...
ローカルに配置したSPメタデータの証明書更新時のエラー
SPからの指示に従って「httpsフェデレーションに参加していないローカルのSPなどにおいて、SP管理者からの指示に従って「https://sp.example.ac.jp/Shibboleth.sso/Metadata」といったURLから取得したメタデータをIdPのローカルに配置して運用している場合、SP側の証明書更新時に取得したメタデータをそのまま利用するとエラーが発生する場合があります。(「Metadata」といったURLから取得したメタデータをIdPのローカルに配置して運用している場合、SP側の証明書更新時にエラーが発生する場合があります。(「.../Shibboleth.sso/Metadata」からダウンロードできるファイルはShibboleth SPが自動生成するメタデータです)
...
メタデータ記載の証明書更新手順(SP) の「1日目 SPに対して設定変更1(新証明書を暗号化用として追加)」をSPで実施すると、「.../Shibboleth.sso/Metadata」からダウンロードできるSPメタデータに新しい証明書が追加されます。新しいメタデータはShibboleth SPの設定に従ってKeyDescriptorに
use="encryption"
という暗号化用途のみで利用するための設定が追加されます。SPが自動生成するメタデータ IdPのローカルに配置したメタデータ 旧証明書 : use指定なし
新証明書 : use="encryption"旧証明書 : use指定なし SP管理者からの通知に従い、IdP管理者はSPが自動生成するファイルを取得してIdPのローカルにあるメタデータを更新します。
学認に参加しているSPでは メタデータ記載の証明書更新手順(SP) の「1日目 学認申請システムにて証明書を追加(予備の欄に)」と「X日目 承認、学認メタデータに反映」に該当する部分です。IdP管理者はSPが自動生成するファイルを取得して、IdPのローカルにあるメタデータを更新します。
SPが自動生成するメタデータ IdPのローカルに配置したメタデータ 旧証明書 : use指定なし
新証明書 : use="encryption"旧証明書 : use指定なし
新証明書 : use="encryption"メタデータ記載の証明書更新手順(SP) の「X+15日目 SPに対して設定変更2(新証明書をメインにし旧証明書を暗号化用に変更)」をSPで実施します。このとき、SP, IdPで利用できる証明書の用途に不一致が発生してしまい、署名用途(use="signing")で利用できる証明書がなくなってしまいます。このため、IdPでローカルに配置したメタデータが更新されるまでの間、エラーとなることが考えられます。
SPが自動生成するメタデータ IdPのローカルに配置したメタデータ 旧証明書 : use="encryption"
新証明書 : use指定なし旧証明書 : use指定なし
新証明書 : use="encryption"
...