SPのメタデータ署名証明書移行手順(Procedure for Transition of Metadata Signing Certificate for SPs)

SPの設定変更手順

新しい署名鍵で署名されたフェデレーションメタデータおよび新しい検証用証明書が公開されておりますので、本手順に従い設定変更を実施してください。

新しい検証用証明書を以下のURLからダウンロードして「/etc/shibboleth/cert/gakunin-signer-2017.cer」に置きます。
https://metadata.gakunin.nii.ac.jp/gakunin-signer-2017.cer

/etc/shibboleth/shibboleth2.xml を次のように編集します。

1. <MetadataProvider>のuriに指定するメタデータダウンロードURLを以下の通り、末尾に ?generation=2 を付加します。

   差分（unified diff形式）

   <MetadataProvider type="XML" validate="true" - uri="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml" + uri="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml?generation=2" backingFilePath="federation-metadata.xml" reloadInterval="7200"> (......)

2. <MetadataFilter>のcertifiateに指定する署名検証用証明書のファイル名を以下の通り、2010 の部分を 2017 に修正します。

   差分（unified diff形式）

   <MetadataProvider type="XML" validate="true"   (......) backingFilePath="federation-metadata.xml" reloadInterval="7200"> - <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2010.cer"/> + <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2017.cer"/> (......) </MetadataProvider>

shibdを再起動し、設定を再読み込みします。

新しい署名鍵で署名されたメタデータがダウンロードされているか、保存されたメタデータファイル（/var/cache/shibboleth/federation-metadata.xmlもしくはshibboleth2.xmlの<MetadataProvider>のbackingFilePathで指定されたパス）を確認してください。
まず、ファイルの更新日時を確認し、上記再起動コマンド実行より後であることを確認してください。
次に、メタデータファイルの先頭から検索し、最初にマッチする</ds:X509Certificate>の直前の行が以下のようになっていれば成功です。

以下のようになっている場合は古い署名鍵で署名されたものですので、ログ（/var/log/shibboleth/shibd.log）でメタデータのダウンロードが行われているか、ダウンロードURLが ?generation=2 付きになっているかを確認してください。

また、エラーログ（/var/log/shibboleth/shibd_warn.log）に以下のように記録されている場合は署名検証に失敗しておりますので、shibboleth2.xmlの証明書ファイルの指定が -2017 のほうになっているか、および上述の証明書のフィンガープリントを今一度確認してください。

Procedure for Changing the SP Configuration to Use New GakuNin Signing Certificate

As new federation metadata signed by a new signing key and corresponding certificate were released, please change the configuration according to the procedure outlined here.

Download the new signing certificate from the URL below and place it in: /etc/shibboleth/cert/gakunin-signer-2017.cer
https://metadata.gakunin.nii.ac.jp/gakunin-signer-2017.cer

notice:The following description is diff format.

Edit /etc/shibboleth/shibboleth2.xml as follows:

1. Amend the metadata URL for <MetadataProvider> as follows: 

   <MetadataProvider type="XML" validate="true" - uri="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml" + uri="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml?generation=2" backingFilePath="federation-metadata.xml" reloadInterval="7200"> (......)

2. Amend the certifiate for <MetadataFilter> as follows:

   <MetadataProvider type="XML" validate="true"   (......) backingFilePath="federation-metadata.xml" reloadInterval="7200"> - <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2010.cer"/> + <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2017.cer"/> (......) </MetadataProvider>

Restart shibd and refresh the configuration.

After a sufficient amount of time, please make sure that the signed metadata with the new signing key is downloaded.
It is success that just before the first match "</ds:X509Certificate>" of the GakuNin metadata backing file (/var/cache/shibboleth/federation-metadata.xml or similar) is as follows:

 If it looks like as follows, it is the metadata with a signature by the OLD signing key. You should check the log file to confirm that a metadata was downloaded and also check your configuration of download URL has a query string "?generation=2".

 Furthermore, if your log file (/var/log/shibboleth/shibd_warn.log) has following lines, it failed signature verification. You should check that your configuration of certificate path contains  "-2017" and also check the fingerprint of the certificate again.