1.「UPKIオープンドメイン証明書自動発行検証プロジェクト」の利用の手引における加入者編をご覧いただき、サーバ証明書を申請します。機関の審査手続きによっては証明書の交付までには数日を要する場合がありますので、お早めに申請してください。
接続実験をするだけであれば、IdPインストール時に作成された証明書(自己署名証明書)をそのまま利用してテストフェデレーションに参加することも可能です。その場合は、以降の記述のうち「中間CA証明書」の部分は無視してください。
・証明書は、初期設定で「/root/GETFILE」に取得したファイルを使用します。 |
2.入手したサーバ証明書をもとに、以下のファイルに設定してください。(★)
※ (2014-06-23注)以下の作業は行わないでください。こちらで期限内の証明書および秘密鍵を配置します。ここはスキップしてssl.confの編集およびそれ以降の手順を実行し、接続確認はこちらでの対処までしばらくお待ちください。 |
/etc/httpd/conf.d/ssl.conf を以下のように編集してください。(★)
(省略) |
※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。
詳しくは、サーバ証明書インストールマニュアルの Apache 2 + mod_ssl 編を参照してください。
参照先ディレクトリ(/opt/shibboleth-idp/credentials)に、サーバ証明書と秘密鍵をコピーしてください。(★)
・サーバ証明書と秘密鍵を「/root/GETFILE」配下よりコピーしてください。 |
/opt/shibboleth-idp/conf/relying-party.xml を以下のように編集してください。(★)
(省略)<security:Credential id="IdPCredential" xsi:type="security:X509Filesystem"> <security:PrivateKey>/opt/shibboleth-idp/credentials/server.key</security:PrivateKey> ↑ ssl.confと同一のものを上記のパスにも格納 <security:Certificate>/opt/shibboleth-idp/credentials/server.crt</security:Certificate> ↑ ssl.confと同一のものを上記のパスにも格納</security:Credential> (省略) |
※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。
・メタデータテンプレートは、初期設定で「/root/GETFILE」に取得したidp-metadata.xmlを使用します。rootのホームディレクトリに「"ドメインなしホスト名".xml」のファイル名でコピーします。 |
学認申請システム(テストFed)から登録を行います。入力したデータから自動的にメタデータが生成されますのでメタデータ作成の必要はありません。詳細は参加のページをご覧ください。 |
学認申請システムから登録を行います。入力したデータから自動的にメタデータが生成されますのでメタデータ作成の必要はありません。詳細は参加のページをご覧ください。 |
・作成したメタデータは学認申請システムではなく、実習セミナー内のDSサーバに転送します。 |
Shib1.3のSPにも接続する場合は、IdPとの通信時にTLS接続を行うため、下記にしたがいBack-Channelの設定を行ってください。 このTLS接続ではポート8443を利用します。
・実習セミナーではShibboleth SPバージョン1.3は対象としていないため以下の設定は不要です。 |
サーバ証明書およびCA証明書を格納したキーストアを作成します。
サーバ証明書としてUPKIの証明書をご利用の場合は、
CA証明書: Security Communication RootCA1 Repositoryの中程にあるSCRoot1ca.cer
中間CA証明書: オープンドメイン認証局2リポジトリの中程にあるnii-odca2.crt
をダウンロードして設定してください。
# cd /opt/shibboleth-idp/credentials # keytool -importcert -trustcacerts -alias ca -keystore keystore.jks \ -storetype jks -file CA証明書.crt -storepass キーストアパスワード # keytool -importcert -trustcacerts -alias interca -keystore keystore.jks \ -storetype jks -file 中間CA証明書.crt -storepass キーストアパスワード # openssl pkcs12 -export -out pkcs12.p12 -in サーバ証明書.crt -inkey サーバ秘密鍵.key -name サーバ名 (ここで聞かれるエクスポートパスワードにはキーストアパスワードと同じものを指定してください) # keytool -importkeystore -srckeystore pkcs12.p12 -destkeystore keystore.jks \ -srcstoretype pkcs12 -deststoretype jks -srcalias サーバ名 -destalias サーバ名 \ -storepass キーストアパスワード |
https://build.shibboleth.net/nexus/content/repositories/releases/edu/internet2/middleware/security/tomcat6/tomcat6-dta-ssl/1.0.0/tomcat6-dta-ssl-1.0.0.jarよりダウンロードします。
tomcat6-dta-ssl-1.0.0.jarを$CATALINA_HOME/lib配下にコピーします。
|
ダウンロードされるJARファイルのSHA-256ハッシュ値は以下の通りです。さらに真正性を確認したい場合はPGP署名をご利用ください。 |
※ 2.3.4以降には当該ファイルが同梱されていません。⇒情報交換ML:00414, 情報交換ML:00513 さらに、 $JAVA_HOME/jre/lib/security/java.security ファイルに以下を追加します。
番号:9 は、既に記載されている番号に合わせて順番にして下さい。 |
$CATALINA_BASE/conf/server.xml ファイルに以下を追加します。
|
|