...
※1「Apacheに対して証明書の更新」の手順
1. /etc/pki/tls/private/server.key
/etc/pki/tls/certs/server.crt
を新証明書のもので上書きする
参考: https://www.gakunin.jp/docs/fed/technical/sp/customize/certpj-metadataサーバ証明書の設定(SP)
2. httpdを再読み込み(reload)する
※2 SP設定変更1
1. /etc/shibboleth/cert/new.key
/etc/shibboleth/cert/new.crt
に新証明書および鍵を配置する(この段階では旧証明書を上書きしないこと!)
new.keyのパーミッションについては、shibdからアクセスできるように注意すること(CentOSではowner:groupがshibd:shibdでr--r-----)。
2. 以下、全て/etc/shibboleth/shibboleth2.xmlに対する変更である。
--
<CredentialResolver type="File" key="cert/server.key" certificate="cert/server.crt"/>
--
↓
--
<CredentialResolver type="Chaining">
<CredentialResolver type="File" key="cert/server.key" certificate="cert/server.crt"/>
<CredentialResolver type="File" key="cert/new.key" certificate="cert/new.crt" use="encryption"/>
</CredentialResolver>
--
3. 変更後shibdを再起動する
...