...
| コード ブロック |
|---|
$ /opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.MetadataResolverResourcesMetadataResolverService |
一定時間の経過後、新しい署名鍵で署名されたメタデータがダウンロードされているか、保存されたメタデータファイル(/opt/shibboleth-idp/metadata/gakunin-metadata-backing.xml もしくはmetadata-providers.xmlのbackingFileで指定されたパス)を確認してください。
メタデータファイルの先頭から検索し、最初にマッチする</ds:X509Certificate>の直前の行が以下のようになっていれば成功です。
| コード ブロック | ||
|---|---|---|
| ||
nwU/H9ROp1cl </ds:X509Certificate> |
以下のようになっている場合は古い署名鍵で署名されたものですので、ログファイル(以下のようになっている場合は古い署名鍵で署名されたものですので、ログ(/opt/shibboleth-idp/logs/idp-process.log)でメタデータのダウンロードが行われているか、ダウンロードURLが ?generation=2 付きになっているか確認してください。 付きになっているかを確認してください。
| コード ブロック | ||
|---|---|---|
| ||
7NVe3mIUWLcYEtdbC8Ip5OA2TXvA </ds:X509Certificate> |
また、ログ(/opt/shibboleth-idp/logs/idp-process.log)に以下のように記録されている場合は署名検証に失敗しておりますので、metadata-providers.xmlの証明書ファイルの指定が -2017 のほうになっているか、および上述の証明書のフィンガープリントを今一度確認してください。
| 書式設定済み |
|---|
2017-11-16 13:44:23,237 - WARN [org.apache.xml.security.signature.XMLSignature:760] - Signature verification failed.
2017-11-16 13:44:23,237 - ERROR [org.opensaml.saml.metadata.resolver.filter.impl.SignatureValidationFilter:420] - Signature trust establishment failed for metadata entry GakuNin
2017-11-16 13:44:23,240 - WARN [org.opensaml.saml.metadata.resolver.filter.impl.SignatureValidationFilter:251] - Saw fatal error validating metadata signature(s), metadata will be filtered out
org.opensaml.saml.metadata.resolver.filter.FilterException: Signature trust establishment failed for metadata entry
at org.opensaml.saml.metadata.resolver.filter.impl.SignatureValidationFilter.verifySignature(SignatureValidationFilter.java:421) |