サーバ証明書の取得とApacheの設定(★)
1.「UPKI電子証明書発行サービス」の利用管理者編をご覧いただき、サーバ証明書発行を申請します。機関の審査手続きによっては証明書の交付までに数日を要する場合がありますので、お早めに申請してください。
所属機関が対象外等の理由で上記証明書サービスから証明書を入手できない場合、商用のパブリックな証明書でも代用可能な場合があります。詳細は事務局までお問い合わせください。
...
2.入手したサーバ証明書を以下のファイルに設定してください。(★)
■/etc/httpd/conf.d/ssl.conf(★)
| ヒント |
|---|
|
・各証明書と秘密鍵を「/root/GETFILE」配下よりコピーしてください。
# cp /root/GETFILE/server{,-chain}.crt /etc/pki/tls/certs/
# cp /root/GETFILE/server.key /etc/pki/tls/private/ |
...
設定について詳しくは、サーバ証明書インストールマニュアルの Apache 2 + mod_ssl 編を参照してください。
■/etc/shibboleth/shibboleth2.xml(★)
「/etc/shibboleth/cert」配下に、サーバ証明書と秘密鍵をコピーしてください。(★)
...
| 情報 |
|---|
/etc/shibboleth/cert/server.key はユーザshibdによって読み取れる必要があります。Shibboleth SPのデフォルト設定である以下を参考にパーミッションを限定してください。
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
| # chown shibd:shibd /etc/shibboleth/cert/server.key
# chmod 440 /etc/shibboleth/cert/server.key
|
|
...
メタデータの作成と提出(★)
| ヒント |
|---|
|
・メタデータテンプレートは、初期設定で「/root/GETFILE」に取得したsp-metadata.xmlを使用
します。rootのホームディレクトリに「"ドメインなしホスト名".xml」のファイル名でコピーします。
例)1番を割り振られた場合
ホスト名:ex-sp-test01.gakunin.nii.ac.jpとなり、ファイル名:ex-sp-test01.xmlです。
以下のコマンドでファイルをコピーします。
# cp /root/GETFILE/sp-metadata.xml /root/ex-sp-test01.xml
コピー後、SPメタデータテンプレートを参考に必要な項目を変更します。
(証明書部分には、/etc/shibboleth/cert/server.crtの内容を使用します。) |
...