[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00429] Re: メタデータ記載の証明書更新手順(key rollover) IdP編



土屋です.

>> On Sat, 14 Jan 2012 11:00:52 +0900
>> xxxxxxx@xxxxxxxxx (Takeshi NISHIMURA) said as follows:

>> 第2に,apache と idp で証明書のインストール日をずらしている理由を教えて
>> 頂けませんか.

>確かに、Apacheの証明書とIdP/Tomcatの証明書は独立していますので、ここの順
>序関係は任意です。有効期限が切れるということでもなければx+15日目に合わせ
>て作業していただいて問題ありません。

確認どうも有難うございます.

本学の IdP では,

    Apache の設定
	SSLCertificateFile    /etc/ssl/certs/idp.pem
	SSLCertificateKeyFile /etc/ssl/private/idp.key

    IdP の設定
        <security:Credential id="IdPCredential" xsi:type="security:X509Filesystem">
            <security:PrivateKey>/etc/ssl/private/idp.key</security:PrivateKey>
            <security:Certificate>/etc/ssl/certs/idp.pem</security:Certificate>
        </security:Credential>

というように,同じ公開鍵と秘密鍵を参照するように設定している(= 同じファイ
ルを複数個所に置くのは事故の元)ので,西村さんの推奨手順は実現困難のため,
質問させて頂きました.

>推奨手順のほうでは、Apacheの証明書が有効期限を過ぎると非常に問題になる
>(ユーザに警告が表示され先に進めなくなる)ため、早めに余裕をもってできる
>ようにということで1日目に入れています。

IdP の公開鍵が期限切れになった場合には,SP などでエラーにならないのでしょ
うか?

>> 第3に,学内 SP 向けに key rollover 運用する必要があるので,SP から提出
>> された新証明書を,IdP に予備証明書として登録する方法を教えていただけな
>> いでしょうか.

>新メタデータの生成方法についてですが、
>https://www.gakunin.jp/docs/fed/technical/idp/metadata
>https://www.gakunin.jp/docs/fed/technical/sp/metadata
>の最後に注意書きとして書きましたように、<KeyDescriptor>を並べる形で新旧の
>証明書を並べればOKです。

どうも有難うございます.KeyDescriptor を2つ並べることができるのですね.

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )