[upki-fed:00429] Re: メタデータ記載の証明書更新手順(key rollover) IdP編

[TSUCHIYA Masatoshi <xxxxxxxx@xxxxxx>]

土屋です．

>> On Sat, 14 Jan 2012 11:00:52 +0900
>> xxxxxxx@xxxxxxxxx (Takeshi NISHIMURA) said as follows:

>> 第2に，apache と idp で証明書のインストール日をずらしている理由を教えて
>> 頂けませんか．

>確かに、Apacheの証明書とIdP/Tomcatの証明書は独立していますので、ここの順
>序関係は任意です。有効期限が切れるということでもなければx+15日目に合わせ
>て作業していただいて問題ありません。

確認どうも有難うございます．

本学の IdP では，

    Apache の設定
	SSLCertificateFile    /etc/ssl/certs/idp.pem
	SSLCertificateKeyFile /etc/ssl/private/idp.key

    IdP の設定
        <security:Credential id="IdPCredential" xsi:type="security:X509Filesystem">
            <security:PrivateKey>/etc/ssl/private/idp.key</security:PrivateKey>
            <security:Certificate>/etc/ssl/certs/idp.pem</security:Certificate>
        </security:Credential>

というように，同じ公開鍵と秘密鍵を参照するように設定している(= 同じファイ
ルを複数個所に置くのは事故の元)ので，西村さんの推奨手順は実現困難のため，
質問させて頂きました．

>推奨手順のほうでは、Apacheの証明書が有効期限を過ぎると非常に問題になる
>（ユーザに警告が表示され先に進めなくなる）ため、早めに余裕をもってできる
>ようにということで1日目に入れています。

IdP の公開鍵が期限切れになった場合には，SP などでエラーにならないのでしょ
うか?

>> 第3に，学内 SP 向けに key rollover 運用する必要があるので，SP から提出
>> された新証明書を，IdP に予備証明書として登録する方法を教えていただけな
>> いでしょうか．

>新メタデータの生成方法についてですが、
>https://www.gakunin.jp/docs/fed/technical/idp/metadata
>https://www.gakunin.jp/docs/fed/technical/sp/metadata
>の最後に注意書きとして書きましたように、<KeyDescriptor>を並べる形で新旧の
>証明書を並べればOKです。

どうも有難うございます．KeyDescriptor を2つ並べることができるのですね．

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )