[upki-fed:00425] メタデータ記載の証明書更新手順(key rollover) IdP編

[Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>]

西村です。

これまでもいくつか問い合わせを受けております、サーバ証明書の有効
期限が切れる場合の新しい証明書への切り替え手順をご紹介します。
ポイントはメタデータ上の記載変更とIdP/SPの設定変更の間にタイムラグ
を置いて、メタデータ伝播中にもIdP/SPが利用できない期間が発生しない
ようにしているところです。
※ 以下の記述は学認ウェブサイトの技術ガイドに従って構築した
　 場合の記述です。そうでない場合は適宜読み替えてください。

IdPの証明書更新手順:

1日目　更新用証明書発行
 　　　鍵およびCSR生成、申請、証明書受領
 　　　（詳細は各機関の登録担当者に確認のこと）
 　　　＜証明書取得＞
1日目　Apacheに対して証明書の更新（※1）
1日目　学認申請システムにて証明書を追加（予備の欄に）
 　　　＜承認待ち＞
X日目　承認、学認メタデータに反映
 　　　（ほとんどの場合その日のうちに承認されますが、そうでない場合
 　　　　を考慮してX日目としています）
 　　　＜メタデータに追加＞
 　　　＜メタデータ伝播待ち＞
X+15日目　IdPに対して証明書の更新（※2）
X+15日目　問題がなければ，学認申請システムから古い証明書を削除
    　　　（ついでに、新しい証明書を予備の欄から移動） 
    　　　これが承認されれば完了
    　　　＜メタデータから旧証明書を削除＞

※1「Apacheに対して証明書の更新」の手順
1. /etc/pki/tls/private/server.key
   /etc/pki/tls/certs/server.crt
   を新証明書のもので上書きする
   参考: https://www.gakunin.jp/docs/fed/technical/idp/customize/certpj-metadata
2. httpdを再起動する

※2「IdPに対して証明書の更新」の手順
1. /opt/shibboleth-idp/credentials/server.key
   /opt/shibboleth-idp/credentials/server.crt
   を新証明書のもので上書きする
   参考: https://www.gakunin.jp/docs/fed/technical/idp/customize/certpj-metadata
2. /opt/shibboleth-idp/credentials/keystore.jks
   を更新する（※3）
3. Tomcatを再起動する

※3 「keystore.jksを更新」の手順
https://www.gakunin.jp/docs/fed/technical/idp/customize/certpj-metadata#back-channel
の「１．キーストアの設定」にある手順のうち、最後の2つを実行して、
サーバ証明書の部分を更新します。具体的には以下のような手順になります。
-----
# cd /opt/shibboleth-idp/credentials
# openssl pkcs12 -export -out pkcs12.p12 -in サーバ証明書.crt -inkey サーバ秘密鍵.key -name サーバ名
（ここで聞かれるエクスポートパスワードにはキーストアパスワードと同じものを指定してください）
# keytool -importkeystore -srckeystore pkcs12.p12 -destkeystore keystore.jks \
 -srcstoretype pkcs12 -deststoretype jks -srcalias サーバ名 -destalias サーバ名 \
 -storepass キーストアパスワード
（ここで同じ名前のエントリが既にあり上書きするか聞かれますので yes と入力してください）
-----
なお、「キーストアパスワード」が不明な場合は/usr/java/tomcat/conf/server.xml
を参照してください。

-- 
西村健
国立情報学研究所 TEL:03-4212-2720