FEDURUS

Appendix A: Пример сертификата, используемого в SAML2 метаданных

Данное руководство объясняет, как создать X.509 сертификат, который отвечает требованиям федерации доступа FEDURUS.
Пожалуйста, введите hostname и entityID вашего Service Provider, для которого вы хотите создать сертификат:

Fully Qualified Domain Name

entityID

Файл конфигурации OpenSSL (адаптированный)

На компьютере, где установлен OpenSSL, выполните следующие шаги:

1. Создайте файл конфигурации OpenSSL sp-cert.cnf следующего содержания:

   [req]
   RANDFILE=/dev/urandom
   default_bits=2048
   default_md=sha1
   distinguished_name=dn
   # PrintableStrings only
   string_mask=MASK:0002
   prompt=no
   x509_extensions=ext
   
   # customize the "default_keyfile,", "CN" and "subjectAltName" lines below
   default_keyfile=sp-key.pem
   
   [dn]
   CN=sp.example.ru
   
   [ext]
   subjectAltName = DNS:sp.example.ru, \
                    URI:https://sp.example.ru/shibboleth
   subjectKeyIdentifier=hash
   

2. Выполните команду:
   $ openssl req -new -x509 -days 3650 -nodes -config sp-cert.cnf -out sp-cert.pem
3. Используйте полученные файлы sp-cert.pem и sp-key.pem для вашего SAML Service Provider при подписи и расшифровки SAML утверждений (подтверждений).

Сертификат

Созданный сертификат должен быть похож на представленный ниже, если для просмотра использовать команду:

