...
| 注意 | ||
|---|---|---|
| ||
ダウンロードした署名検証用証明書のfingerprintを確認し、以下と一致するか確認してください。 SHA256 Fingerprint=5E:D6:A8:C5:E9:30:49:3F:B4:BA:77:54:6A:FB:66:BA:14:7D:CB:50:5B:EF:0F:D9:7C:26:04:C2:D9:36:FD:81 OpenSSLコマンドでは以下のように確認します。 > openssl x509 -in gakunin-signer-2017.cer -fingerprint -sha256 -noout |
/etc/shibboleth/shibboleth2.xml を次のように編集します。
...
| コード ブロック |
|---|
(CentOS 7の場合) $ sudo systemctl restart shibd (CentOS 6の場合) $ sudo service shibd restart |
一定時間の経過後、新しい署名鍵で署名されたメタデータがダウンロードされているか、保存されたメタデータファイルを確認してください。
メタデータファイルの先頭から検索し、最初にマッチする<一定時間の経過後、新しい署名鍵で署名されたメタデータがダウンロードされているか、保存されたメタデータファイル(/var/cache/shibboleth/federation-metadata.xmlもしくはshibboleth2.xmlの<MetadataProvider>のbackingFilePathで指定されたパス)を確認してください。
メタデータファイルの先頭から検索し、最初にマッチする</ds:X509Certificate>の直前の行が以下のようになっていれば成功です。X509Certificate>の直前の行が以下のようになっていれば成功です。
| コード ブロック | ||
|---|---|---|
| ||
nwU/H9ROp1cl
</ds:X509Certificate> |
以下のようになっている場合は古い署名鍵で署名されたものですので、ログ(/var/log/shibboleth/shibd.log)でメタデータのダウンロードが行われているか、ダウンロードURLが ?generation=2 付きになっているかを確認してください。
| コード ブロック | ||
|---|---|---|
| ||
7NVe3mIUWLcYEtdbC8Ip5OA2TXvA
</ds:X509Certificate> |
また、エラーログ(/var/log/shibboleth/shibd_warn.log)に以下のように記録されている場合は署名検証に失敗しておりますので、shibboleth2.xmlの証明書ファイルの指定が -2017 のほうになっているか、および上述の証明書のフィンガープリントを今一度確認してください。
| 書式設定済み |
|---|
2017-11-16 14:19:44 WARN OpenSAML.MetadataFilter.Signature : filtering out group at root of instance after failed signature check: CredentialResolver did not supply any candidate keys. |
...
アンカー EnglishVersion EnglishVersion
...
| 注意 | ||
|---|---|---|
| ||
Please confirm that the fingerprint of the downloaded certificate matches the following: SHA256 Fingerprint=5E:D6:A8:C5:E9:30:49:3F:B4:BA:77:54:6A:FB:66:BA:14:7D:CB:50:5B:EF:0F:D9:7C:26:04:C2:D9:36:FD:81 OpenSSL command is as follows: > openssl x509 -in gakunin-signer-2017.cer -fingerprint -sha256 -noout |
Edit /etc/shibboleth/shibboleth2.xml as follows:
...
After a sufficient amount of time, please make sure that the signed metadata with a signature by the new signing key is downloaded.
It is success that just before the first match "</ds:X509Certificate>" of the GakuNin meta-data file metadata backing file (/var/cache/shibboleth/federation-metadata.xml or similar) is as follows:
| コード ブロック | ||
|---|---|---|
| ||
nwU/H9ROp1cl
</ds:X509Certificate> |
If it looks like as follows, it is the metadata with a signature by the OLD signing key. You should check the log file to confirm that a metadata was downloaded and also check your configuration of download URL has a query string "?generation=2".
| コード ブロック | ||
|---|---|---|
| ||
7NVe3mIUWLcYEtdbC8Ip5OA2TXvA
</ds:X509Certificate> |
Furthermore, if your log file (/var/log/shibboleth/shibd_warn.log) has following lines, it failed signature verification. You should check that your configuration of certificate path contains "-2017" and also check the fingerprint of the certificate again.
| 書式設定済み |
|---|
2017-11-16 14:19:44 WARN OpenSAML.MetadataFilter.Signature : filtering out group at root of instance after failed signature check: CredentialResolver did not supply any candidate keys. |