[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00834] 既構築Shibboleth IdPでのshibboleth-jceからtomcat6-dta-sslへの移行



みなさま
西村です。

以前([upki-fed:00513])お知らせしたことの再掲ですが、学認の技術ガイドを
更新し、バックチャネル(ダイレクトSOAP接続)で利用するライブラリを
shibboleth-jce から tomcat6-dta-ssl に変更しました。

shibboleth-jce ライブラリは今後サポートされませんので、すでにShibboleth
で運用されているIdPについても、以下の手順で移行することをお勧めします。

どうぞよろしくお願いいたします。

shibboleth-jceからtomcat6-dta-sslへの移行手順:

1. tomcat6-dta-ssl-1.0.0.jarをダウンロードする。
   ダウンロードURL: https://build.shibboleth.net/nexus/content/repositories/releases/edu/internet2/middleware/security/tomcat6/tomcat6-dta-ssl/1.0.0/tomcat6-dta-ssl-1.0.0.jar
   PGP署名(https://build.shibboleth.net/nexus/content/repositories/releases/edu/internet2/middleware/security/tomcat6/tomcat6-dta-ssl/1.0.0/tomcat6-dta-ssl-1.0.0.jar.asc)
   もしくは以下のSHA-256ハッシュ値、もしくはダウンロードが正しいサイトから安全な経路で行なわれたことを確認すること。

   $ sha256sum tomcat6-dta-ssl-1.0.0.jar
   20d82d71cf9fc86197dd1c4c5dae3899efbf00e0706bbfe4d26618b56788d219  tomcat6-dta-ssl-1.0.0.jar

2. ダウンロードしたtomcat6-dta-ssl-1.0.0.jarを $CATALINA_HOME/lib/ に置く。
3. $CATALINA_HOME/conf/server.xml の以下の部分を、

   <Connector port="8443"
              maxHttpHeaderSize="8192"
              maxSpareThreads="75"
              scheme="https"
              secure="true"
              clientAuth="want"
              SSLEnabled="true"
              sslProtocol="TLS"
              keystoreFile="/opt/shibboleth-idp/credentials/keystore.jks"
              keystorePass="キーストアパスワード"
              truststoreFile="/opt/shibboleth-idp/credentials/keystore.jks"
              truststorePass="キーストアパスワード"
              truststoreAlgorithm="DelegateToApplication"/>

   以下のように置き換える。

   <Connector port="8443"
             protocol="org.apache.coyote.http11.Http11Protocol"
             SSLImplementation="edu.internet2.middleware.security.tomcat6.DelegateToApplicationJSSEImplementation"
             scheme="https"
             SSLEnabled="true"
             clientAuth="want"
             keystoreFile="/opt/shibboleth-idp/credentials/keystore.jks"
             keystorePass="キーストアパスワード" />

4. $JAVA_HOME/jre/lib/security/java.security の以下の記述を削除する。

   security.provider.9=edu.internet2.middleware.shibboleth.DelegateToApplicationProvider

5. $JAVA_HOME/jre/lib/ext/shibboleth-jce-1.1.0.jar を削除する。
6. Tomcatを再起動する。

-- 
西村健
国立情報学研究所 TEL:03-4212-2890