IdP433: 替换IdP的https证书(第7/11步)
IdP强制要求在通信过程中使用https加密,因此需要为IdP配置https证书。 IdPv431安装脚本在部署IdP时为Nginx配置了自签证书,建议此证书仅在IdP测试阶段使用,上线时更换为学校采购的商业证书。可以通过"EduPKI数字证书服务平台(https://edupki.51ssl.com/)",每个联盟学校可免费领取一张一年期CARSI IdP域名SSL OV证书,可无限次免费续期(学校可以使用自签证书上线,然后通过carsi登录申请此免费idp证书);也可以使用let‘s encrypt证书或从当地赛尔采购证书等。crt+key或者pem格式均可。
此证书在用户浏览器访问IdP时使用,不替换证书会导致用户访问IdP时提示证书不受信,在对接CAS、Oauth2等认证的时候,有可能会因为CAS或者Oauth2服务器不信任IdP证书而跳转失败。
证书替换方式:将证书拷贝至/etc/nginx/certs/目录下。
[carsi@www ~]$ sudo vi /etc/nginx/nginx.conf #修改以下两行,将双引号内部分替换成IdP实际使用的证书名称和key ssl_certificate "/etc/nginx/certs/server.crt"; ssl_certificate_key "/etc/nginx/certs/server.key"; #nginx重新加载配置 [carsi@www ~]$ sudo nginx -s reload
证书配置完成后,可以用https://myssl.com/检测一下网站证书状态,查看证书链是否完整。不完整证书链有可能导致通信过程中报“证书不受信”错误,造成访问异常。
Related pages
版权所有©北京大学计算中心