...
→ SSLv3のみをサポートしたWebサーバ(TLSv1.0, TLSv1.1, TLSv1.2等をサポートしていない)からメタデータを取得するときに出力されるエラーメッセージです。
→ relying-party.xmlのメタデータ取得の設定で、MetadataProviderのオプション disregardSslCertificate="true"
を設定した場合には下記の通りエラーログが変化します。 disregardSslCertificate を設定した場合、もしくはIdP 2.3.xの場合には下記の通りエラーログが変化します。 disregardSslCertificate の詳細は https://wiki.shibboleth.net/confluence/display/SHIB2/IdPMetadataProvider#IdPMetadataProvider-FileBackedHTTPMetadataProvider をご参照ください。
...
→ IdP 2.4.3においてはMetadataProviderのオプション disregardSslCertificate
の設定の有無に関係なく、JDKのオプション -Dcom.sun.net.ssl.rsaPreMasterSecretFix=true
を設定することで、SSLv3のみをサポートしたWebサーバからメタデータの取得ができることを確認しています。SSLv3のみをサポートしたWebサーバは を設定することで、SSLv3のみをサポートしたWebサーバからメタデータの取得ができることを確認しています。
※SSLv3のみサポートしたWebサーバとして CentOS 6 (httpd-2.2.15-39.el6.centos.x86_64) で確認していますが、Webサーバの実装によってはJDKのオプションを設定しなくともメタデータ取得ができることが考えられます。で確認していますが、他のWebサーバ実装ではJDKのオプションを設定せずにメタデータが取得できるかもしれません。この場合上記オプションを設定することで逆にエラーになる可能性がありますのでご注意ください。
→ IdP 3.0.0-beta1ではSSLv3のみをサポートしたWebサーバへのアクセスはできないことを確認しています。beta1ではSSLv3のみをサポートしたWebサーバへは上記設定に関わらずアクセスできないことを確認しています。Webサーバ側でTLSのサポートをご検討ください。
IdPで認証前にブラウザにエラー(SAML 2 SSO profile is not configured for relying party)
...