[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00693] Re: [SpringerLink] 複数の証明書がメタデータに登録されている場合にエラーが発生します
- Subject: [upki-fed:00693] Re: [SpringerLink] 複数の証明書がメタデータに登録されている場合にエラーが発生します
- Date: Wed, 25 Sep 2013 12:13:25 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
西村です。
これは学認にとってとても悪い状況で、以前 [upki-fed:00620] でお知らせ
した「有効期限切れの証明書を記載しているとエラーになる」が、実際はよ
り悪く、有効期限に関わらず複数証明書を記載した時点でエラーになるとい
うことです。
現在のところこのような(おそらくOpenAMに由来する)制約があることが
判明しているSPはSpringerLinkだけですので、SpringerLinkを使っていない
機関の方は従来通りのIdP証明書更新手順で大丈夫です。
SpringerLinkをご利用の機関の方は、証明書更新に際して以下の二律背反に
悩まされることになります。
1) SpringerLinkが利用できない期間を短くするために、新旧証明書を両方記
載する期間をできるだけ短くしたい
2) 他のSPで利用できない期間を発生させないためには、新旧証明書を両方記
載する期間をできるだけ長くしたい(学認推奨15日間)
大多数のSPで1日1回はメタデータを更新している(システム運用基準の文言で
言うと「強く推奨」)ことを期待して、現実的な選択肢は両方記載する期間を
1日にする、というところかなと考えているところです。
# 当然、この1日の間はSpringerLinkが利用できません。
代替案、ご意見などありましたらよろしくお願いします。
(2013/09/24 17:26), 国立情報学研究所 学認事務局 星野 wrote:
> 学認情報交換MLメンバー 各位
>
> 国立情報学研究所 学認事務局です。
>
> 今般、SpringerLinkでメタデータ中の証明書の取り扱いに起因した認証エラー
> が発生することがわかりましたのでお知らせいたします。
>
> ■ 認証エラーが発生する条件
> メタデータ中に複数の証明書が登録されている場合に発生します。
>
> 複数の証明書が含まれる状態とは、「IdPの証明書更新手順(※1)」に従って
> 1日目の作業として「学認申請システムにて証明書を追加」を行い、X日目に
> メタデータに反映された時点に該当します。
>
> ■ 認証エラーとなる原因
> SpringerLinkではメタデータ中に登録されている複数の証明書を扱えないた
> め。
>
> ■ 対処方法
> メタデータに登録する証明書を1つにすることで認証エラーは回避できます。
> しかし、新証明書を含むメタデータが利用対象のSPに伝播していない場合に
> は他のSPで認証エラーが発生する可能性があります。
>
> IdPの証明書更新において、SpringerLinkの認証エラーを回避するためにど
> のように対応するのがよいか検討中です。
>
>
> 以上が認証エラーに関する詳細です。
>
>
> IdPの証明書更新中で、すでに手順の「X+15日目」を過ぎているIdP管理者様に
> おかれましては、SpringerLinkでの認証エラーを回避するため、続く作業であ
> る「IdPに対して証明書の更新」・「学認申請システムから古い証明書を削除」
> の対応を進めていただければと考えています。
>
> ※1 (参考情報) IdPの証明書更新手順
> https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/IdP+Key+Rollover
--
西村健
国立情報学研究所 TEL:03-4212-2890