...
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
# cd /opt/shibboleth-idp/credentials
# UMASKORIG="`umask`" ; umask 0077
# openssl pkcs12 -export -out server.p12 -in サーバ証明書.crt -inkey サーバ秘密鍵.key -name サーバ名
(ここで聞かれるエクスポートパスワードを後述のserver(ここで聞かれるエクスポートパスワードを後述のidp-backchannel.xmlの「P12パスワード」に指定します。任意のものを設定できます)iniの「P12パスワード」に指定します。任意のものを設定できます)
# umask "$UMASKORIG"
(上記一連のumaskコマンドは"chmod 600 server.p12"と同義) |
TomcatをJettyを"tomcatjetty"ユーザで実行する場合は、さらに以下のコマンドを実行しTomcatが読み取れるようにします。ユーザで実行する場合は、さらに以下のコマンドを実行しJettyが読み取れるようにします。
| パネル |
|---|
|
# chgrp tomcat jetty /opt/shibboleth-idp/credentials/server.p12
# chmod g+r /opt/shibboleth-idp/credentials/server.p12
|
2.ライブラリのコピー
https://build.shibboleth.net/nexus/servicecontent/local/repositories/releases/content/net/shibboleth/utilities/jetty9/trustanyjetty94-dta-ssl/1.0.0/trustanyjetty94-dta-ssl-1.0.0.jar よりダウンロードします。
trustany jetty94-dta-ssl-1.0.0.jar を $CATALINA_HOMEjar を /opt/jetty-base/lib 配下にコピーします。/ext 配下にコピーします。
| パネル |
|---|
|
# wget https://build.shibboleth.net/nexus/service/localcontent/repositories/releases/content/net/shibboleth/utilities/jetty9/trustanyjetty94-dta-ssl/1.0.0/trustanyjetty94-dta-ssl-1.0.0.jar
# cp trustanyjetty94-dta-ssl-1.0.0.jar $CATALINA_HOME /opt/jetty-base/lib/ext |
| 情報 |
|---|
ダウンロードされるJARファイルのSHA-256ハッシュ値は以下の通りです。さらに真正性を確認したい場合はPGP署名をご利用ください。
# sha256sum trustanyjetty94-dta-ssl-1.0.0.jar
80f80f45dcb6671ad963e6ebf761baeb195502ca5b274b6b3f99e4ed2a900466 trustany5e5de66e3517d30ff19ef66cf7a4aa5443b861d83e36a75e85845b007a03afbf jetty94-dta-ssl-1.0.0.jar
|
3.SOAP設定
$CATALINA_BASE/conf/server.xml ファイルに以下を追加します。/opt/jetty-base/start.d/idp-backchannel.ini ファイルを以下のように作成します。
| パネル |
|---|
|
# cd /opt/jetty-base/start.d
# cp idp-backchannel.ini.dist idp-backchannel.ini
# chgrp jetty idp-backchannel.ini
# chmod 640 idp-backchannel.ini
|
/opt/jetty-base/start.d/idp-backchannel.ini ファイルを以下のように修正します。
| パネル |
|---|
|
# ---------------------------------------
# Module: idp-backchannel
# Shibboleth IdP Dedicated SOAP Connector
# ---------------------------------------
--module=idp-backchannel
## Backchannel connector port to listen on
# idp.backchannel.port=8443
## Backchannel keystore file path (relative to $jetty.base)
# idp.backchannel.keyStorePath=..
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150"
SSLEnabled="true"
scheme="https"
maxPostSize="100000"
secure="true"
clientAuth="want"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2,TLSv1.3"
keystoreFile="/opt/shibboleth-idp/credentials/server.p12
"
keystorePass="P12パスワード"
keystoreType="PKCS12"
trustManagerClassName="net.shibboleth.utilities.ssl.TrustAnyCertificate" /> |
| 情報 |
|---|
## Backchannel keystore password
# idp.backchannel.keyStorePassword=P12パスワード
## Backchannel keystore type
# idp.backchannel.keyStoreType=PKCS12sslEnabledProtocols はSSLv3を無効にするための記述です。なお、TLSv1.1とTLSv1.2の記載がありますが、実際に使用できるか否かはJava(JVM)のバージョンに依存します。
|