GakuNinShibInstall

スペース ショートカット

ページ ツリー

比較バージョン

古いバージョン 24

changes.mady.by.user Takeshi Nishimura

保存しました

次と比較

新しいバージョン 25

changes.mady.by.user Takeshi Nishimura

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

新しい署名鍵で署名されたフェデレーションメタデータおよび新しい検証用証明書の公開後、本手順に従い設定変更を実施してください。

情報

本ページに記載している署名検証用証明書およびそのフィンガープリント、メタデータ公開URLは次のページで公開されているものです。
https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/signer
上記ページURLは学認技術運用基準7.3)にて規定されております。
学認技術運用基準:http://id.nii.ac.jp/1149/00000212/

注意

学認技術ガイドに従って設定した標準的なSP(バージョン2.6.0)の場合の設定です。異なるバージョン、設定の場合には適宜読み替えてください。

...

注意
title証明書のfingerprint確認

ダウンロードした署名検証用証明書のfingerprintを確認し、以下と一致するか確認してください。

SHA256 Fingerprint=5E:D6:A8:C5:E9:30:49:3F:B4:BA:77:54:6A:FB:66:BA:14:7D:CB:50:5B:EF:0F:D9:7C:26:04:C2:D9:36:FD:81

OpenSSLコマンドでは以下のように確認します。
> openssl x509 -in gakunin-signer-2017.cer -fingerprint -sha256 -noout

署名検証用証明書およびFingerprintの正式公開場所https://meatwiki.nii.ac.jp/confluence/x/F4W5

メタデータの公開場所は学認技術運用基準で指定されています。

メタデータ公開URLhttps://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml学認技術運用基準:http:

/

...

/etc/shibboleth/shibboleth2.xml を次のように編集します。

  1. <MetadataProvider>uriを以下の通り修正します。に指定するメタデータダウンロードURLを以下の通り、末尾に ?generation=2 を付加します。

    コード ブロック
    languagediff
    title差分(unified diff形式)xml
      <MetadataProvider type="XML" validate="true"
-     uri="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"
+     uri="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml?generation=2"
      backingFilePath="federation-metadata.xml" reloadInterval="7200">
  (......)

  2. <MetadataFilter>certifiateを以下の通り修正します。に指定する署名検証用証明書のファイル名を以下の通り、2010 の部分を 2017 に修正します。

    コード ブロック
    languagediff
    title差分(unified diff形式)xml
      <MetadataProvider type="XML" validate="true"
  (......)
      backingFilePath="federation-metadata.xml" reloadInterval="7200">
-     <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2010.cer"/>
+     <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2017.cer"/>
  (......)
  </MetadataProvider>

...

shibdを再起動し、設定を再読み込みします。
 コード ブロック
(CentOS 7の場合)
$ sudo systemctl restart shibd
(CentOS 6の場合)
$ sudo service shibd restart
 
一定時間の経過後、新しい署名鍵で署名されたメタデータがダウンロードされているか、保存されたメタデータファイル(新しい署名鍵で署名されたメタデータがダウンロードされているか、保存されたメタデータファイル(/var/cache/shibboleth/federation-metadata.xmlもしくはshibboleth2.xml<MetadataProvider>backingFilePathで指定されたパス)を確認してください。
メタデータファイルの先頭から検索し、最初にマッチするまず、ファイルの更新日時を確認し、上記再起動コマンド実行より後であることを確認してください。
次に、メタデータファイルの先頭から検索し、最初にマッチする</ds:X509Certificate>の直前の行が以下のようになっていれば成功です。
...
 アンカー
EnglishVersion
EnglishVersion
Procedure for Changing the Shibboleth SP Configuration to 
...
Use New GakuNin Signing Certificate
 警告
This manual is a work-in-progress. Please note that it may be changed in the final version. The URL mentioned in here is not prepared yet.
...