メタデータ記載の証明書更新手順(SP)
※ IdPのメタデータ記載証明書更新の手順については次のページをご参照ください。
⇒メタデータ記載の証明書更新手順(IdP)
...
1日目 更新用証明書発行
鍵およびCSR生成、申請、証明書受領
(詳細は各機関の登録担当者に確認のこと)
<証明書取得>
1日目 Apacheに対して証明書の更新(※1)
1日目 SPに対して設定変更1(新証明書を暗号化用として追加)(※2)
1日目 学認申請システムにて証明書を追加(予備の欄に)
<承認待ち>
X日目 承認、学認メタデータに反映
(ほとんどの場合数日のうちに承認されますが、そうでない場合
を考慮してX日目としています)
<メタデータに追加>
<メタデータ伝播待ち>
X+15日目 SPに対して設定変更2(新証明書をメインにし旧証明書を暗号化用に変更)(※3)
X+15日目 問題がなければ、学認申請システムから古い証明書を削除
(ついでに、新しい証明書を予備の欄から移動)
<承認待ち>
Y日目 承認、学認メタデータに反映
(同上)
<メタデータから旧証明書を削除>
<メタデータ伝播待ち>
Y+15日目 SPに対して設定変更3(旧証明書削除)(※4)
情報 | ||
---|---|---|
| ||
人手によるチェックを挟むため、変更申請から承認までには数日を要します。1回目の変更申請の承認日をX日目、2回目の変更申請の承認日をY日目と表現しています。X≧1, Y≧X+15 です。 要する日数は、繁忙期か閑散期かにもよりますが、2営業日〜1週間を目安にしていただければと思います。 |
アンカー | ||||
---|---|---|---|---|
|
...
書式設定済み |
---|
$ sudo systemctl restart shibd $ sudo systemctl reload httpd |
※IdPとSPで更新手順が異なる理由について※ IdPとSPで更新手順が異なる理由について
SPの証明書は暗号化にも使用されるため、上記のように複雑な手順になります。
※メタデータ伝播待ちの期間について※ メタデータ伝播待ちの期間について
メタデータ伝播待ちの期間は学認技術運用基準メタデータ伝播待ちの期間は学認技術運用基準(メタデータの有効期限(validUntil)で規定される最大マージンを取ったものです。各IdPでは1日1回は更新することが推奨されておりますので、伝播待ち期間を1日2日短縮しても通常は問題になることはありません。)で規定される最大マージンを取ったものです。各IdPでは1日1回は更新することが推奨されておりますので、伝播待ち期間を1日2日短縮しても通常は問題になることはありません。