• CRC
|
• Edit

クライアント証明書は有効期限切れになります

salesforce.comのクライアント証明書 (proxy.salesforce.com) は、2012年1月7日に期限切れになります。

新しい証明書は、日本時間1月5日午前8時頃から1月6日午前3時頃にかけて、本番環境へ配置されます。

お使いの組織の利用方法によっては、新しいクライアント証明書をダウンロードする必要がある可能性があります。

SAML認証、HTTPSを利用した代理認証、アウトバウンドコールアウトを利用されている場合にこの影響を受ける可能性があります。

ルート ( C=US , O=VeriSign , Inc. , OU=Class 3 Public Primary Certification Authority )を信頼し、クライアント証明書 proxy.salesforce.com をCNでチェックしているお客様はシームレスな移行が可能です。エンドポイントでクライアント証明書の完全一致でのチェックを行なっている場合は、シームレスな移行のためには新旧の証明書をインストールしておく必要があります。

proxy.salesforce.com のprivateキーはSAMLアサーションの発行時に使われます。そして、SAMLエンドポイントは認証時に、SAMLアサーションがSalesforce.comからの正当なものであるかどうかの検証に proxy.salesforce.com のpublicキーが使われます。お客様がご利用の組織でSAMLを使っている場合は、新旧の証明書を信頼する必要があります。1つのプロバイダに対して複数の証明ををサポートできない場合は、単一のプロバイで複数の証明書を扱うことについてSAML IDプロバイダにおいて問題が発生する場合があります。例えば、Active Directory Federation Services 2.0 では Entity Descriptor element (http://technet.microsoft.com/en-us/library/gg317734(WS.10).aspx) で複数の証明書をインポートできません。

どんな問題が発生しますか？

新しい証明書に更新するようにお知らせするための、次のような事象が確認できます:

SAML: SAMLリクエストでシグニチャの検証でエラーが発生する可能性があります。

代理認証: システム管理者は、組織のログイン履歴でログイン失敗を確認できます。エンドユーザへは、"現在、組織の認証は利用できません。組織の管理者へ連絡してください。"という趣旨のメッセージが表示されます。

ワークフローアウトバウンドメッセージ: システム管理者は、設定 -> 監視 -> アウトバウンドメッセージでキューに入ったままのメッセージを確認できます。

次に採るべきことは？

組織で新しい証明書のダウンロードが必要な場合、サポートデスクへケースを起票していただくか、次の手順に従ってください。:

1. http://wiki.developerforce.com/images/3/34/New_proxy.salesforce.com_certificate_chain.zip から新しい証明書をダウンロードします。
2. 上記を解凍し、お使いのアプリケーションサーバへインポートし、クライアント証明書をリクエストするように設定します。アプリケーションサーバはSSL/TLS認証でダウンロードしたものと一致するかどうか、証明書をチェックします。