現在メタデータリポジトリのサーバ証明書はSHA-1証明書を使用していますが、今後SHA-2証明書に移行する予定です。SHA-2証明書への移 行時にはOSやパッケージのバージョンによって、必要となるCA証明書が入っていない可能性があり、確認・導入の作業が発生する見込みです。
すでにIdPを構築済み・運用中の方は、以下の手順に従って利用しているOS、パッケージのバージョンをご確認ください。
これからIdP構築される方は構築段階で確認・導入しておくことで将来行うべき作業が不要となりますので、今回を機会にご対応ください。
ca-certificates-2013.1.94-65.0.el6.noarch.rpm
およびそれ以降のバージョンであることを確認してください。異なる場合には最新版にアップデートしてください。IdPのトラストアンカーにSECOMのSHA-2 CA証明書を導入する手順について記載します。
・https://repository.secomtrust.net/SC-Root2/index.htmlからSecurity Communication Root CA2証明書をダウンロードします。ダウンロードしたファイルのファイル名は SCRoot2ca.cer とします。
・ダウンロードしたCA証明書のフィンガープリントが一致しているか下記の値と確認してください。
$ openssl x509 |
・OpenJDKまたはOracle JDKがインストールされていることを確認します。本手順ではOracle JDKに関して/usr/java配下にOracle JDK Update 16がインストールされている前提として説明します。
OpenJDK 1.6.0の場合
$ rpm -q java-1.6.0-openjdk java-1.6.0-openjdk-1.6.0.33-1.13.5.0.el5_11 |
OpenJDK 1.7.0の場合
$ rpm -q java-1.7.0-openjdk java-1.7.0-openjdk-1.7.0.71-2.5.3.1.el5_11 |
Oracle JDKの場合は、インストールパスを確認します。
$ ls -l /usr/java/jdk1.6.0_16/ |
・トラストアンカー(cacerts)にSecurity Communication Root CA2 証明書 [SR3.0用]が含まれているか否かを調査します。含まれている場合には、MD5, SHA1のフィンガープリントが表示されます。
OpenJDK 1.6.0/1.7.0の場合。複数のバージョンを導入している場合にはIdPで利用しているOpenJDKのcacertsをチェックしてください。
|
Oracle JDKの場合
$ /usr/java/jdk1.6.0_16/bin/keytool -list -keystore /usr/java/jdk1.6.0_16/jre/lib/security/cacerts | \ grep -e '6C:39:7D:A4:0E:55:59:B2:3F:D6:41:B1:12:50:DE:43' \ |
・トラストアンカー(cacerts)にSecurity Communication Root CA2 証明書 [SR3.0用]をインポートします。(aliasオプションを付けない場合はmykeyというエイリアス名になります)
OpenJDKの場合
|
Oracle JDKの場合
$ sudo /usr/java/jdk1.6.0_16/bin/keytool -import -alias scrootca2 -keystore /usr/java/jdk1.6.0_16/jre/lib/security/cacerts -file SCRoot2ca.cer (内容はOpenJDKの場合と同じですので省略します) |
・トラストアンカー(cacerts)にSecurity Communication Root CA2 証明書 [SR3.0用]がインポートされていることを確認します。表示されたフィンガープリントがSecurity Communication Root CA2 証明書 [SR3.0用]と一致していることを確認してください。
OpenJDK 1.6.0の場合
|
OpenJDK 1.7.0の場合
|
Oracle JDKの場合
|