IdPで利用しているJDKを JDK 8 update 51もしくは60, 7 update 85, 6 update 101 へアップデートした場合に、メタデータ取得にてエラーとなる問題が報告されています。 (Shib Users ML: Shib IdP - Metadata Download and Java 1.7.0_85)
該当するJDKにアップデートした場合、新規に参加したSPとの連携ができない、また保持しているメタデータの有効期限が切れたあとにはすべてのSPと連携できない状態となりますのでご注意ください。
ERROR [org.opensaml.saml2.metadata.provider.HTTPMetadataProvider:273] - [Timer-0:] - Error retrieving metadata from https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml javax.net.ssl.SSLPeerUnverifiedException: SSL peer failed hostname validation for name: (メタデータリポジトリのIPアドレス)
※適宜改行を入れていますが実際には一行で出力されます。
→ Tomcatを起動するときのオプションに「-Djdk.tls.trustNameService=true」をつけて起動することで問題が回避できます。
CentOS 6のtomcat6パッケージを使っている場合には、/etc/sysconfig/tomcat6 にてJAVA_OPTSを設定可能ですので、末尾に以下の行を追加してください。
JAVA_OPTS="${JAVA_OPTS} -Djdk.tls.trustNameService=true"
学認提供自動起動スクリプト(/etc/init.d/tomcat6 or /etc/init.d/tomcat)を使っている場合には、CATALINA_OPTSにて設定しておりますので、以下の行を修正してください。
export CATALINA_OPTS="-Djava.endorsed.dirs=${CATALINA_HOME}/endorsed -Djdk.tls.trustNameService=true "
※端末のサイズによっては複数行で表示されているかもしれませんが、一行で入力してください。
この問題はOracle JDKだけでなくOpenJDKでも発生します。
OpenJDKの問題のあるバージョンは以下です(RHEL/CentOS上)。
java-1.6.0-openjdk-1.6.0.36-1.13.8.1.el5_11
java-1.6.0-openjdk-1.6.0.36-1.13.8.1.el6_7
java-1.6.0-openjdk-1.6.0.36-1.13.8.1.el7_1
java-1.7.0-openjdk-1.7.0.85-2.6.1.3.el5_11
java-1.7.0-openjdk-1.7.0.85-2.6.1.3.el6_6
java-1.7.0-openjdk-1.7.0.85-2.6.1.3.el6_7
java-1.7.0-openjdk-1.7.0.85-2.6.1.2.el7_1
java-1.8.0-openjdk-1.8.0.51-0.b16.el6_6
java-1.8.0-openjdk-1.8.0.51-1.b16.el6_7
java-1.8.0-openjdk-1.8.0.51-3.b16.el6_7
java-1.8.0-openjdk-1.8.0.51-1.b16.el7_1
以下のバージョンで問題が解消されたことを確認しています。
Oracle JDK 8u65
6b37-1.13.9-1ubuntu0.{15.10,15.04,14.04,12.04}.1 (Ubuntu 15.10/15.04/14.04 LTS/12.04 LTS 上)
7u91-2.6.3-0ubuntu0.{15.10,15.04,14.04,12.04}.1
java-1.6.0-openjdk-1.6.0.37-1.13.9.4.el5_11
java-1.6.0-openjdk-1.6.0.37-1.13.9.4.el6_7
java-1.6.0-openjdk-1.6.0.37-1.13.9.4.el7_1