[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00473] Re: メタデータ記載の証明書更新手順(key rollover) IdP編



土屋です.

>> On Thu, 24 May 2012 14:35:50 +0900
>> xxxxxxx@xxxxxxxxx (Takeshi NISHIMURA) said as follows:

>> ところで,以下の※2の部分の手順なのですが,
>> http://www.gakunin.jp/docs/fed/technical/idp/customize/relying-party の記
>> 述にしたがって書くと,/opt/shibboleth-idp/metadata/some-metadata.xml の更
>> 新も必要なのではないかと思うのですが,いかがでしょうか?

>some-metadata.xmlはバッキングファイル、つまりダウンロード時のバック
>アップで、メタデータが正常に取得できている状況では参照されることは
>ありません。
>また、※2の時点では更新されたメタデータ(証明書2つ)がすでにダウン
>ロードされているはずですので、更新の必要はないと思われるのですが、
>いかがでしょうか?

すみません,間違えました.

http://www.gakunin.jp/docs/fed/technical/idp/customize/relying-party
の記述では,コメントアウトされている部分なのですが,

    <!-- ←自動ダウンロードのメタデータを参照する為、コメントアウト
    <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:ResourceBackedMetadataProvider">
        <metadata:MetadataResource xsi:type="resource:FilesystemResource" file="/opt/shibboleth-idp/metadata/idp-metadata.xml"/>
    </metadata:MetadataProvider>
    --> 

当方では,この部分をコメントアウトしていません.というのは,学認に参加す
る前に,ローカルフェデレーションの IdP として動作を始めたからです.

そのため,

    /opt/shibboleth-idp/metadata/idp-metadata.xml

の内容を修正する必要があるはずだと思ったという話です.

しかし,よくよく考えてみると,

    <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:ResourceBackedMetadataProvider">
        <metadata:MetadataResource xsi:type="resource:FilesystemResource" file="/opt/shibboleth-idp/metadata/idp-metadata.xml"/>
    </metadata:MetadataProvider>
    <metadata:MetadataProvider id="URLMD" xsi:type="metadata:FileBackedHTTPMetadataProvider"
                      metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"
                      backingFile="/opt/shibboleth-idp/metadata/some-metadata.xml">
        <metadata:MetadataFilter xsi:type="metadata:ChainingFilter">
            <metadata:MetadataFilter xsi:type="metadata:RequiredValidUntil"
                            maxValidityInterval="1296000" />
            <metadata:MetadataFilter xsi:type="metadata:SignatureValidation"
                            trustEngineRef="shibboleth.MetadataTrustEngine"
                            requireSignedMetadata="true" />
                <metadata:MetadataFilter xsi:type="metadata:EntityRoleWhiteList">
                <metadata:RetainedRole>samlmd:SPSSODescriptor</metadata:RetainedRole>
            </metadata:MetadataFilter>
        </metadata:MetadataFilter>
    </metadata:MetadataProvider>

のように,ローカルファイルのメタデータと学認のメタデータを両方読み込む設
定にしていると,同じ公開鍵を持つ EntityDescriptor が2つ存在してしまうはず
です.今のところ本学ではトラブルは出ていないのですが,これっていいのかな
あ‥‥.

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )