24.11.2009 12:42 Alter: 11 Jahre
Emfohlene Konfigurationsänderung für den Shibboleth IdP
Von: Raoul BoreniusDie neulich bekannt gewordene TLS/SSLv3-Renegotiation-Schwachstelle wurde durch einen Fix der OpenSSL-Entwickler zwar geschlossen, allerdings führt dieser Fix dazu dass u.U. die Attribut-Freigabe des IdP nicht mehr funktioniert wenn der SOAP-Rückkanal auf Port 8443 des IdPs benutzt wird.
Um das Problem zu vermeiden überprüfen Sie bitte die Apache Konfiguration Ihres IdPs und stellen Sie sicher dass sich die SSL-Direktiven nicht in einem <Location>-Kontext befinden sondern direkt im <VirtualHost>-Kontext:
falsch:
<VirtualHost IDP-IP-ADRESSE:8443>
ServerName idp.beispiel-uni.de
SSLEngine on
SSLCertificateFile /opt/shibboleth-idp/credentials/idp.crt
SSLCertificateKeyFile /opt/shibboleth-idp/credentials/idp.key
<Location /idp>
SSLVerifyClient optional_no_ca
SSLVerifyDepth 10
SSLOptions +StdEnvVars +ExportCertData
</location>
...
</VirtualHost>
richtig:
<VirtualHost IDP-IP-ADRESSE:8443>
ServerName idp.beispiel-uni.de:8443
SSLEngine on
SSLCertificateFile /opt/shibboleth-idp/credentials/idp.crt
SSLCertificateKeyFile /opt/shibboleth-idp/credentials/idp.key
SSLVerifyClient optional_no_ca
SSLVerifyDepth 10
SSLOptions +StdEnvVars +ExportCertData
...
</VirtualHost>
Reloaden Sie danach den Apache-Webserverprozeß neu um die Änderung wirksam werden zu lassen. Für Fragen und Unterstützung bei Problemen stehen wir unter hotline@aai.dfn.de gerne zur Verfügung.