メタデータ記載の証明書更新手順(IdP)
IdPの証明書更新手順:
サーバ証明書の有効期限が切れる場合の新しい証明書への切り替え手順をご紹介します。ポイントは、メタデータ上の記載変更とIdP/SPの設定変更の間にタイムラグを置いて、メタデータ伝播中にもIdP/SPが利用できない期間が発生しないようにしているところです。以下の記述は学認ウェブサイトの技術ガイドに従って構築した場合の記述です。そうでない場合は適宜読み替えてください。
警告 |
---|
この手順を始める際にすでに学認申請システム上で予備の証明書が登録されている場合は、必ず現在IdPがどちらの証明書を使う設定になっているか確認してください。idp.propertiesに記載されているファイル(通常 確認できましたら下記「学認申請システムにて証明書を追加(予備の欄に)」の手順では、入力する場所によらず、またどちらの証明書が新しいか/古いかによらず、IdPで使う設定になっている証明書を残し、使う設定になっていない証明書の欄のほうを上書きして新しい証明書を登録するようにしてください。 |
警告 |
---|
証明書については、多くの場合そして多くの時間Webサーバ(Apache)およびShibboleth IdPの双方で同じものを使用することになります。ただし本手順のようにごく短期間別のものを使用する必要がありますのでそれぞれ必要な場所に証明書ファイルと秘密鍵をコピーしてください。 万が一同じ証明書・鍵ファイルをApacheおよびShibboleth IdPで参照している場合はコピーしてから本手順を始めてください。そうでなければApacheの証明書更新のつもりがShibboleth IdPの証明書も更新することになり、認証連携エラーを引き起こす原因となります。 それぞれの設定ファイルおよび本手順で想定しているパスを示します:
|
...