[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00473] Re: メタデータ記載の証明書更新手順(key rollover) IdP編

Subject: [upki-fed:00473] Re: メタデータ記載の証明書更新手順(key rollover) IdP編
Date: Wed, 20 Jun 2012 23:32:14 +0900
From: TSUCHIYA Masatoshi <xxxxxxxx@xxxxxx>

土屋です．

>> On Thu, 24 May 2012 14:35:50 +0900
>> xxxxxxx@xxxxxxxxx (Takeshi NISHIMURA) said as follows:

>> ところで，以下の※2の部分の手順なのですが，
>> http://www.gakunin.jp/docs/fed/technical/idp/customize/relying-party の記
>> 述にしたがって書くと，/opt/shibboleth-idp/metadata/some-metadata.xml の更
>> 新も必要なのではないかと思うのですが，いかがでしょうか?

>some-metadata.xmlはバッキングファイル、つまりダウンロード時のバック
>アップで、メタデータが正常に取得できている状況では参照されることは
>ありません。
>また、※2の時点では更新されたメタデータ（証明書2つ）がすでにダウン
>ロードされているはずですので、更新の必要はないと思われるのですが、
>いかがでしょうか？

すみません，間違えました．

http://www.gakunin.jp/docs/fed/technical/idp/customize/relying-party
の記述では，コメントアウトされている部分なのですが，

    <!-- ←自動ダウンロードのメタデータを参照する為、コメントアウト
    <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:ResourceBackedMetadataProvider">
        <metadata:MetadataResource xsi:type="resource:FilesystemResource" file="/opt/shibboleth-idp/metadata/idp-metadata.xml"/>
    </metadata:MetadataProvider>
    --> 

当方では，この部分をコメントアウトしていません．というのは，学認に参加す
る前に，ローカルフェデレーションの IdP として動作を始めたからです．

そのため，

    /opt/shibboleth-idp/metadata/idp-metadata.xml

の内容を修正する必要があるはずだと思ったという話です．

しかし，よくよく考えてみると，

    <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:ResourceBackedMetadataProvider">
        <metadata:MetadataResource xsi:type="resource:FilesystemResource" file="/opt/shibboleth-idp/metadata/idp-metadata.xml"/>
    </metadata:MetadataProvider>
    <metadata:MetadataProvider id="URLMD" xsi:type="metadata:FileBackedHTTPMetadataProvider"
                      metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"
                      backingFile="/opt/shibboleth-idp/metadata/some-metadata.xml">
        <metadata:MetadataFilter xsi:type="metadata:ChainingFilter">
            <metadata:MetadataFilter xsi:type="metadata:RequiredValidUntil"
                            maxValidityInterval="1296000" />
            <metadata:MetadataFilter xsi:type="metadata:SignatureValidation"
                            trustEngineRef="shibboleth.MetadataTrustEngine"
                            requireSignedMetadata="true" />
                <metadata:MetadataFilter xsi:type="metadata:EntityRoleWhiteList">
                <metadata:RetainedRole>samlmd:SPSSODescriptor</metadata:RetainedRole>
            </metadata:MetadataFilter>
        </metadata:MetadataFilter>
    </metadata:MetadataProvider>

のように，ローカルファイルのメタデータと学認のメタデータを両方読み込む設
定にしていると，同じ公開鍵を持つ EntityDescriptor が2つ存在してしまうはず
です．今のところ本学ではトラブルは出ていないのですが，これっていいのかな
あ‥‥．

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )

Follow-Ups:
- [upki-fed:00477] Re: メタデータ記載の証明書更新手順(key rollover) IdP編
  - From: Takeshi NISHIMURA

References:
- [upki-fed:00425] メタデータ記載の証明書更新手順(key rollover) IdP編
  - From: Takeshi NISHIMURA
- [upki-fed:00461] Re: メタデータ記載の証明書更新手順(key rollover) IdP編
  - From: TSUCHIYA Masatoshi
- [upki-fed:00465] Re: メタデータ記載の証明書更新手順(key rollover) IdP編
  - From: Takeshi NISHIMURA

Prev by Date: [upki-fed:00472] Re: Shibboleth SP構築の自動化
Next by Date: [upki-fed:00474] how to sign metadata?
Previous by thread: [upki-fed:00465] Re: メタデータ記載の証明書更新手順(key rollover) IdP編
Next by thread: [upki-fed:00477] Re: メタデータ記載の証明書更新手順(key rollover) IdP編
Index(es):
- Date
- Thread