Click here for the english version
Procédure pour renouveler le certificat SAML d'un SP Shibboleth
1. Objet
Cette fiche technique décrit les étapes à suivre pour renouveler le certificat SAML de chiffrement (ou de signature le cas échéant) d'un SP Shibboleth, sans interruption de service.
Avertissement:
Le renouvellement du certificat SAML d'un SP est une opération délicate qui ne peut pas être réalisée en une seule étape.
Il est en particulier nécessaire de tenir compte du délai de propagation des métadonnées à l'ensemble des autres entités SAML de la fédération.
Afin de réaliser cette opération sans interruption de service, il est crucial de respecter l'ordre et le timing des instructions décrites ci-après.
Le renouvellement du certificat SAML d'un SP est une opération délicate qui ne peut pas être réalisée en une seule étape.
Il est en particulier nécessaire de tenir compte du délai de propagation des métadonnées à l'ensemble des autres entités SAML de la fédération.
Afin de réaliser cette opération sans interruption de service, il est crucial de respecter l'ordre et le timing des instructions décrites ci-après.
2. Renouveler le certificat SAML de chiffrement du SP
2.1 Usage du certificat de chiffrement par le SP
- Un certificat SAML de chiffrement est utilisé par le SP pour recevoir des messages chiffrés de la part des IDPs de la même fédération d'appartenance (ou des mêmes fédérations d'appartenance).
- Ce type de certificat est obligatoire pour un SP.
- Un seul certificat SAML de chiffrement peut être présent à la fois pour un SP sur le guichet de la fédération.
2.2 Instructions pour le renouvellement
La procédure de renouvellement à respecter est la suivante :
# Etape 1 (T0) :
- A T0, le nouveau certificat :
- Doit être déclaré dans la configuration du SP comme second certificat de chiffrement, en complément de l'ancien.
- Doit ensuite être déclaré immédiatement sur le guichet comme seul certificat de chiffrement pour le SP, en remplacement de l'ancien.
- Une fois la modification soumise sur le guichet, une notification est envoyée au responsable du SP. Cette notification récapitule le changement effectué et informe sur la suite du processus de renouvellement et les différents jalons à respecter.
Important:
Le nouveau certificat de chiffrement déclaré sur le guichet sera utilisé progressivement par les différents IDPs de la fédération d'appartenance, dès qu'ils en prendront connaissance via le renouvellement des métadonnées, avec un délai de propagation complète estimé à 48 heures.
Pendant cette période transitoire, certains IDPs utiliseront l'ancien certificat et d'autres le nouveau pour chiffrer leurs messages à destination du SP. C'est pourquoi il est nécessaire que les deux certificats - l'ancien et le nouveau - soient bien tous les deux déclarés à ce stade dans la configuration du SP.
Le nouveau certificat de chiffrement déclaré sur le guichet sera utilisé progressivement par les différents IDPs de la fédération d'appartenance, dès qu'ils en prendront connaissance via le renouvellement des métadonnées, avec un délai de propagation complète estimé à 48 heures.
Pendant cette période transitoire, certains IDPs utiliseront l'ancien certificat et d'autres le nouveau pour chiffrer leurs messages à destination du SP. C'est pourquoi il est nécessaire que les deux certificats - l'ancien et le nouveau - soient bien tous les deux déclarés à ce stade dans la configuration du SP.
# Etape 2 (T0 + 48h) :
A T0+48h, le délai nécessaire à la propagation complète des métadonnées est normalement achevé et le nouveau certificat de chiffrement du SP est maintenant le seul certificat de chiffrement connu des IDPs de la fédération d'appartenance.
- A T0+48h, une notification est envoyée au responsable du SP déclaré sur le guichet, l'invitant à mettre à jour la configuration de son SP, en supprimant l'ancien certificat de chiffrement.
- L'ancien certificat de chiffrement peut alors être supprimé en toute sécurité de la configuration du SP.
3. Renouveler le certificat SAML de signature du SP
3.1 Usage du certificat de signature par le SP
- Un certificat SAML de signature est utilisé par le SP pour envoyer des messages authentifiés aux IDPs de la même fédération d'appartenance (ou des mêmes fédérations d'appartenance).
- Ce type de certificat n'est pas obligatoire pour un SP, sauf pour permettre le single logout (SLO)
- Deux certificats de signature au maximum peuvent être présents à la fois pour un SP sur le guichet de la fédération pour gérer le renouvellement.
3.2 Instructions pour le renouvellement
La procédure de renouvellement à respecter est la suivante :
# Etape 1 (T0) :
- A T0, le nouveau certificat doit être déclaré sur le guichet de la fédération comme second certificat de signature pour le SP, en complément de l'ancien.
- Une fois la modification soumise sur le guichet, une notification est envoyée au responsable du SP. Cette notification récapitule le changement effectué et informe sur la suite du processus de renouvellement et les différents jalons à respecter.
Important:
Le nouveau certificat de signature déclaré sur le guichet sera connu de l'ensemble des IDPs de la fédération d'appartenance dans 48 heures uniquement, ce qui correspond au délai nécessaire à la propagation complète des métadonnées.
Il ne doit donc pas être déclaré dans la configuration du SP à ce stade, sous peine que les messages émanant de celui-ci soient rejetés par certains IDPs qui n'auraient pas encore connaissance de ce nouveau certificat.
Le nouveau certificat de signature déclaré sur le guichet sera connu de l'ensemble des IDPs de la fédération d'appartenance dans 48 heures uniquement, ce qui correspond au délai nécessaire à la propagation complète des métadonnées.
Il ne doit donc pas être déclaré dans la configuration du SP à ce stade, sous peine que les messages émanant de celui-ci soient rejetés par certains IDPs qui n'auraient pas encore connaissance de ce nouveau certificat.
# Etape 2 (T0 + 48h) :
A T0+48h, le délai nécessaire à la propagation complète des métadonnées est normalement achevé et les 2 certificats de signature déclarés pour le SP (l'ancien et le nouveau) sont connus des autres IDPs de la fédération d'appartenance.
- A T0+48h, une notification est envoyée au responsable du SP déclaré sur le guichet, l'invitant à mettre la jour la configuration de son SP avec le nouveau certificat.
- Le nouveau certificat peut alors être déclaré en toute sécurité dans la configuration du SP comme seul certificat de signature, en remplacement de l’ancien.
# Etape 3 (T0 + 96h) :
- A T0+96h, l'ancien certificat de signature du SP est automatiquement supprimé du guichet de la fédération.
- Une notification est alors envoyée au responsable du SP déclaré sur le guichet pour l'informer de cette suppression automatique et lui rappeler - si çà n'a pas été fait à l'étape précédente - de supprimer également l'ancien certificat de la configuration de son SP.