情報 |
---|
本件はeduGAIN参加機関向け、eduGAINのメタデータ署名検証用証明書更新に 伴うIdP本件はeduGAIN参加機関向け、eduGAINのメタデータ署名検証用証明書更新に伴うIdP/SP設定変更のお願いです。 eduGAINのメタデータの署名に用いている証明書が更新され、それに伴いメタ データダウンロードURLも更新されました。 従来のメタデータダウンロードURLでの提供は6月末までとのことですので、 eduGAIN参加のみなさまにおかれましては期日までに設定変更を行なっていた だけますようよろしくお願いいたします。eduGAINのメタデータの署名に用いている証明書が更新され、それに伴いメタデータダウンロードURLも更新されました。従来のメタデータダウンロードURLでの提供は6月末までとのことですので、eduGAIN参加のみなさまにおかれましては期日までに設定変更を行なっていただけますようよろしくお願いいたします。 |
IdPの設定変更手順
新しい署名鍵で署名されたeduGAINメタデータおよび新しい検証用証明書が公開されておりますので、本手順に従い設定変更を実施してください。
...
コード ブロック | ||
---|---|---|
| ||
$ /opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.MetadataResolverService |
注意 | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|
今回のようにメタデータのダウンロード等の処理に時間がかかると、reload-service.shのコマンド実行時に以下のようなHTTP 502エラーが返ってくることがあります。
この場合はログ(/opt/shibboleth-idp/logs/idp-process.log)を確認して、再読み込みが正常に完了していることを確認してください。
|
再読み込み後、エラーログ(/opt/shibboleth-idp/logs/idp-warn.log)に以下のように記録されている場合は署名検証に失敗しておりますので、metadata-providers.xmlの証明書ファイルおよびダウンロードURLが正しいかどうか確認してください。
コード ブロック | ||
---|---|---|
| ||
2020-11-30 14:05:32,408 - - WARN [org.apache.xml.security.signature.XMLSignature:777] - Signature verification failed. 2020-11-30 14:05:32,409 - - ERROR [org.opensaml.saml.metadata.resolver.filter.impl.SignatureValidationFilter:419] - Signature trust establishment failed for metadata entry GakuNin-testhttp://edugain.org/ 2020-11-30 14:05:32,410 - - ERROR [org.opensaml.saml.metadata.resolver.impl.AbstractReloadingMetadataResolver:537] - Metadata Resolver FileBackedHTTPMetadataResolver HTTPMetadata-eduGAIN: Error filtering metadata from http://edugain.cdn.samlbits.net/edugain-v2.xml org.opensaml.saml.metadata.resolver.filter.FilterException: Signature trust establishment failed for metadata entry at org.opensaml.saml.metadata.resolver.filter.impl.SignatureValidationFilter.verifySignature(SignatureValidationFilter.java:420) |
...