このページの古いバージョンを表示しています。現在のバージョンを表示します。

現在のバージョンとの相違点 ページ履歴を表示

« 前のバージョン バージョン 7 次のバージョン »

メタデータ記載の証明書更新手順(IdP)

IdPの証明書更新手順:

 サーバ証明書の有効期限が切れる場合の新しい証明書への切り替え手順をご紹介します。ポイントは、メタデータ上の記載変更とIdP/SPの設定変 更の間にタイムラグを置いて、メタデータ伝播中にもIdP/SPが利用できない期間が発生しないようにしているところです。以下の記述は学認ウェブサイト の技術ガイドに従って構築した場合の記述です。そうでない場合は適宜読み替えてください。

1日目 更新用証明書発行
鍵およびCSR生成、申請、証明書受領
(詳細は各機関の登録担当者に確認のこと)
<証明書取得>
1日目 Apacheに対して証明書の更新(※1)
1日目 学認申請システムにて証明書を追加(予備の欄に)
<承認待ち>
X日目 承認、学認メタデータに反映
(ほとんどの場合数日のうちに承認されますが、そうでない場合
を考慮してX日目としています)
<メタデータに追加>
<メタデータ伝播待ち>
X+15日目 IdPに対して証明書の更新(※2)
X+15日目 問題がなければ,学認申請システムから古い証明書を削除
(ついでに、新しい証明書を予備の欄から移動)
これが承認されれば完了
<メタデータから旧証明書を削除>

※1「Apacheに対して証明書の更新」の手順
1. /etc/pki/tls/private/server.key
    /etc/pki/tls/certs/server.crt
    を新証明書のもので上書きする
    参考:サーバ証明書の設定(IdP)
2. httpdを再起動する

※2「IdPに対して証明書の更新」の手順
1. /opt/shibboleth-idp/credentials/server.key
    /opt/shibboleth-idp/credentials/server.crt
    を新証明書のもので上書きする
    参考: サーバ証明書の設定(IdP)
2. /opt/shibboleth-idp/credentials/keystore.jks
    を更新する(※3)
3. Tomcatを再起動する

※3 「keystore.jksを更新」の手順
サーバ証明書の設定(IdP) #backchannel
の「1.キーストアの設定」にある手順のうち、最後の2つを実行して、
サーバ証明書の部分を更新します。具体的には以下のような手順になります。
-----
# cd /opt/shibboleth-idp/credentials
# openssl pkcs12 -export -out pkcs12.p12 -in サーバ証明書.crt -inkey サーバ秘密鍵.key -name サーバ名
(ここで聞かれるエクスポートパスワードにはキーストアパスワードと同じものを指定してください)
# keytool -importkeystore -srckeystore pkcs12.p12 -destkeystore keystore.jks \
-srcstoretype pkcs12 -deststoretype jks -srcalias サーバ名 -destalias サーバ名 \
-storepass キーストアパスワード
(ここで同じ名前のエントリが既にあり上書きするか聞かれますので yes と入力してください)
-----
なお、「キーストアパスワード」が不明な場合は/usr/java/tomcat/conf/server.xml
を参照してください。

 

  • ラベルがありません