DFNAAI
DFN-AAI / Aktuelles
Aktuelles
Nachrichten
Archiv
Der Dienst
Teilnahme
Dokumentation
Incident Response
Mailinglisten
Links
Sitemap
Aktuelle Informationen
Keine Artikel in dieser Ansicht.
24.11.2009 12:42 Alter: 11 Jahre

Emfohlene Konfigurationsänderung für den Shibboleth IdP

Von: Raoul Borenius

Die neulich bekannt gewordene TLS/SSLv3-Renegotiation-Schwachstelle wurde durch einen Fix der OpenSSL-Entwickler zwar geschlossen, allerdings führt dieser Fix dazu dass u.U. die Attribut-Freigabe des IdP nicht mehr funktioniert wenn der SOAP-Rückkanal auf Port 8443 des IdPs benutzt wird.

Um das Problem zu vermeiden überprüfen Sie bitte die Apache Konfiguration Ihres IdPs und stellen Sie sicher dass sich die SSL-Direktiven nicht in einem <Location>-Kontext befinden sondern direkt im <VirtualHost>-Kontext:

falsch:

   <VirtualHost IDP-IP-ADRESSE:8443>
ServerName idp.beispiel-uni.de
SSLEngine on
SSLCertificateFile /opt/shibboleth-idp/credentials/idp.crt
SSLCertificateKeyFile /opt/shibboleth-idp/credentials/idp.key

<Location /idp>
SSLVerifyClient optional_no_ca
SSLVerifyDepth 10
SSLOptions +StdEnvVars +ExportCertData
</location>

...

</VirtualHost>

richtig:

   <VirtualHost IDP-IP-ADRESSE:8443>
ServerName idp.beispiel-uni.de:8443
SSLEngine on
SSLCertificateFile /opt/shibboleth-idp/credentials/idp.crt
SSLCertificateKeyFile /opt/shibboleth-idp/credentials/idp.key

SSLVerifyClient optional_no_ca
SSLVerifyDepth 10
SSLOptions +StdEnvVars +ExportCertData

...

</VirtualHost>

Reloaden Sie danach den Apache-Webserverprozeß neu um die Änderung wirksam werden zu lassen. Für Fragen und Unterstützung bei Problemen stehen wir unter hotline@aai.dfn.de gerne zur Verfügung.

 




Druckansicht 
 
Verzeichnisse
Verwaltung
Sicherheit
Kontakt
Impressum
Datenschutz
DFN e.V.