ancien.
# Etape 3 (T0 + 96h) :
- A T0+96h, l'ancien certificat de signature de l'IDP est automatiquement supprimé du guichet de la fédération.
- Une notification est alors envoyée au responsable de l'IDP déclaré sur le guichet pour l'informer de cette suppression automatique et lui rappeler - si çà n'a pas été fait à l'étape précédente - de supprimer également l'ancien certificat de la configuration de son IDP.
3. Renouveler le certificat SAML de chiffrement de l'IDP
3.1 Usage du certificat de chiffrement par l'IDP
- Un certificat SAML de chiffrement est utilisé par l'IDP pour recevoir des messages chiffrés de la part des SPs de la même fédération d'appartenance (ou des mêmes fédérations d'appartenance).
- Ce type de certificat n'est pas obligatoire pour un IDP, sauf pour permettre le single logout (SLO).
- Un seul certificat SAML de chiffrement peut être présent à la fois pour un IDP sur le guichet de la fédération.
3.2 Instructions pour le renouvellement
La procédure de renouvellement à respecter est la suivante :
# Etape 1 (T0) :
- A T0, le nouveau certificat :
- Doit être déclaré dans la configuration de l'IDP comme second certificat de chiffrement, en complément de l'ancien.
- Doit ensuite être déclaré immédiatement sur le guichet comme seul certificat de chiffrement pour l'IDP, en remplacement de l'ancien.
- Une fois la modification soumise sur le guichet, une notification est envoyée au responsable de l'IDP. Cette notification récapitule la modification effectuée et informe sur la suite du processus de renouvellement et les différents jalons à respecter.
Important:
Le nouveau certificat de chiffrement déclaré sur le guichet sera utilisé progressivement par les SPs de la fédération d'appartenance, dès qu'ils en prendront connaissance via le renouvellement des métadonnées, avec un délai de propagation complète estimé à 48 heures.
Pendant cette période transitoire, certains SPs utiliseront l'ancien certificat et d'autres le nouveau pour chiffrer leurs messages à destination de l'IDP. C'est pourquoi il est nécessaire que les deux certificats - l'ancien et le nouveau - soient bien tous les deux déclarés à ce stade dans la configuration de l'IDP.
Le nouveau certificat de chiffrement déclaré sur le guichet sera utilisé progressivement par les SPs de la fédération d'appartenance, dès qu'ils en prendront connaissance via le renouvellement des métadonnées, avec un délai de propagation complète estimé à 48 heures.
Pendant cette période transitoire, certains SPs utiliseront l'ancien certificat et d'autres le nouveau pour chiffrer leurs messages à destination de l'IDP. C'est pourquoi il est nécessaire que les deux certificats - l'ancien et le nouveau - soient bien tous les deux déclarés à ce stade dans la configuration de l'IDP.
# Etape 2 (T0 + 48h) :
A T0+48h, le délai nécessaire à la propagation complète des métadonnées est normalement achevé et le nouveau certificat de chiffrement de l'IDP est maintenant le seul certificat de chiffrement connu des SPs de la fédération d'appartenance.
- A T0+48h, une notification est envoyée au responsable de l'IDP déclaré sur le guichet, l'invitant à mettre à jour la configuration de son IDP, en supprimant l'ancien certificat de chiffrement.
- L'ancien certificat de chiffrement peut alors être supprimé en toute sécurité de la configuration de l'IDP.