Abrufen von Keystores und Importieren dieser Keystores auf den IdP-Server

Um die Zusicherung vertrauenswürdiger Parteien aufzubauen, sind einzelne Keystores für jede integrierende Anwendung und den IdP-Server erforderlich.

Warum und wann dieser Vorgang ausgeführt wird

Rufen Sie Keystores für den IdP-Server und für alle SPs ab, die Sie in die Föderation einschließen möchten. Sie können die Keystores mit dem Java™-Keytool-Dienstprogramm generieren, oder Sie können sie von einer Zertifizierungsstelle abrufen.

Wenn Sie Keystores mit dem Keytool-Dienstprogramm generieren, ist im Folgenden ein typischer Workflow für diese Aufgabe mit Beispielbefehlen dargestellt. In diesen Beispielen lautet der Java 6-Keytool-Pfad C:\Program Files (x86)\Java\jre7\bin\keytool.

Der IdP-Administrator generiert einen Keystore für den IdP-Server und exportiert das Zertifikat.

# Generate IdP JKS from keytool
c:\temp> "keytool_path\keytool" -genkey -keyalg RSA -alias idp 
-keystore idp.jks -storepass idp001 -validity 360 -keysize 2048
# Export IdP certificate from JKS
c:\temp> "keytool_path\keytool" -export -alias idp -file idp.cer 
-keystore idp.jks

Ein SP-Administrator generiert einen Keystore und exportiert ihn.

# Generate Service Provider JKS from keytool
c:\temp> "keytool_path\keytool" -genkey -keyalg RSA -alias SP_1 
-keystore SP_1.jks -storepass SP001 -validity 360 -keysize 2048
# Export Service Provider certificate from JKS
c:\temp> "keytool_path\keytool" -export -alias SP_1 -file SP_1.cer 
-keystore SP_1.jks

Der SP-Administrator sendet das Zertifikat anschließend an den IdP-Administrator.

Der IdP-Administrator importiert das SP-Zertifikat auf den IdP-Server.

# Import Service Provider certificate into IdP JKS
c:\temp> "keytool_path\keytool" -import -alias SP_1 
-trustcacerts -file SP_1.cer -keystore idp.jks