[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00427] Re: メタデータ記載の証明書更新手順(key rollover) IdP編
- Subject: [upki-fed:00427] Re: メタデータ記載の証明書更新手順(key rollover) IdP編
- Date: Fri, 13 Jan 2012 17:25:45 +0900
- From: TSUCHIYA Masatoshi <xxxxxxxx@xxxxxxxxxxxxx>
初めまして,土屋と申します.
テストフェデレーションに参加中の豊橋技術科学大学の IdP 運用を担当してい
ます.よろしくお願いします.
3点質問させてください.第1に,
https://www.gakunin.jp/ml-archives/upki-fed/msg00237.html
によれば,shib1.3 接続でも front channel のみでいけますよ,ということなの
で back channel の設定はまだしていません.この場合,「※3 keystore.jks を
更新」の手順は不要だろうと判断しているのですが,その理解で良いでしょうか?
第2に,apache と idp で証明書のインストール日をずらしている理由を教えて
頂けませんか.つまり,
1日目
証明書取得
学認申請システムにて証明書を追加(予備の欄に)
X+15日目
Apache と IdP に対して証明書の更新
問題がなければ,学認申請システムから古い証明書を削除
という手順ではまずい理由を教えて頂けないでしょうか.
第3に,学内 SP 向けに key rollover 運用する必要があるので,SP から提出さ
れた新証明書を,IdP に予備証明書として登録する方法を教えていただけないで
しょうか.
>> On Thu, 15 Dec 2011 17:59:20 +0900
>> xxxxxxx@xxxxxxxxx (Takeshi NISHIMURA) said as follows:
>これまでもいくつか問い合わせを受けております、サーバ証明書の有効
>期限が切れる場合の新しい証明書への切り替え手順をご紹介します。
>IdPの証明書更新手順:
>1日目 更新用証明書発行
> 鍵およびCSR生成、申請、証明書受領
> (詳細は各機関の登録担当者に確認のこと)
> <証明書取得>
>1日目 Apacheに対して証明書の更新(※1)
>1日目 学認申請システムにて証明書を追加(予備の欄に)
> <承認待ち>
>X日目 承認、学認メタデータに反映
> (ほとんどの場合その日のうちに承認されますが、そうでない場合
> を考慮してX日目としています)
> <メタデータに追加>
> <メタデータ伝播待ち>
>X+15日目 IdPに対して証明書の更新(※2)
>X+15日目 問題がなければ,学認申請システムから古い証明書を削除
> (ついでに、新しい証明書を予備の欄から移動)
> これが承認されれば完了
> <メタデータから旧証明書を削除>
>※1「Apacheに対して証明書の更新」の手順
>1. /etc/pki/tls/private/server.key
> /etc/pki/tls/certs/server.crt
> を新証明書のもので上書きする
> 参考: https://www.gakunin.jp/docs/fed/technical/idp/customize/certpj-metadata
>2. httpdを再起動する
>※2「IdPに対して証明書の更新」の手順
>1. /opt/shibboleth-idp/credentials/server.key
> /opt/shibboleth-idp/credentials/server.crt
> を新証明書のもので上書きする
> 参考: https://www.gakunin.jp/docs/fed/technical/idp/customize/certpj-metadata
>2. /opt/shibboleth-idp/credentials/keystore.jks
> を更新する(※3)
>3. Tomcatを再起動する
>※3 「keystore.jksを更新」の手順
>https://www.gakunin.jp/docs/fed/technical/idp/customize/certpj-metadata#back-channel
>の「1.キーストアの設定」にある手順のうち、最後の2つを実行して、
>サーバ証明書の部分を更新します。具体的には以下のような手順になります。
>-----
># cd /opt/shibboleth-idp/credentials
># openssl pkcs12 -export -out pkcs12.p12 -in サーバ証明書.crt -inkey サーバ秘密鍵.key -name サーバ名
>(ここで聞かれるエクスポートパスワードにはキーストアパスワードと同じものを指定してください)
># keytool -importkeystore -srckeystore pkcs12.p12 -destkeystore keystore.jks \
> -srcstoretype pkcs12 -deststoretype jks -srcalias サーバ名 -destalias サーバ名 \
> -storepass キーストアパスワード
>(ここで同じ名前のエントリが既にあり上書きするか聞かれますので yes と入力してください)
>-----
>なお、「キーストアパスワード」が不明な場合は/usr/java/tomcat/conf/server.xml
>を参照してください。
--
土屋 雅稔 ( TSUCHIYA Masatoshi )