サーバ証明書の取得とApacheの設定(★)
1.「UPKIオープンドメイン証明書自動発行検証プロジェクト」の利用の手引における加入者編をご覧いただき、サーバ証明書を申請します。機関の審査手続きによっては証明書の交付までに数日を要する場合がありますので、お早めに申請してください。
接続実験をするだけであれば、SPインストール時に作成された証明書をそのまま利用してテストフェデレーションに参加することも可能です。
ヒント |
---|
|
(★)
・証明書は、初期設定で「/root/GETFILE」に取得したファイルを使用します。
サーバ証明書:server.crt
秘密鍵:server.key
中間CA証明書:server-chain.crt
上記ファイルにて、以降の設定(ssl.conf、shibboleth2.xml)を行ってください。 |
2.入手したサーバ証明書を以下のファイルに設定してください。(★)
■/etc/httpd/conf.d/ssl.conf(★)
ヒント |
---|
|
(★)
・各証明書と秘密鍵を「/root/GETFILE」配下よりコピーしてください。
# cp /root/GETFILE/server*.crt /etc/pki/tls/certs/
# cp /root/GETFILE/server.key /etc/pki/tls/private/ |
/etc/httpd/conf.d/ssl.conf を以下のように編集してください。(★)
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
(省略)
SSLCertificateFile /etc/pki/tls/certs/server.crt ←サーバ証明書の格納先
(省略)
SSLCertificateKeyFile /etc/pki/tls/private/server.key ←秘密鍵の格納先
(省略)
SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt ←中間CA証明書の格納先
↑先頭の「#」を削除して、コメントを解除してください。 |
ssl.conf設定後、httpdを再起動します。(★)
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
# service httpd restart |
設定について詳しくは、サーバ証明書インストールマニュアルの Apache 2 + mod_ssl 編を参照してください。
■/etc/shibboleth/shibboleth2.xml(★)
「/etc/shibboleth/cert」配下に、サーバ証明書と秘密鍵をコピーしてください。(★)
ヒント |
---|
|
(★) ・サーバ証明書と秘密鍵を「/root/GETFILE」配下よりコピーしてください。
# cp /root/GETFILE/server.key /etc/shibboleth/cert/
# cp /root/GETFILE/server.crt /etc/shibboleth/cert/ 以下の設定では、コピーしたserver.keyとserver.crtを参照するように編集します。
(cert/server.key、cert/server.crt) |
/etc/shibboleth/shibboleth2.xml を以下のように編集してください。(★)
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
(省略)
<!-- Simple file-based resolver for using a single keypair. -->
<CredentialResolver type="File" key="cert/server.key" certificate="cert/server.crt"/>
↑秘密鍵の格納先 ↑サーバ証明書の格納先 |
メタデータの作成と提出(★)
ヒント |
---|
|
(★)
・メタデータテンプレートは、初期設定で「/root/GETFILE」に取得したsp-metadata.xmlを使用
します。rootのホームディレクトリに「"ドメインなしホスト名".xml」のファイル名でコピーします。
例)1番を割り振られた場合
ホスト名:ex-sp-test01.ecloud.nii.ac.jpとなり、ファイル名:ex-sp-test01.xmlです。
以下のコマンドでファイルをコピーします。
# cp /root/GETFILE/sp-metadata.xml /root/ex-sp-test01.xml
コピー後、SPメタデータテンプレートを参考に必要な項目を変更します。
(証明書部分には、/etc/shibboleth/cert/server.crtの内容を使用します。) |
展開 |
---|
|
学認申請システム(テストFed)から登録を行います。入力したデータから自動的にメタデータが生成されますのでメタデータ作成の必要はありません。詳細は参加のページをご覧ください。 ⇒参加 |
展開 |
---|
|
学認申請システムから登録を行います。入力したデータから自動的にメタデータが生成されますのでメタデータ作成の必要はありません。詳細は参加のページをご覧ください。 ⇒参加 |
ヒント |
---|
|
(★) ・作成したメタデータは学認申請システムではなく、実習セミナー内のDSサーバに転送します。
以下は、転送コマンドの例です。
例)ホスト名:ex-sp-test01.ecloud.nii.ac.jpの場合
# scp /root/ex-sp-test01.xml test@ex-ds.ecloud.nii.ac.jp:METADATA
転送したメタデータは、1分周期で他のメタデータとマージ処理を行い、実習セミナー内の
フェデレーションメタデータが更新されます。
※1分周期で行う為、最大約1分登録までに時間がかかります。 |