[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00428] Re: メタデータ記載の証明書更新手順(key rollover) IdP編



土屋様
西村です。よろしくお願いします。

以前メールでお知らせした手順は、学認サイトのほうにも掲載しております。
IdP: https://www.gakunin.jp/docs/fed/technical/idp/keyrollover
SP: https://www.gakunin.jp/docs/fed/technical/sp/keyrollover

> back channel の設定はまだしていません.この場合,「※3 keystore.jks を
> 更新」の手順は不要だろうと判断しているのですが,その理解で良いでしょうか?

はい、その通りです。keystore.jks自体不要(それに伴うserver.xml, java.security
の修正およびshibboleth-jce-1.1.0.jarの配置も不要)ですので、※3の手順は不要です。

> 第2に,apache と idp で証明書のインストール日をずらしている理由を教えて
> 頂けませんか.つまり,

確かに、Apacheの証明書とIdP/Tomcatの証明書は独立していますので、ここの順序関係は
任意です。有効期限が切れるということでもなければx+15日目に合わせて作業していただい
て問題ありません。
推奨手順のほうでは、Apacheの証明書が有効期限を過ぎると非常に問題になる(ユーザに警
告が表示され先に進めなくなる)ため、早めに余裕をもってできるようにということで1日目
に入れています。

> 第3に,学内 SP 向けに key rollover 運用する必要があるので,SP から提出さ
> れた新証明書を,IdP に予備証明書として登録する方法を教えていただけないで
> しょうか.

# 学認外、いわゆるローカルフェデレーションでの手順は余り整備できておりませんが、
# 学認で申請システムを用いている部分を「SPからIdPへ新メタデータを送付」もしくは
# 「ローカルフェデレーションメタデータへ新メタデータを登録」で置き換えます。
# という前提で、
新メタデータの生成方法についてですが、
https://www.gakunin.jp/docs/fed/technical/idp/metadata
https://www.gakunin.jp/docs/fed/technical/sp/metadata
の最後に注意書きとして書きましたように、<KeyDescriptor>を並べる形で新旧の
証明書を並べればOKです。
(X+15日目のほうは<KeyDescriptor>を1つだけに戻して証明書のところに新証明書を
入れたものになります。)

これで、現在IdPが読み込んでいるSPのメタデータを置き換えてください。

On 2012/01/13, at 17:25, TSUCHIYA Masatoshi wrote:

> 初めまして,土屋と申します.
> 
> テストフェデレーションに参加中の豊橋技術科学大学の IdP 運用を担当してい
> ます.よろしくお願いします.
> 
> 3点質問させてください.第1に,
> 
>    https://www.gakunin.jp/ml-archives/upki-fed/msg00237.html
> 
> によれば,shib1.3 接続でも front channel のみでいけますよ,ということなの
> で back channel の設定はまだしていません.この場合,「※3 keystore.jks を
> 更新」の手順は不要だろうと判断しているのですが,その理解で良いでしょうか?
> 
> 第2に,apache と idp で証明書のインストール日をずらしている理由を教えて
> 頂けませんか.つまり,
> 
>    1日目
>        証明書取得
>        学認申請システムにて証明書を追加(予備の欄に)
> 
>    X+15日目
>        Apache と IdP に対して証明書の更新
>        問題がなければ,学認申請システムから古い証明書を削除
> 
> という手順ではまずい理由を教えて頂けないでしょうか.
> 
> 第3に,学内 SP 向けに key rollover 運用する必要があるので,SP から提出さ
> れた新証明書を,IdP に予備証明書として登録する方法を教えていただけないで
> しょうか.
> 
>>> On Thu, 15 Dec 2011 17:59:20 +0900
>>> xxxxxxx@xxxxxxxxx (Takeshi NISHIMURA) said as follows:
> 
>> これまでもいくつか問い合わせを受けております、サーバ証明書の有効
>> 期限が切れる場合の新しい証明書への切り替え手順をご紹介します。
> 
>> IdPの証明書更新手順:
> 
>> 1日目 更新用証明書発行
>> 鍵およびCSR生成、申請、証明書受領
>> (詳細は各機関の登録担当者に確認のこと)
>> <証明書取得>
>> 1日目 Apacheに対して証明書の更新(※1)
>> 1日目 学認申請システムにて証明書を追加(予備の欄に)
>> <承認待ち>
>> X日目 承認、学認メタデータに反映
>> (ほとんどの場合その日のうちに承認されますが、そうでない場合
>> を考慮してX日目としています)
>> <メタデータに追加>
>> <メタデータ伝播待ち>
>> X+15日目 IdPに対して証明書の更新(※2)
>> X+15日目 問題がなければ,学認申請システムから古い証明書を削除
>> (ついでに、新しい証明書を予備の欄から移動) 
>> これが承認されれば完了
>> <メタデータから旧証明書を削除>
> 
>> ※1「Apacheに対して証明書の更新」の手順
>> 1. /etc/pki/tls/private/server.key
>> /etc/pki/tls/certs/server.crt
>> を新証明書のもので上書きする
>> 参考: https://www.gakunin.jp/docs/fed/technical/idp/customize/certpj-metadata
>> 2. httpdを再起動する
> 
>> ※2「IdPに対して証明書の更新」の手順
>> 1. /opt/shibboleth-idp/credentials/server.key
>> /opt/shibboleth-idp/credentials/server.crt
>> を新証明書のもので上書きする
>> 参考: https://www.gakunin.jp/docs/fed/technical/idp/customize/certpj-metadata
>> 2. /opt/shibboleth-idp/credentials/keystore.jks
>> を更新する(※3)
>> 3. Tomcatを再起動する
> 
>> ※3 「keystore.jksを更新」の手順
>> https://www.gakunin.jp/docs/fed/technical/idp/customize/certpj-metadata#back-channel
>> の「1.キーストアの設定」にある手順のうち、最後の2つを実行して、
>> サーバ証明書の部分を更新します。具体的には以下のような手順になります。
>> -----
>> # cd /opt/shibboleth-idp/credentials
>> # openssl pkcs12 -export -out pkcs12.p12 -in サーバ証明書.crt -inkey サーバ秘密鍵.key -name サーバ名
>> (ここで聞かれるエクスポートパスワードにはキーストアパスワードと同じものを指定してください)
>> # keytool -importkeystore -srckeystore pkcs12.p12 -destkeystore keystore.jks \
>> -srcstoretype pkcs12 -deststoretype jks -srcalias サーバ名 -destalias サーバ名 \
>> -storepass キーストアパスワード
>> (ここで同じ名前のエントリが既にあり上書きするか聞かれますので yes と入力してください)
>> -----
>> なお、「キーストアパスワード」が不明な場合は/usr/java/tomcat/conf/server.xml
>> を参照してください。

-- 
西村健
国立情報学研究所 TEL:03-4212-2720