[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00430] Re: メタデータ記載の証明書更新手順(key rollover) IdP編



西村です。

遅くなりましてすみません。

>> 推奨手順のほうでは、Apacheの証明書が有効期限を過ぎると非常に問題になる
>> (ユーザに警告が表示され先に進めなくなる)ため、早めに余裕をもってできる
>> ようにということで1日目に入れています。
> 
> IdP の公開鍵が期限切れになった場合には,SP などでエラーにならないのでしょ
> うか?

このあたりは標準として定まっていなくて、安全側に倒して運用しているというのが
実状だと思います。
実を言うと、Shibboleth IdP/SPでは証明書の期限をチェックしません(学認メタ
データにその証明書が登録されていることを根拠に期限にかかわらず信頼されます)。
しかし学認に参加している他のShibbolethでないIdP/SPでは有効期限をチェックし
ているかもしれず、また一般的な証明書の解釈として有効期限内であることが期待
されるため証明書の更新をお願いしている次第です。

一方、学認のポリシーとしても証明書が期限切れの場合メタデータから外す等の規定は
存在しないはずです。逆に有効期限に関わらず証明書を信頼しなければならないという
規定もありません。現状の実装をふまえ、その実装の範囲内で連携できることを優先し
た結果だと個人的には思っております。

私の個人的な意見は、短期的にはともかく長期的な視点では、自身のIdP/SPが健全に
運用されていることを示すためにも、ひいては学認の健全性のためにも、有効期限切れ
の証明書がそのままになっていることは望ましくないと考えています。

ご意見ご要望等ありましたらお寄せください。

On 2012/01/15, at 10:40, TSUCHIYA Masatoshi wrote:

> 土屋です.
> 
>>> On Sat, 14 Jan 2012 11:00:52 +0900
>>> xxxxxxx@xxxxxxxxx (Takeshi NISHIMURA) said as follows:
> 
>>> 第2に,apache と idp で証明書のインストール日をずらしている理由を教えて
>>> 頂けませんか.
> 
>> 確かに、Apacheの証明書とIdP/Tomcatの証明書は独立していますので、ここの順
>> 序関係は任意です。有効期限が切れるということでもなければx+15日目に合わせ
>> て作業していただいて問題ありません。
> 
> 確認どうも有難うございます.
> 
> 本学の IdP では,
> 
>    Apache の設定
> 	SSLCertificateFile    /etc/ssl/certs/idp.pem
> 	SSLCertificateKeyFile /etc/ssl/private/idp.key
> 
>    IdP の設定
>        <security:Credential id="IdPCredential" xsi:type="security:X509Filesystem">
>            <security:PrivateKey>/etc/ssl/private/idp.key</security:PrivateKey>
>            <security:Certificate>/etc/ssl/certs/idp.pem</security:Certificate>
>        </security:Credential>
> 
> というように,同じ公開鍵と秘密鍵を参照するように設定している(= 同じファイ
> ルを複数個所に置くのは事故の元)ので,西村さんの推奨手順は実現困難のため,
> 質問させて頂きました.
> 
>> 推奨手順のほうでは、Apacheの証明書が有効期限を過ぎると非常に問題になる
>> (ユーザに警告が表示され先に進めなくなる)ため、早めに余裕をもってできる
>> ようにということで1日目に入れています。
> 
> IdP の公開鍵が期限切れになった場合には,SP などでエラーにならないのでしょ
> うか?
> 
>>> 第3に,学内 SP 向けに key rollover 運用する必要があるので,SP から提出
>>> された新証明書を,IdP に予備証明書として登録する方法を教えていただけな
>>> いでしょうか.
> 
>> 新メタデータの生成方法についてですが、
>> https://www.gakunin.jp/docs/fed/technical/idp/metadata
>> https://www.gakunin.jp/docs/fed/technical/sp/metadata
>> の最後に注意書きとして書きましたように、<KeyDescriptor>を並べる形で新旧の
>> 証明書を並べればOKです。
> 
> どうも有難うございます.KeyDescriptor を2つ並べることができるのですね.
> 
> -- 
> 土屋 雅稔 ( TSUCHIYA Masatoshi )

-- 
西村健
国立情報学研究所 TEL:03-4212-2720