...
| コード ブロック | ||
|---|---|---|
| ||
nwU/H9ROp1cl </ds:X509Certificate> |
以下のようになっている場合は古い署名鍵で署名されたものですので、ログ(/var/log/shibboleth/shibd.log)でメタデータのダウンロードが行われているか、ダウンロードURLが ?generation=2 付きになっているかを確認してください。
| コード ブロック | ||
|---|---|---|
| ||
7NVe3mIUWLcYEtdbC8Ip5OA2TXvA </ds:X509Certificate> |
また、エラーログ(/var/log/shibboleth/shibd_warn.log)に以下のように記録されている場合は署名検証に失敗しておりますので、shibboleth2.xmlの証明書ファイルの指定が -2017 のほうになっているか、および上述の証明書のフィンガープリントを今一度確認してください。
| 書式設定済み |
|---|
2017-11-16 14:19:44 WARN OpenSAML.MetadataFilter.Signature : filtering out group at root of instance after failed signature check: CredentialResolver did not supply any candidate keys. |
...
アンカー EnglishVersion EnglishVersion
...
| コード ブロック | ||
|---|---|---|
| ||
nwU/H9ROp1cl </ds:X509Certificate> |
If it looks like as follows, it is the metadata with a signature by the OLD signing key. You should check the log file to confirm that a metadata was downloaded and also check your configuration of download URL has a query string "?generation=2".
| コード ブロック | ||
|---|---|---|
| ||
7NVe3mIUWLcYEtdbC8Ip5OA2TXvA </ds:X509Certificate> |
...
Furthermore, if your log file (/var/log/shibboleth/shibd_warn.log) has following lines, it failed signature verification. You should check that your configuration of certificate path contains "-2017" and also check the fingerprint of the certificate again.
| 書式設定済み |
|---|
2017-11-16 14:19:44 WARN OpenSAML.MetadataFilter.Signature : filtering out group at root of instance after failed signature check: CredentialResolver did not supply any candidate keys. |
...