[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00461] Re: メタデータ記載の証明書更新手順(key rollover) IdP編



豊橋技術科学大学の土屋です.

テストフェデレーションですが,学内のローカルフェデレーションを含む環境で
IdP key rollover に成功したので手順を紹介します.

1日目
   新証明書取得
   学認申請システムにて新証明書を追加(予備の欄に)
   学内ローカルフェデレーションの metadata に新証明書を追加して,SP のみに配布.

X日目
   申請が承認される
   学認メタデータの伝搬待ち

X+15日目
   Apache と IdP に対して新証明書をインストール(※1および※2)
   問題がなければ,学認申請システムから旧証明書を削除
   問題がなければ,学内ローカルフェデレーションの metadata から旧証明書を削除・配布.

ところで,以下の※2の部分の手順なのですが,
http://www.gakunin.jp/docs/fed/technical/idp/customize/relying-party の記
述にしたがって書くと,/opt/shibboleth-idp/metadata/some-metadata.xml の更
新も必要なのではないかと思うのですが,いかがでしょうか?

>> On Thu, 15 Dec 2011 17:59:20 +0900
>> xxxxxxx@xxxxxxxxx (Takeshi NISHIMURA) said as follows:

>これまでもいくつか問い合わせを受けております、サーバ証明書の有効
>期限が切れる場合の新しい証明書への切り替え手順をご紹介します。
>ポイントはメタデータ上の記載変更とIdP/SPの設定変更の間にタイムラグ
>を置いて、メタデータ伝播中にもIdP/SPが利用できない期間が発生しない
>ようにしているところです。
>※ 以下の記述は学認ウェブサイトの技術ガイドに従って構築した
> 場合の記述です。そうでない場合は適宜読み替えてください。

>IdPの証明書更新手順:

>1日目 更新用証明書発行
> 鍵およびCSR生成、申請、証明書受領
> (詳細は各機関の登録担当者に確認のこと)
> <証明書取得>
>1日目 Apacheに対して証明書の更新(※1)
>1日目 学認申請システムにて証明書を追加(予備の欄に)
> <承認待ち>
>X日目 承認、学認メタデータに反映
> (ほとんどの場合その日のうちに承認されますが、そうでない場合
> を考慮してX日目としています)
> <メタデータに追加>
> <メタデータ伝播待ち>
>X+15日目 IdPに対して証明書の更新(※2)
>X+15日目 問題がなければ,学認申請システムから古い証明書を削除
> (ついでに、新しい証明書を予備の欄から移動) 
> これが承認されれば完了
> <メタデータから旧証明書を削除>

>※1「Apacheに対して証明書の更新」の手順
>1. /etc/pki/tls/private/server.key
> /etc/pki/tls/certs/server.crt
> を新証明書のもので上書きする
> 参考: https://www.gakunin.jp/docs/fed/technical/idp/customize/certpj-metadata
>2. httpdを再起動する

>※2「IdPに対して証明書の更新」の手順
>1. /opt/shibboleth-idp/credentials/server.key
> /opt/shibboleth-idp/credentials/server.crt
> を新証明書のもので上書きする
> 参考: https://www.gakunin.jp/docs/fed/technical/idp/customize/certpj-metadata
>2. /opt/shibboleth-idp/credentials/keystore.jks
> を更新する(※3)
>3. Tomcatを再起動する

>※3 「keystore.jksを更新」の手順
>https://www.gakunin.jp/docs/fed/technical/idp/customize/certpj-metadata#back-channel
>の「1.キーストアの設定」にある手順のうち、最後の2つを実行して、
>サーバ証明書の部分を更新します。具体的には以下のような手順になります。
>-----
># cd /opt/shibboleth-idp/credentials
># openssl pkcs12 -export -out pkcs12.p12 -in サーバ証明書.crt -inkey サーバ秘密鍵.key -name サーバ名
>(ここで聞かれるエクスポートパスワードにはキーストアパスワードと同じものを指定してください)
># keytool -importkeystore -srckeystore pkcs12.p12 -destkeystore keystore.jks \
> -srcstoretype pkcs12 -deststoretype jks -srcalias サーバ名 -destalias サーバ名 \
> -storepass キーストアパスワード
>(ここで同じ名前のエントリが既にあり上書きするか聞かれますので yes と入力してください)
>-----
>なお、「キーストアパスワード」が不明な場合は/usr/java/tomcat/conf/server.xml
>を参照してください。

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )