[upki-fed:01375] 【事後リマインド】テストフェデレーションにおけるメタデータ署名用証明書の切り替えについて(2020/12/17)

[Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>]

テストフェデレーションご利用のみなさま、
NIIの西村です。

すでにご案内の通り、先週12月17日よりテストフェデレーションメタデータ
署名用証明書が切り替わっております。もしテストフェデレーションでの認証連
携でエラーが発生しているという方がいらっしゃいましたらまずはこの点を
ご確認ください。
手順書に記載しておりますが、Shibboleth IdP 3.2.x, 3.3.xでは署名用証明書
が未知のものになった場合直前に保持していたメタデータ情報を破棄してしまう
という致命的なバグが発覚しております。該当IdPについては12月17日以降すぐ
に問題が発生している可能性がございます。

なお、テストフェデレーションに参加したまま放置されているIdP/SPが多いこと
から、変更申請等のないIdP/SPを自動的に削除ないしテストフェデレーションメ
タデータから外すことを検討しております。進捗ありましたら適宜お知らせいた
します。
※念の為、運用フェデレーションIdP/SPについては上記対象外です


On 2020/12/04 17:05, xxxxxxxxxxxxxx@xxxxxxxxx wrote:
> 学認のテストフェデレーションをご利用のみなさま
>
> お世話になっております。国立情報学研究所学認事務局です。
>
> 11月30日に本メーリングリストにてお知らせしました通り、
> テストフェデレーションのメタデータ署名用証明書の切り替えを
> 12月17日に実施いたします。
>
> 新証明書の情報は以下の通りです。本メールにも添付しております。
>
> 公開URL：https://metadata.gakunin.nii.ac.jp/gakunin-test-signer-2020.cer
> SHA256 Fingerprint=FA:11:11:5B:EC:13:4D:55:85:AF:60:32:E1:6C:01:01:EF:9C:A0:6B:17:8C:8B:9C:7F:2B:69:41:EB:68:30:1E
>
> また、Shibboleth IdP/SPにおける設定変更方法を下記ページで
> ご案内しております。
> 一時的に新旧2つの証明書を併記することで、本日から12月17日までの
> いつでも問題なく設定変更いただくことが可能です。
>
> IdP設定変更手順: https://meatwiki.nii.ac.jp/confluence/x/WZcHB
> SP設定変更手順: https://meatwiki.nii.ac.jp/confluence/x/W5cHB
>
>
> 以下、前回（11月30日付）のお知らせを再掲いたします。
> ---------------------------------------
> 自機関でテストフェデレーションをご利用中のIdP/SPをお持ちの場合は、
> 認証連携にエラーが発生しないように、少なくとも12月24日までには
> 当該IdP/SPの設定変更をお願いいたします。
>
> テストフェデレーションにおけるメタデータ署名用証明書につきまして、
> 現行のものが2021年1月に期限切れとなりますので
>
>      12月17日 10:00
>
> に新証明書への切り替えを行います。
>
> この日以降公開されるテストフェデレーションメタデータには新証明書による
> 署名が付与されますので、現行の証明書では署名検証ができない、
> すなわちIdP/SPの設定がそのままだとこの日以降新規メタデータの取得が
> できなくなります。
>
> ただし、一般的に当該IdP/SPに直ちに影響が出るということはなく、
> 直前に取得したメタデータの有効期限（取得した日から1〜2週間程度）まで
> そのメタデータに基づいて動作し、その後全てのIdP/SPと連携できない
> 状態になります。
>
> 今週中に新証明書の情報およびShibboleth IdP/SPにおける更新方法を
> ご案内する予定です。どうぞよろしくお願いいたします。
> ---------------------------------------

--
西村健
国立情報学研究所 TEL:03-4212-2890