...
新しい署名鍵で署名されたフェデレーションメタデータおよび新しい検証用証明書の公開後、本手順に従い設定変更を実施してください。
情報 |
---|
本ページに記載している署名検証用証明書およびそのフィンガープリント、メタデータ公開URLは次のページで公開されているものです。 |
注意 |
---|
学認技術ガイドに従って設定した標準的なIdP(バージョン3.3.2)の場合の設定です。異なるバージョン、設定の場合には適宜置き換えて読んでください。 |
新しい検証用証明書を以下のURLからダウンロードして「/opt/shibboleth-idp/credentials/gakunin-signer-2017.cer
」に置きます。https://metadata.gakunin.nii.ac.jp/gakunin-signer-2017.cer
注意 | ||
---|---|---|
| ||
ダウンロードした署名検証用証明書のfingerprintを表示し、以下と一致するか確認してください。ダウンロードした署名検証用証明書のフィンガープリントを表示し、以下と一致するか確認してください。 SHA256 Fingerprint=5E:D6:A8:C5:E9:30:49:3F:B4:BA:77:54:6A:FB:66:BA:14:7D:CB:50:5B:EF:0F:D9:7C:26:04:C2:D9:36:FD:81 OpenSSLコマンドでは以下のように確認します。
署名検証用証明書およびFingerprintの正式公開場所:https://meatwiki.nii.ac.jp/confluence/x/F4W5 |
...
...
/
...
/opt/shibboleth-idp/conf/metadata-providers.xml
を以下のように編集します。
<MetadataProvider>
のmetadataURL
を以下の通り修正します。に指定するメタデータダウンロードURLを以下の通り、末尾に?generation=2
を付加します。コード ブロック language diff title 差分(unified diff形式)xml <MetadataProvider id="HTTPMetadata" (...略...) - metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"> + metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml?generation=2"> (...略...)
<MetadataFilter>
のcertificateFile
を以下の通り修正します。に指定する署名検証用証明書のファイル名を以下の通り、2010
の部分を2017
に修正します。コード ブロック language diff title 差分(unified diff形式)xml <MetadataProvider id="HTTPMetadata" (...略...) metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml?generation=2"> - <MetadataFilter xsi:type="SignatureValidation" certificateFile="%{idp.home}/credentials/gakunin-signer-2010.cer" /> + <MetadataFilter xsi:type="SignatureValidation" certificateFile="%{idp.home}/credentials/gakunin-signer-2017.cer" /> (...略...) </MetadataProvider>
...
コード ブロック |
---|
$ /opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.MetadataResolverService |
一定時間の経過後、新しい署名鍵で署名されたメタデータがダウンロードされているか、保存されたメタデータファイル(新しい署名鍵で署名されたメタデータがダウンロードされているか、保存されたメタデータファイル(/opt/shibboleth-idp/metadata/gakunin-metadata-backing.xml
もしくはmetadata-providers.xml
のbackingFile
で指定されたパス)を確認してください。
メタデータファイルの先頭から検索し、最初にマッチするまず、ファイルの更新日時を確認し、上記再読み込みコマンド実行より後であることを確認してください。
次に、メタデータファイルの先頭から検索し、最初にマッチする</ds:X509Certificate>
の直前の行が以下のようになっていれば成功です。
...