GakuNinShibInstall

スペース ショートカット

ページ ツリー

比較バージョン

古いバージョン 16

changes.mady.by.user m-suenaga@nii.ac.jp

保存しました

次と比較

新しいバージョン 17

changes.mady.by.user Takeshi Nishimura

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

新しい署名鍵で署名されたフェデレーションメタデータおよび新しい検証用証明書の公開後、本手順に従い設定変更を実施してください。

情報

本ページに記載している署名検証用証明書およびそのフィンガープリント、メタデータ公開URLは次のページで公開されているものです。
https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/signer
上記ページURLは学認技術運用基準に規定されております。
学認技術運用基準:http://id.nii.ac.jp/1149/00000212/

注意

学認技術ガイドに従って設定した標準的なIdP(バージョン3.3.2)の場合の設定です。異なるバージョン、設定の場合には適宜置き換えて読んでください。

新しい検証用証明書を以下のURLからダウンロードして「/opt/shibboleth-idp/credentials/gakunin-signer-2017.cer」に置きます。
https://metadata.gakunin.nii.ac.jp/gakunin-signer-2017.cer

注意
title証明書のfingerprint確認

ダウンロードした署名検証用証明書のfingerprintを表示し、以下と一致するか確認してください。ダウンロードした署名検証用証明書のフィンガープリントを表示し、以下と一致するか確認してください。

SHA256 Fingerprint=5E:D6:A8:C5:E9:30:49:3F:B4:BA:77:54:6A:FB:66:BA:14:7D:CB:50:5B:EF:0F:D9:7C:26:04:C2:D9:36:FD:81

OpenSSLコマンドでは以下のように確認します。
> openssl x509 -in gakunin-signer-2017.cer -fingerprint -sha256 -noout

 

署名検証用証明書およびFingerprintの正式公開場所https://meatwiki.nii.ac.jp/confluence/x/F4W5

 

...

...

/

...

 

/opt/shibboleth-idp/conf/metadata-providers.xml を以下のように編集します。

  1. <MetadataProvider>metadataURLを以下の通り修正します。に指定するメタデータダウンロードURLを以下の通り、末尾に ?generation=2 を付加します。

    コード ブロック
    languagediff
    title差分(unified diff形式)xml
       <MetadataProvider id="HTTPMetadata"
  (...略...)
-     metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"> 
+     metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml?generation=2"> 
  (...略...)

  2. <MetadataFilter>certificateFileを以下の通り修正します。に指定する署名検証用証明書のファイル名を以下の通り、2010 の部分を 2017 に修正します。

    コード ブロック
    languagediff
    title差分(unified diff形式)xml
       <MetadataProvider id="HTTPMetadata"
  (...略...)
      metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml?generation=2">

-     <MetadataFilter xsi:type="SignatureValidation" certificateFile="%{idp.home}/credentials/gakunin-signer-2010.cer" />
+     <MetadataFilter xsi:type="SignatureValidation" certificateFile="%{idp.home}/credentials/gakunin-signer-2017.cer" />
  (...略...)
  </MetadataProvider>

...

コード ブロック
$ /opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.MetadataResolverService

 

一定時間の経過後、新しい署名鍵で署名されたメタデータがダウンロードされているか、保存されたメタデータファイル(新しい署名鍵で署名されたメタデータがダウンロードされているか、保存されたメタデータファイル(/opt/shibboleth-idp/metadata/gakunin-metadata-backing.xml もしくはmetadata-providers.xmlbackingFileで指定されたパス)を確認してください。
メタデータファイルの先頭から検索し、最初にマッチするまず、ファイルの更新日時を確認し、上記再読み込みコマンド実行より後であることを確認してください。
次に、メタデータファイルの先頭から検索し、最初にマッチする</ds:X509Certificate>の直前の行が以下のようになっていれば成功です。

...