[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00642] Re: 属性値の確認方法ついて



西村です。

さしあたり有効期限は無視していただいてかまいません。学認申請システムで
入力したものとIdP側で設定しているものが一致しているかどうかが重要です。

> のページを参考に設定を変更したところ、shibboleth が起動できなくなりました。

Shibboleth IdPのログ
/opt/shibboleth-idp/logs/idp-process.log
にエラーが記録されていると思いますので、それを示していただければ何か
しら有効な回答ができると思います。
証明書・秘密鍵関係で起動できないといえば、秘密鍵がパスフレーズで保護されている
ことが思い当たります。
もしパスフレーズで保護されている場合は、パスフレーズをrelying-party.xml
に記述する必要があります。(ダイレクトな説明ではありませんが)下記ページの
「IdP起動時のエラー」のところにパスフレーズを記述する例が記載されて
いますので、参考にしていただければと思います。
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=10227010

> IdPメタデータの変更は学認申請システムより行うのでしょうか?

はい。運用フェデレーションについては
https://office.gakunin.nii.ac.jp/ProdFed/
より、前回登録したePPNに対応するIdP(おそらくOpenIdPですね)
およびIDでログインし、登録されているIdPの詳細画面の一番下、
「変更申請」リンクより変更できます。
今回は「証明書」欄の変更になります。

ご不明な点がありましたらお知らせください。

On 2013/05/30, at 22:19, 福田 基 <xxx@xxxxxxxxxxxxxxx> wrote:

> 中部大学の福田です。
> 
> 西村さま、返答ありがとうございます。
> 
> (2013/05/30 17:28), Takeshi NISHIMURA wrote:
>> 福田様
>> 西村です。
>> 
>> 返答遅れましてすみません。
>> 
>>> opensaml::FatalProfileException at (https://attrviewer20.gakunin.nii.ac.jp/Shibboleth.sso/SAML2/POST)
>>> Message was signed, but signature could not be verified.
>> 
>> これはIdPメタデータに記載されている証明書と、実際にIdPが使用している
>> 証明書が異なる場合に発生します。
>> 
>> 前者は、参加申請時に学認申請システムに入力した証明書です。
>> 
>> 後者は、学認技術ガイドで言うと
>> 
>> にあるようにrelying-party.xmlに設定した証明書です。
>> 
>> ただ、前者についてはテストフェデレーションに登録されている証明書と
>> 同じもののようですので、もし運用フェデレーションに移行するに当たって
>> IdPの設定を変えていないということであれば別の要因を考えなければ
>> なりません。
>> 
>> ひとまず上記設定をご確認ください。
> 
> 3月にサーバ証明書の期限が切れたので更新していました。httpdの方は更新しましたが
> shibboleth 側はそのままになっていました。 
> 早速、https://www.gakunin.jp/docs/fed/technical/idp/customize/certpj-metadata
> のページを参考に設定を変更したところ、shibboleth が起動できなくなりました。
> IdPメタデータの変更は学認申請システムより行うのでしょうか?
> 
> 
> -- 
> Motoi Fukuda        xxx@xxxxxxxxxxxxxxx

-- 
西村健
国立情報学研究所 TEL:03-4212-2890