...
- /etc/shibboleth/cert/new.key
/etc/shibboleth/cert/new.crt
に新証明書および鍵を配置する(この段階では旧証明書を上書きしないこと!)
new.keyのパーミッションについては、shibdからアクセスできるように注意すること(CentOSではowner:groupがshibd:shibdでパーミッションがr--r-----)。 - 以下、全て/etc/shibboleth/shibboleth2.xmlに対する変更である。
--
<CredentialResolver type="File" key="cert/server.key" certificate="cert/server.crt"/>
--
↓
--
<CredentialResolver type="Chaining">
<CredentialResolver type="File" key="cert/server.key" certificate="cert/server.crt"/>
<CredentialResolver type="File" key="cert/new.key" certificate="cert/new.crt" use="encryption"/>
</CredentialResolver>
-- 変更後shibdを再起動しhttpdを再読み込みする
変更後shibdを再起動する書式設定済み $ sudo /sbin/service shibd restart $ sudo /sbin/service httpd reload
※3 SP設定変更2
(同じ部分の変更につき変更後のみ記載)
--
<CredentialResolver type="Chaining">
<CredentialResolver type="File" key="cert/server.key" certificate="cert/server.crt" use="encryption"/>
<CredentialResolver type="File" key="cert/new.key" certificate="cert/new.crt"/>
</CredentialResolver>
--
変更後shibdの再起動を行うこと
変更後shibdの再起動とhttpdの再読み込みを行うこと
| 書式設定済み |
|---|
$ sudo /sbin/service shibd restart
$ sudo /sbin/service httpd reload |
※4 SP設定変更3
(同じ部分の変更につき変更後のみ記載)
--
<CredentialResolver type="File" key="cert/server.key" certificate="cert/server.crt"/>
--
このように戻した上で、
/etc/shibboleth/cert/server.key
/etc/shibboleth/cert/server.crt
を新証明書および鍵で上書きする
最後にshibdの再起動を行うこと
最後にshibdの再起動とhttpdの再読み込みを行うこと
| 書式設定済み |
|---|
$ sudo /sbin/service shibd restart
$ sudo /sbin/service httpd reload |
※IdPとSPで更新手順が異なる理由について
SPの証明書は暗号化にも使用されるため、上記のように複雑な手順になります。
...