$ openssl x509 -in sp-cert.pem -nameopt show_type,sep_comma_plus_space -text

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            e5:40:df:57:27:f6:d0:b1
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: CN=PRINTABLESTRING:sp.example.ru
        Validity
            Not Before: Mar  7 16:10:15 2013 GMT
            Not After : Mar  8 16:10:15 2016 GMT
        Subject: CN=PRINTABLESTRING:sp.example.ru
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    00:cd:84:61:df:e9:e7:99:17:5e:2c:25:db:af:0c:
                    11:b5:33:23:31:8c:75:8d:e5:4a:2b:7c:b5:cf:0c:
                    06:19:86:be:56:0f:d6:e2:57:3c:9f:ab:d1:42:6c:
                    fe:27:74:39:01:49:57:6e:e6:b8:17:28:bc:72:ce:
                    87:75:32:40:de:37:ee:22:76:bf:44:66:20:15:6e:
                    12:5a:2c:38:ab:e5:8c:01:6a:04:ad:88:20:ba:e5:
                    02:ec:ac:01:ab:4c:a6:c6:9f:b1:e8:5c:e7:ce:e6:
                    8e:3e:97:86:ba:da:63:20:30:53:00:52:9f:56:fc:
                    94:34:93:87:d6:99:b9:d6:71:71:e8:53:31:1e:37:
                    f5:ee:92:20:f8:8e:05:05:9d:ff:7f:74:1f:fd:3f:
                    dd:d5:88:09:e4:49:4a:04:1d:e1:c8:cf:b3:a2:c3:
                    57:3f:f6:90:89:92:d8:94:da:7b:3d:7b:15:30:c1:
                    11:9a:6a:02:d7:74:f0:71:01:db:d4:c7:5a:35:30:
                    6f:94:6a:37:e0:f3:91:30:85:5c:e5:3b:69:01:0a:
                    5a:b7:93:d9:28:26:2d:35:79:36:a6:e1:7c:6c:04:
                    64:90:4e:6b:ec:29:ff:1a:3c:44:b4:9e:b8:52:26:
                    33:ad:71:e1:8e:bb:2c:40:43:d5:17:49:18:be:d2:
                    ba:d7
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Alternative Name: 
                DNS:sp.example.ru, URI:https://sp.example.ru/shibboleth
            X509v3 Subject Key Identifier: 
                42:48:B5:0F:3F:21:87:E8:97:31:DE:31:9D:DA:34:4C:E2:B0:2E:38
    Signature Algorithm: sha1WithRSAEncryption
        4f:26:2d:30:15:3a:ea:7c:04:ee:86:e0:35:87:dd:5e:7e:06:
        2a:13:a5:88:0b:df:46:a3:88:ba:50:59:ec:8f:09:77:93:d6:
        42:17:6c:6c:f5:3d:6e:67:6d:a7:38:59:80:9c:03:db:51:2d:
        dc:32:2a:85:58:6c:25:a4:2e:30:d0:a6:97:21:e7:94:ba:1e:
        75:83:9f:a7:2a:7a:91:13:45:e4:0a:69:be:e7:9d:79:eb:a2:
        fa:3d:1f:91:30:df:64:c7:68:78:1c:2b:b0:bf:21:4d:d3:66:
        3e:23:3e:3d:a1:23:81:5b:d7:b1:57:50:66:3f:49:a1:58:5d:
        63:ea:53:e8:0e:44:43:2d:99:c6:78:bb:49:87:38:ab:6f:7e:
        c1:12:4d:1f:26:42:20:f0:e3:35:48:f6:75:99:d0:7f:e6:a8:
        64:5a:3e:11:46:9e:3b:7b:4d:f3:79:51:36:61:03:0d:86:7e:
        ac:13:d8:63:c5:37:5e:79:5c:a0:b9:e9:1d:49:e2:da:17:cf:
        63:5e:f5:ba:5c:12:51:f4:db:19:f8:db:30:5c:81:4d:ea:72:
        18:21:14:21:6b:cf:b0:da:9d:52:6a:ad:1f:bd:ff:20:c1:fd:
        89:61:38:68:c4:d9:9f:2f:c7:07:7e:83:ea:24:08:a4:3f:58:
        30:b9:18:ed
-----BEGIN CERTIFICATE-----
MIIDFDCCAfygAwIBAgIJAOVA31cn9tCxMA0GCSqGSIb3DQEBBQUAMBkxFzAVBgNV
BAMTDnNwLmV4YW1wbGUub3JnMB4XDTA4MDMwNzE2MTAxNVoXDTExMDMwODE2MTAx
NVowGTEXMBUGA1UEAxMOc3AuZXhhbXBsZS5vcmcwggEiMA0GCSqGSIb3DQEBAQUA
A4IBDwAwggEKAoIBAQDNhGHf6eeZF14sJduvDBG1MyMxjHWN5UorfLXPDAYZhr5W
D9biVzyfq9FCbP4ndDkBSVdu5rgXKLxyzod1MkDeN+4idr9EZiAVbhJaLDir5YwB
agStiCC65QLsrAGrTKbGn7HoXOfO5o4+l4a62mMgMFMAUp9W/JQ0k4fWmbnWcXHo
UzEeN/XukiD4jgUFnf9/dB/9P93ViAnkSUoEHeHIz7Oiw1c/9pCJktiU2ns9exUw
wRGaagLXdPBxAdvUx1o1MG+Uajfg85EwhVzlO2kBClq3k9koJi01eTam4XxsBGSQ
TmvsKf8aPES0nrhSJjOtceGOuyxAQ9UXSRi+0rrXAgMBAAGjXzBdMDwGA1UdEQQ1
MDOCDnNwLmV4YW1wbGUub3JnhiFodHRwczovL3NwLmV4YW1wbGUub3JnL3NoaWJi
b2xldGgwHQYDVR0OBBYEFEJItQ8/IYfolzHeMZ3aNEzisC44MA0GCSqGSIb3DQEB
BQUAA4IBAQBPJi0wFTrqfATuhuA1h91efgYqE6WIC99Go4i6UFnsjwl3k9ZCF2xs
9T1uZ22nOFmAnAPbUS3cMiqFWGwlpC4w0KaXIeeUuh51g5+nKnqRE0XkCmm+5515
66L6PR+RMN9kx2h4HCuwvyFN02Y+Iz49oSOBW9exV1BmP0mhWF1j6lPoDkRDLZnG
eLtJhzirb37BEk0fJkIg8OM1SPZ1mdB/5qhkWj4RRp47e03zeVE2YQMNhn6sE9hj
xTdeeVyguekdSeLaF89jXvW6XBJR9NsZ+NswXIFN6nIYIRQha8+w2p1Saq0fvf8g
wf2JYThoxNmfL8cHfoPqJAikP1gwuRjt
-----END CERTIFICATE-----