meatwiki 緊急メンテナンスのお知らせ

緊急システムメンテナンスのため、5/24(金) 12:00-14:00 は、本Wikiをご利用いただけません。ご不便をおかけいたしますが、ご理解の程、よろしくお願いいたします。
GakuNinShibInstall

スペース ショートカット

ページ ツリー

比較バージョン

古いバージョン 31

changes.mady.by.user Takeshi Nishimura

保存しました

次と比較

新しいバージョン 現在

changes.mady.by.user Takeshi Nishimura

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。
警告

本ページは2017年に行われたメタデータ署名用証明書の切り替えの際に作成されたものです。内容が古くなっている可能性がありますのでご注意ください。

情報

English version is here.

...

情報

本ページに記載している署名検証用証明書およびそのフィンガープリント、メタデータ公開URLは次のページで公開されているものです。
https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/signer
上記ページURLは学認技術運用基準7.3)にて規定されております。
学認技術運用基準:httphttps://idwww.nii.acgakunin.jp/1149document/00000212/80

注意

学認技術ガイドに従って設定した標準的なSP(バージョン2.6.1)の場合の設定です。異なるバージョン、設定の場合には適宜読み替えてください。

...

コード ブロック
(CentOS 7の場合)
$ sudo systemctl restart shibd
(CentOS 6の場合)
$ sudo service shibd restart

...


新しい署名鍵で署名されたメタデータがダウンロードされているか、保存されたメタデータファイル(/var/cache/shibboleth/federation-metadata.xmlもしくはshibboleth2.xml<MetadataProvider>backingFilePathで指定されたパス)を確認してください。
まず、ファイルの更新日時を確認し、上記再起動コマンド実行より後であることを確認してください。
次に、メタデータファイルの先頭から検索し、最初にマッチする</ds:X509Certificate>の直前の行が以下のようになっていれば成功です。
 コード ブロック
languagebashxml
$ grep -B 1 "/ds:X509Certificate" /var/cache/shibboleth/federation-metadata.xml | head -n 2
nwU/H9ROp1cl
</ds:X509Certificate>
...
 注意
titleConfirmation of certificate fingerprint
Please confirm that the fingerprint of the downloaded certificate matches the following:
SHA256 Fingerprint=5E:D6:A8:C5:E9:30:49:3F:B4:BA:77:54:6A:FB:66:BA:14:7D:CB:50:5B:EF:0F:D9:7C:26:04:C2:D9:36:FD:81
OpenSSL command is as follows:
> openssl x509 -in gakunin-signer-2017.cer -fingerprint -sha256 -noout 

Please check the locations of signing certificate and fingerprint in : https://meatwiki.nii.ac.jp/confluence/x/F4W5 

The signing certificate URL and its fingerprint and federation metadata URL are stipulated in "System Administration Standards for the GakuNin".
System Administration Standards for the GakuNin : httphttps://idwww.nii.acgakunin.jp/1149document/00000219/299


notice:The following description is diff format.
...
  1. Amend the metadata URL for <MetadataProvider> as follows: 
     コード ブロック
    languagexml
      <MetadataProvider type="XML" validate="true"
-     uri="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"
+     uri="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml?generation=2"
      backingFilePath="federation-metadata.xml" reloadInterval="7200">
  (......)
  2. Amend the certifiate for <MetadataFilter> as follows:
     コード ブロック
    languagexml
      <MetadataProvider type="XML" validate="true"
  (......)
      backingFilePath="federation-metadata.xml" reloadInterval="7200">
-     <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2010.cer"/>
+     <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2017.cer"/>
  (......)
  </MetadataProvider>

 

Restart shibd and refresh the configuration.
 コード ブロック
(For CentOS 7)
$ sudo systemctl restart shibd
(For CentOS 6)
$ sudo service shibd restart
...

After a sufficient amount of time, please make sure that the signed metadata with the new signing key is downloaded.
It is success that just before the first match "</ds:X509Certificate>" of the GakuNin metadata backing file (/var/cache/shibboleth/federation-metadata.xml or similar) is as follows:
 コード ブロック
languagebashxml
$ grep -B 1 "/ds:X509Certificate" /var/cache/shibboleth/federation-metadata.xml | head -n 2
nwU/H9ROp1cl
</ds:X509Certificate>
...
 書式設定済み
2017-11-16 14:19:44 WARN OpenSAML.MetadataFilter.Signature : filtering out group at root of instance after failed signature check: CredentialResolver did not supply any candidate keys.
...