...
SPのメタデータ記載証明書更新の手順については次のページをご参照ください。
⇒メタデータ記載の証明書更新手順(SP)
目次:
| 目次 | ||
|---|---|---|
|
IdPの証明書更新手順:
サーバ証明書の有効期限が切れる場合の新しい証明書への切り替え手順をご紹介します。ポイントは、メタデータ上の記載変更とIdP/SPの設定変更の間にタイムラグを置いて、メタデータ伝播中にもIdP/SPが利用できない期間が発生しないようにしているところです。以下の記述は学認ウェブサイトの技術ガイドに従って構築した場合の記述です。そうでない場合は適宜読み替えてください。
...
1日目 更新用証明書発行
鍵およびCSR生成、申請、証明書受領
(詳細は各機関の登録担当者に確認のこと)
<証明書取得>
1日目 Apacheに対して証明書の更新(※1)
1日目 学認申請システムにて証明書を追加(予備の欄に)
<承認待ち>
X日目 承認、学認メタデータに反映
<公開されているメタデータに新証明書が追加される>
<メタデータ伝播待ち>
X+15日目 attrviewer13でSAML1のテスト(運用フェデレーションに参加している場合)(※4)
X+15日目 IdPに対して証明書の更新(※2)
X+15日目 再びattrviewer13でSAML1のテスト(運用フェデレーションに参加している場合)(※4)
X+15日目 問題がなければ,学認申請システムから古い証明書を削除
(ついでに、新しい証明書を予備の欄から移動)
<承認待ち>
Y日目 承認、学認メタデータに反映
<公開されているメタデータから旧証明書が削除される>
<attrviewer13へのメタデータ伝播待ち>
Y+1日目 最後にattrviewer13でSAML1のテスト(運用フェデレーションに参加している場合)(※4)
| 情報 | ||
|---|---|---|
| ||
人手によるチェックを挟むため、変更申請から承認までには数日を要します。1回目の変更申請の承認日をX日目、2回目の変更申請の承認日をY日目と表現しています。人手によるチェックを挟むため、変更申請から承認までには数日を要します。1回目の変更申請の承認日をX日目、2回目の変更申請の承認日をY日目と表現しています。X≧1, Y≧X+15 です。 要する日数は、繁忙期か閑散期かにもよりますが、2営業日〜1週間を目安にしていただければと思います。 |
...
| アンカー | ||||
|---|---|---|---|---|
|
サーバ証明書の設定(IdPv4)
の「Back-Channelの設定」の「1.キーストアの設定」にある手順のうち、最後の2つを実行して、
サーバ証明書の部分を更新します。具体的には以下のような手順になります。
...
運用フェデレーションに参加している場合は、attrviewer13でSAML1のテストを行なうことを推奨します。(テストの際には事前にattrviewer13に属性送信する設定にしておいてください)
計3回テストを挿入していますが、前2回は更新前に正常な動作をしているかを確認するためのもので、万一更新作業に失敗していてもテストは成功する可能性があります。
通常のSPには属性送信できているが最後のテストでattrviewer13には属性送信できなくなった場合、上記※3「server.p12を更新」の手順を再度ご確認ください。
※ メタデータ伝播待ちの期間について
メタデータ伝播待ちの期間は学認技術運用基準(メタデータの有効期限(validUntil))で規定される最大マージンを取ったものです。各SPでは1日1回は更新することが推奨されておりますので、伝播待ち期間を1日2日短縮しても通常は問題になることはありません。