547
szerkesztés
Módosítások
SamlSign
,Új oldal, tartalma: „Parancssoros eszköz, melyhez debian alatt az <code>opensaml2-tools</code> csomagot kell telepíteni. A program kétféle üzemmódban képes működni: '''metaadat aláí...”
Parancssoros eszköz, melyhez debian alatt az <code>opensaml2-tools</code> csomagot kell telepíteni. A program kétféle üzemmódban képes működni: '''metaadat aláírása''' és '''metaadat ellenőrzése'''.
'''Metaadat aláírása'''
samlsign -s -k /path/to/mainkey.key -f /path/to/metadatatosign.xml
Alapértelmezés szerint a samlsign az eredményeket az alapértelmezett kimenetre írja ki (STDOUT), így célszerű ezt egy új fájlba átirányítani:
samlsign -s -k /path/to/mainkey.key -f /path/to/metadatatosign.xml > /path/to/metadatasigned.xml
'''Metaadat ellenőrzése'''
samlsign -c /path/to/maincert.crt -f /path/to/metadatatosign.xml
'''Samlsign legfontosabb kapcsolói'''
* -s ez határozza meg, hogy aláírunk, vagy ellenőrzünk. Ha megadtuk kapcsolóként, akkor a program megpróbálja aláírni a megadott xml fájlt, ha nem, akkor ugyanezt a fájlt ellenőrizni fogja.
* -f az ellenőrzendő/aláírandó fájl elérhetősége '''abszolút útvonallal''' megadva
* -k a privát kulcs elérhetősége '''abszolút útvonallal''' megadva
* -c az ellenőrzésre használt publikus kulcs elérhetősége '''abszolút útvonallal''' megadva
* [http://man.sourcentral.org/debian-unstable/1+samlsign További részletes leírás a samlsign man oldalán]
'''További fontos tudnivalók'''
A samlsign nem szereti a metadatában szereplő <code>Organization</code>-nel kapcsolatos adatokat, mivel ilyen tag-ekben kötelezően megadandó <code>xml:lang</code> attribútumot <code>lang</code>-ra alakítja át, ami által viszont nem lesz érvényes (valid) maga a metaadat, így pl. a shibboleth sem fog tudni vele mit kezdeni. A '''megoldás''' (nem szép, de hasznos): az aláírás előtt álló metaadatokból ki kell szedni az <code>Organization</code>-nel kapcsolatos adatokat. Ezek után már gond nélkül aláírja és az eredmény is érvényes lesz.
'''Apró trükk a privát kulcs kinyerésére <code>jks</code>-ből'''
Tekintettel arra, hogy a <code>keytool</code> nem teszi lehetőve a privát kulcs kihalászását JavaKeystore-ból, így külső segítséget kell igénybe vennünk. A segédalkalmazás <code>ExportPrivateKey</code> névre hallgat, és [http://www.anandsekar.com/wp-content/uploads/2006/01/ExportPrivateKey.zip innen letölthető egy darab zip fájl]. Használata rendkívül egyszerű:
java -jar ExportPrivateKey.zip {jks fájl elérhetősége} JKS {jks jelszó} {alias} {célfájl}
Ezek után a létrehozott kulccsal már használhatjuk is a samlsign-t.
'''Metaadat aláírása'''
samlsign -s -k /path/to/mainkey.key -f /path/to/metadatatosign.xml
Alapértelmezés szerint a samlsign az eredményeket az alapértelmezett kimenetre írja ki (STDOUT), így célszerű ezt egy új fájlba átirányítani:
samlsign -s -k /path/to/mainkey.key -f /path/to/metadatatosign.xml > /path/to/metadatasigned.xml
'''Metaadat ellenőrzése'''
samlsign -c /path/to/maincert.crt -f /path/to/metadatatosign.xml
'''Samlsign legfontosabb kapcsolói'''
* -s ez határozza meg, hogy aláírunk, vagy ellenőrzünk. Ha megadtuk kapcsolóként, akkor a program megpróbálja aláírni a megadott xml fájlt, ha nem, akkor ugyanezt a fájlt ellenőrizni fogja.
* -f az ellenőrzendő/aláírandó fájl elérhetősége '''abszolút útvonallal''' megadva
* -k a privát kulcs elérhetősége '''abszolút útvonallal''' megadva
* -c az ellenőrzésre használt publikus kulcs elérhetősége '''abszolút útvonallal''' megadva
* [http://man.sourcentral.org/debian-unstable/1+samlsign További részletes leírás a samlsign man oldalán]
'''További fontos tudnivalók'''
A samlsign nem szereti a metadatában szereplő <code>Organization</code>-nel kapcsolatos adatokat, mivel ilyen tag-ekben kötelezően megadandó <code>xml:lang</code> attribútumot <code>lang</code>-ra alakítja át, ami által viszont nem lesz érvényes (valid) maga a metaadat, így pl. a shibboleth sem fog tudni vele mit kezdeni. A '''megoldás''' (nem szép, de hasznos): az aláírás előtt álló metaadatokból ki kell szedni az <code>Organization</code>-nel kapcsolatos adatokat. Ezek után már gond nélkül aláírja és az eredmény is érvényes lesz.
'''Apró trükk a privát kulcs kinyerésére <code>jks</code>-ből'''
Tekintettel arra, hogy a <code>keytool</code> nem teszi lehetőve a privát kulcs kihalászását JavaKeystore-ból, így külső segítséget kell igénybe vennünk. A segédalkalmazás <code>ExportPrivateKey</code> névre hallgat, és [http://www.anandsekar.com/wp-content/uploads/2006/01/ExportPrivateKey.zip innen letölthető egy darab zip fájl]. Használata rendkívül egyszerű:
java -jar ExportPrivateKey.zip {jks fájl elérhetősége} JKS {jks jelszó} {alias} {célfájl}
Ezek után a létrehozott kulccsal már használhatjuk is a samlsign-t.