[upki-fed:00693] Re: [SpringerLink] 複数の証明書がメタデータに登録されている場合にエラーが発生します

[Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>]

西村です。

これは学認にとってとても悪い状況で、以前 [upki-fed:00620] でお知らせ
した「有効期限切れの証明書を記載しているとエラーになる」が、実際はよ
り悪く、有効期限に関わらず複数証明書を記載した時点でエラーになるとい
うことです。

現在のところこのような（おそらくOpenAMに由来する）制約があることが
判明しているSPはSpringerLinkだけですので、SpringerLinkを使っていない
機関の方は従来通りのIdP証明書更新手順で大丈夫です。

SpringerLinkをご利用の機関の方は、証明書更新に際して以下の二律背反に
悩まされることになります。
1) SpringerLinkが利用できない期間を短くするために、新旧証明書を両方記
   載する期間をできるだけ短くしたい
2) 他のSPで利用できない期間を発生させないためには、新旧証明書を両方記
   載する期間をできるだけ長くしたい（学認推奨15日間）

大多数のSPで1日1回はメタデータを更新している（システム運用基準の文言で
言うと「強く推奨」）ことを期待して、現実的な選択肢は両方記載する期間を
1日にする、というところかなと考えているところです。
# 当然、この1日の間はSpringerLinkが利用できません。

代替案、ご意見などありましたらよろしくお願いします。

(2013/09/24 17:26), 国立情報学研究所　学認事務局　星野 wrote:
> 学認情報交換MLメンバー　各位
> 
> 国立情報学研究所 学認事務局です。
> 
> 今般、SpringerLinkでメタデータ中の証明書の取り扱いに起因した認証エラー
> が発生することがわかりましたのでお知らせいたします。
> 
> ■ 認証エラーが発生する条件
>     メタデータ中に複数の証明書が登録されている場合に発生します。
> 
>     複数の証明書が含まれる状態とは、「IdPの証明書更新手順(※1)」に従って
>     1日目の作業として「学認申請システムにて証明書を追加」を行い、X日目に
>     メタデータに反映された時点に該当します。
> 
> ■ 認証エラーとなる原因
>     SpringerLinkではメタデータ中に登録されている複数の証明書を扱えないた
>     め。
> 
> ■ 対処方法
>     メタデータに登録する証明書を1つにすることで認証エラーは回避できます。
>     しかし、新証明書を含むメタデータが利用対象のSPに伝播していない場合に
>     は他のSPで認証エラーが発生する可能性があります。
> 
>     IdPの証明書更新において、SpringerLinkの認証エラーを回避するためにど
>     のように対応するのがよいか検討中です。
> 
> 
> 以上が認証エラーに関する詳細です。
> 
> 
> IdPの証明書更新中で、すでに手順の「X+15日目」を過ぎているIdP管理者様に
> おかれましては、SpringerLinkでの認証エラーを回避するため、続く作業であ
> る「IdPに対して証明書の更新」・「学認申請システムから古い証明書を削除」
> の対応を進めていただければと考えています。
> 
> ※1 (参考情報) IdPの証明書更新手順
>      https://meatwiki.nii.ac.jp/confluence/display/GakuNinShibInstall/IdP+Key+Rollover

-- 
西村健
国立情報学研究所 TEL:03-4212-2890