...
<MetadataProvider>のmetadataURLに指定するメタデータダウンロードURLを以下の通り、末尾に?generation=2を付加します。コード ブロック language diff title 差分(unified diff形式) <MetadataProvider id="HTTPMetadata" (...略...) - metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"> + metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml?generation=2"> (...略...)
<MetadataFilter>のcertificateFileに指定する署名検証用証明書のファイル名を以下の通り、2010の部分を2017に修正します。コード ブロック language diff title 差分(unified diff形式) <MetadataProvider id="HTTPMetadata" (...略...) metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml?generation=2"> - <MetadataFilter xsi:type="SignatureValidation" certificateFile="%{idp.home}/credentials/gakunin-signer-2010.cer" /> + <MetadataFilter xsi:type="SignatureValidation" certificateFile="%{idp.home}/credentials/gakunin-signer-2017.cer" /> (...略...) </MetadataProvider>
変更後、悪影響があることが判明していますのでバッキングファイルを削除してから、悪影響があることが判明していますので保存されたメタデータファイル(backingFile)を削除してから、以下のコマンドで設定を再読み込みします。
| コード ブロック |
|---|
$ sudo rm /opt/shibboleth-idp/metadata/gakunin-metadata-backing.xml $ /opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.MetadataResolverService |
...
新しい署名鍵で署名されたメタデータがダウンロードされているか、保存されたメタデータファイル(/opt/shibboleth-idp/metadata/gakunin-metadata-backing.xml もしくはmetadata-providers.xmlのbackingFileで指定されたパス)を確認してください。
まず、ファイルの更新日時を確認し、上記再読み込みコマンド実行より後であることを確認してください。
次に、メタデータファイルの先頭から検索し、最初にマッチする</ds:X509Certificate>の直前の行が以下のようになっていれば成功です。
| コード ブロック | ||
|---|---|---|
| ||
$ grep -B 1 "</ds:X509Certificate>" /opt/shibboleth-idp/metadata/gakunin-metadata-backing.xml | head -n 2
nwU/H9ROp1cl
</ds:X509Certificate> |
以下のようになっている場合は古い署名鍵で署名されたものですので、ログ(/opt/shibboleth-idp/logs/idp-process.log)でメタデータのダウンロードが行われているか、ダウンロードURLが ?generation=2 付きになっているかを確認してください。
| コード ブロック | language | xml
|---|
7NVe3mIUWLcYEtdbC8Ip5OA2TXvA </ds:X509Certificate> |
...