メタデータ記載の証明書更新手順（IdP）

※ SPのメタデータ記載証明書更新の手順については次のページをご参照ください。
⇒メタデータ記載の証明書更新手順（SP）

目次：

IdPの証明書更新手順:

サーバ証明書の有効期限が切れる場合の新しい証明書への切り替え手順をご紹介します。ポイントは、メタデータ上の記載変更とIdP/SPの設定変更の間にタイムラグを置いて、メタデータ伝播中にもIdP/SPが利用できない期間が発生しないようにしているところです。以下の記述は学認ウェブサイトの技術ガイドに従って構築した場合の記述です。そうでない場合は適宜読み替えてください。

1日目　更新用証明書発行
鍵およびCSR生成、申請、証明書受領
（詳細は各機関の登録担当者に確認のこと）
＜証明書取得＞
1日目　Apacheに対して証明書の更新（※1）
1日目　学認申請システムにて証明書を追加（予備の欄に）
＜承認待ち＞
X日目　承認、学認メタデータに反映
＜公開されているメタデータに新証明書が追加される＞
＜メタデータ伝播待ち＞
X+15日目　attrviewer13でSAML1のテスト（運用フェデレーションに参加している場合）（※4）
X+15日目　IdPに対して証明書の更新（※2）
X+15日目　再びattrviewer13でSAML1のテスト（運用フェデレーションに参加している場合）（※4）
X+15日目　問題がなければ，学認申請システムから古い証明書を削除
（ついでに、新しい証明書を予備の欄から移動）
＜承認待ち＞
Y日目　 承認、学認メタデータに反映
＜公開されているメタデータから旧証明書が削除される＞
＜attrviewer13へのメタデータ伝播待ち＞
Y+1日目　最後にattrviewer13でSAML1のテスト（運用フェデレーションに参加している場合）（※4）

※1「Apacheに対して証明書の更新」の手順

1. /etc/pki/tls/private/server.key
    /etc/pki/tls/certs/server.crt
    を新証明書のもので上書きする
    参考:サーバ証明書の設定(IdPv4)
2. httpdを再起動する

※2「IdPに対して証明書の更新」の手順

1. /opt/shibboleth-idp/credentials/server.key
    /opt/shibboleth-idp/credentials/server.crt
    を新証明書のもので上書きする
    参考: idp.properties ファイルの変更
    ※Jettyプロセスからserver.keyが読み取れるよう、パーミッションにはご注意ください
2. /opt/shibboleth-idp/credentials/server.p12
    を更新する（※3）
    ※同様にserver.p12のパーミッションにはご注意ください
3. Jettyを再起動する

※3 「server.p12を更新」の手順

サーバ証明書の設定(IdPv4)
の「Back-Channelの設定」の「１．キーストアの設定」にある手順のうち、最後の2つを実行して、
サーバ証明書の部分を更新します。具体的には以下のような手順になります。

エラーが表示されなければserver.p12は更新されました。

※4 attrviewer13でSAML1のテストについて

運用フェデレーションに参加している場合は、attrviewer13でSAML1のテストを行なうことを推奨します。（テストの際には事前にattrviewer13に属性送信する設定にしておいてください）
計3回テストを挿入していますが、前2回は更新前に正常な動作をしているかを確認するためのもので、万一更新作業に失敗していてもテストは成功する可能性があります。
通常のSPには属性送信できているが最後のテストでattrviewer13には属性送信できなくなった場合、上記※3「server.p12を更新」の手順を再度ご確認ください。

※ メタデータ伝播待ちの期間について

メタデータ伝播待ちの期間は学認技術運用基準（メタデータの有効期限(validUntil)）で規定される最大マージンを取ったものです。各SPでは1日1回は更新することが推奨されておりますので、伝播待ち期間を1日2日短縮しても通常は問題になることはありません。