...
新しい検証用証明書を以下のURLからダウンロードして「/opt/shibboleth-idp/credentials/gakunin-signer-2017.cer」に置きます。https://metadata.gakunin.nii.ac.jp/gakunin-signer-2017.cer
| 注意 | ||
|---|---|---|
| ||
ダウンロードした署名検証用証明書のfingerprintを確認し、以下と一致するか確認してください。ダウンロードした署名検証用証明書のfingerprintを表示し、以下と一致するか確認してください。 SHA256 Fingerprint=5E:D6:A8:C5:E9:30:49:3F:B4:BA:77:54:6A:FB:66:BA:14:7D:CB:50:5B:EF:0F:D9:7C:26:04:C2:D9:36:FD:81 OpenSSLコマンドでは以下のように確認します。 > openssl x509 -in gakunin-signer-2017.cer -fingerprint -sha256 -noout |
/opt/shibboleth-idp/conf/metadata-providers.xml を以下のように編集します。
...
| コード ブロック |
|---|
$ /opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.MetadataResolverResources |
一定時間の経過後、新しい署名鍵で署名されたメタデータがダウンロードされているか、保存されたメタデータファイルを確認してください。
メタデータファイルの先頭から検索し、最初にマッチする<一定時間の経過後、新しい署名鍵で署名されたメタデータがダウンロードされているか、保存されたメタデータファイル(/opt/shibboleth-idp/metadata/gakunin-metadata-backing.xml もしくはmetadata-providers.xmlのbackingFileで指定されたパス)を確認してください。
メタデータファイルの先頭から検索し、最初にマッチする</ds:X509Certificate>の直前の行が以下のようになっていれば成功です。X509Certificate>の直前の行が以下のようになっていれば成功です。
| コード ブロック | ||
|---|---|---|
| ||
nwU/H9ROp1cl
</ds:X509Certificate> |
以下のようになっている場合は古い署名鍵で署名されたものですので、ログファイル(/opt/shibboleth-idp/logs/idp-process.log)でメタデータのダウンロードが行われているか、ダウンロードURLが ?generation=2 付きになっているか確認してください。
| コード ブロック |
|---|
7NVe3mIUWLcYEtdbC8Ip5OA2TXvA
</ds:X509Certificate> |