本手順は作成中です。最終版までに変更される可能性がありますのでご注意ください。また、手順中のURLはまだ用意されておりません。
IdPの設定変更手順
新しい署名鍵で署名されたフェデレーションメタデータおよび新しい検証用証明書の公開後、本手順に従い設定変更を実施してください。
学認技術ガイドに従って設定した標準的なIdP(バージョン3.3.2)の場合の設定です。異なるバージョン、設定の場合には適宜置き換えて読んでください。
新しい検証用証明書を以下のURLからダウンロードして「/opt/shibboleth-idp/credentials/gakunin-signer-2017.cer
」に置きます。https://metadata.gakunin.nii.ac.jp/gakunin-signer-2017.cer
証明書のfingerprint確認
ダウンロードした署名検証用証明書のfingerprintを確認し、学認が提示したものと一致するか確認してください。
OpenSSLコマンドでは以下のように確認します。
> openssl x509 -in gakunin-signer-2017.cer -fingerprint -noout
/opt/shibboleth-idp/conf/metadata-providers.xml
を以下のように編集します。
<MetadataProvider>
のmetadataURL
を以下の通り修正します。<MetadataProvider id="HTTPMetadata" (...略...) - metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"> + metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml?generation=2"> (...略...)
<MetadataFilter>
のcertificateFile
を以下の通り修正します。<MetadataProvider id="HTTPMetadata" (...略...) metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml?generation=2"> - <MetadataFilter xsi:type="SignatureValidation" certificateFile="%{idp.home}/credentials/gakunin-signer-2010.cer" /> + <MetadataFilter xsi:type="SignatureValidation" certificateFile="%{idp.home}/credentials/gakunin-signer-2017.cer" /> (...略...) </MetadataProvider>
変更後、以下のコマンドで設定を再読み込みします。
$ /opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.MetadataResolverResources
一定時間の経過後、新しい署名鍵で署名されたメタデータがダウンロードされているか、保存されたメタデータファイルを確認してください。
メタデータファイルの先頭から検索し、最初にマッチするds:X509Certificateの直前の行が以下のようになっていれば成功です。
nwU/H9ROp1cl </ds:X509Certificate>