[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00427] Re: メタデータ記載の証明書更新手順(key rollover) IdP編

Subject: [upki-fed:00427] Re: メタデータ記載の証明書更新手順(key rollover) IdP編
Date: Fri, 13 Jan 2012 17:25:45 +0900
From: TSUCHIYA Masatoshi <xxxxxxxx@xxxxxxxxxxxxx>

初めまして，土屋と申します．

テストフェデレーションに参加中の豊橋技術科学大学の IdP 運用を担当してい
ます．よろしくお願いします．

3点質問させてください．第1に，

    https://www.gakunin.jp/ml-archives/upki-fed/msg00237.html

によれば，shib1.3 接続でも front channel のみでいけますよ，ということなの
で back channel の設定はまだしていません．この場合，「※3 keystore.jks を
更新」の手順は不要だろうと判断しているのですが，その理解で良いでしょうか?

第2に，apache と idp で証明書のインストール日をずらしている理由を教えて
頂けませんか．つまり，

    1日目
        証明書取得
        学認申請システムにて証明書を追加（予備の欄に）

    X+15日目
        Apache と IdP に対して証明書の更新
        問題がなければ，学認申請システムから古い証明書を削除

という手順ではまずい理由を教えて頂けないでしょうか．

第3に，学内 SP 向けに key rollover 運用する必要があるので，SP から提出さ
れた新証明書を，IdP に予備証明書として登録する方法を教えていただけないで
しょうか．

>> On Thu, 15 Dec 2011 17:59:20 +0900
>> xxxxxxx@xxxxxxxxx (Takeshi NISHIMURA) said as follows:

>これまでもいくつか問い合わせを受けております、サーバ証明書の有効
>期限が切れる場合の新しい証明書への切り替え手順をご紹介します。

>IdPの証明書更新手順:

>1日目　更新用証明書発行
> 鍵およびCSR生成、申請、証明書受領
> （詳細は各機関の登録担当者に確認のこと）
> ＜証明書取得＞
>1日目　Apacheに対して証明書の更新（※1）
>1日目　学認申請システムにて証明書を追加（予備の欄に）
> ＜承認待ち＞
>X日目　承認、学認メタデータに反映
> （ほとんどの場合その日のうちに承認されますが、そうでない場合
> を考慮してX日目としています）
> ＜メタデータに追加＞
> ＜メタデータ伝播待ち＞
>X+15日目　IdPに対して証明書の更新（※2）
>X+15日目　問題がなければ，学認申請システムから古い証明書を削除
> （ついでに、新しい証明書を予備の欄から移動） 
> これが承認されれば完了
> ＜メタデータから旧証明書を削除＞

>※1「Apacheに対して証明書の更新」の手順
>1. /etc/pki/tls/private/server.key
> /etc/pki/tls/certs/server.crt
> を新証明書のもので上書きする
> 参考: https://www.gakunin.jp/docs/fed/technical/idp/customize/certpj-metadata
>2. httpdを再起動する

>※2「IdPに対して証明書の更新」の手順
>1. /opt/shibboleth-idp/credentials/server.key
> /opt/shibboleth-idp/credentials/server.crt
> を新証明書のもので上書きする
> 参考: https://www.gakunin.jp/docs/fed/technical/idp/customize/certpj-metadata
>2. /opt/shibboleth-idp/credentials/keystore.jks
> を更新する（※3）
>3. Tomcatを再起動する

>※3 「keystore.jksを更新」の手順
>https://www.gakunin.jp/docs/fed/technical/idp/customize/certpj-metadata#back-channel
>の「１．キーストアの設定」にある手順のうち、最後の2つを実行して、
>サーバ証明書の部分を更新します。具体的には以下のような手順になります。
>-----
># cd /opt/shibboleth-idp/credentials
># openssl pkcs12 -export -out pkcs12.p12 -in サーバ証明書.crt -inkey サーバ秘密鍵.key -name サーバ名
>（ここで聞かれるエクスポートパスワードにはキーストアパスワードと同じものを指定してください）
># keytool -importkeystore -srckeystore pkcs12.p12 -destkeystore keystore.jks \
> -srcstoretype pkcs12 -deststoretype jks -srcalias サーバ名 -destalias サーバ名 \
> -storepass キーストアパスワード
>（ここで同じ名前のエントリが既にあり上書きするか聞かれますので yes と入力してください）
>-----
>なお、「キーストアパスワード」が不明な場合は/usr/java/tomcat/conf/server.xml
>を参照してください。

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )

Follow-Ups:
- [upki-fed:00428] Re: メタデータ記載の証明書更新手順(key rollover) IdP編
  - From: Takeshi NISHIMURA

References:
- [upki-fed:00425] メタデータ記載の証明書更新手順(key rollover) IdP編
  - From: Takeshi NISHIMURA

Prev by Date: [upki-fed:00426] メタデータ記載の証明書更新手順(key rollover) SP編
Next by Date: [upki-fed:00428] Re: メタデータ記載の証明書更新手順(key rollover) IdP編
Previous by thread: [upki-fed:00425] メタデータ記載の証明書更新手順(key rollover) IdP編
Next by thread: [upki-fed:00428] Re: メタデータ記載の証明書更新手順(key rollover) IdP編
Index(es):
- Date
- Thread