サーバ証明書の設定(★)
1. Apacheの設定
■/etc/httpd/conf.d/ssl.conf(★)
実習セミナー
・証明書は、初期設定で「/root/GETFILE」に配置されているファイルを使用します。
サーバ証明書:server.crt
秘密鍵 :server.key
中間CA証明書:server-chain.crt
・各証明書と秘密鍵を「/root/GETFILE」配下よりコピーしてください。
# cp /root/GETFILE/server{,-chain}.crt /etc/pki/tls/certs/
# cp /root/GETFILE/server.key /etc/pki/tls/private/
/etc/httpd/conf.d/ssl.conf を以下のように編集してください。(★)
(省略) SSLCertificateFile /etc/pki/tls/certs/server.crt ←サーバ証明書の格納先 (省略) SSLCertificateKeyFile /etc/pki/tls/private/server.key ←秘密鍵の格納先 (省略) SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt ←中間CA証明書の格納先 ↑先頭の「#」を削除して、コメントを解除してください。
ssl.conf設定後、httpdを再起動します。(★)
# systemctl restart httpd
2. Shibboleth SPの設定
■/etc/shibboleth/shibboleth2.xml(★)
「/etc/shibboleth/cert」配下に、サーバ証明書と秘密鍵をコピーしてください。(★)
実習セミナー
・サーバ証明書と秘密鍵を「/root/GETFILE」配下よりコピーしてください。
# cp /root/GETFILE/server.key /etc/shibboleth/cert/
# cp /root/GETFILE/server.crt /etc/shibboleth/cert/
以下の設定では、コピーしたserver.keyとserver.crtを参照するように編集します。
(cert/server.key、cert/server.crt)
/etc/shibboleth/shibboleth2.xml を以下のように編集してください。(★)
(省略) <!-- Simple file-based resolver for using a single keypair. --> <CredentialResolver type="File" key="cert/server.key" certificate="cert/server.crt"/> ↑秘密鍵の格納先 ↑サーバ証明書の格納先
※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。
/etc/shibboleth/cert/server.key
はユーザshibdによって読み取れる必要があります。Shibboleth SPのデフォルト設定である以下を参考にパーミッションを限定してください。
# chown shibd:shibd /etc/shibboleth/cert/server.key
# chmod 440 /etc/shibboleth/cert/server.key