「サーバ証明書」の版間の差分
(ページの作成:「情報システムチーム > サーバ証明書 __TOC__ == サーバ証明書の発行について == 国立情報学研究所(NII)の[https://upki-portal.nii....」) |
|||
| 5行目: | 5行目: | ||
== サーバ証明書の発行について == | == サーバ証明書の発行について == | ||
| − | 国立情報学研究所(NII)の[https://upki-portal.nii.ac.jp/cerpj | + | 国立情報学研究所(NII)の[https://upki-portal.nii.ac.jp/cerpj UPKIオープンドメイン証明書自動発行検証プロジェクト]が運営するNIIオープンドメイン認証局より発行されるサーバ証明書を利用する事が出来ます。 |
| − | |||
| − | 理学系研究科TLRA(東大部局登録局)を立ち上げ、パブリックサーバ証明書の運用を行っています。上位組織については[http://www.pki.itc.u-tokyo.ac.jp/ 東大登録局]をご覧ください。 | + | 理学系研究科TLRA(東大部局登録局)を立ち上げ、パブリックサーバ証明書の運用を行っています。上位組織については[http://www.pki.itc.u-tokyo.ac.jp/cerpj/index.html 東大登録局]をご覧ください。 |
現在、サーバ証明書の発行対象ドメインは以下の通りです。 | 現在、サーバ証明書の発行対象ドメインは以下の通りです。 | ||
| 21行目: | 20行目: | ||
| − | == | + | == 必要な手続き == |
| − | + | [http://www.pki.itc.u-tokyo.ac.jp/cerpj/index.html 東大登録局]のページに詳細な説明がありますが必要な手続きは以下の2点です。 | |
| + | それぞれ[mailto:joho@adm.s.u-tokyo.ac.jp 情報システムチーム]まで提出してください。 | ||
| + | |||
| + | * CSR の提出 | ||
| + | * 申請書の提出 | ||
| + | |||
| + | またNIIのページにも[https://upki-portal.nii.ac.jp/docs/odcert/document/install マニュアル]があります。 | ||
| + | |||
| + | |||
| + | == 手続きの流れ == | ||
| + | |||
| + | * サーバ証明書を発行するサーバのドメインが上記の発行対象ドメインかどうかを確認する | ||
| + | ** '''発行対象ドメインの場合:''' すぐに発行の手続きが可能です | ||
| + | ** '''発行対象ドメインではない s.u-tokyo.ac.jp のサブドメインの場合:''' 発行対象ドメインの追加の手続きを行うためお時間を頂きます(1週間程度) | ||
| + | ** '''s.u-tokyo.ac.jp 以外のドメインの場合:''' 発行の対象外です | ||
| + | |||
| + | * サーバ証明書を発行するサーバのCSRを作成して情報システムチームまで提出してください | ||
| + | ** CSRの作成に使用する秘密鍵は2048 bitにしてください。(1024bitは安全ではありません。) | ||
| + | ** 理学系の OU は "School of Science" になります。 | ||
| + | |||
| + | * 情報システムチームでCSRを提出し、その時のMD5 digestの値を申請者に連絡します。 | ||
| + | |||
| + | * 東大登録局のページにある[http://www.pki.itc.u-tokyo.ac.jp/cerpj/htdocs/document/certificate_issue-1.0.doc NIIサーバ証明書申請書]を記入し情報システムチームまで提出してください | ||
| + | ** 申請者はできるだけ対象となるサーバを運用する組織の責任者にしてください。(例:研究室管理の場合はその研究室の教授など、専攻施設管理の場合はネットワーク委員など) | ||
| + | ** 中央の表にある、ホスト名、申請者の所属・職名、申請者名、共通IDの項目を埋めてください。 | ||
| + | ** 特記事項の欄に上で連絡した MD5 digest 値を記入してください。 | ||
| + | ** 右上の日付および署名欄に申請者の署名をしてください。 | ||
| + | |||
| + | * サーバ証明書の発行が完了しましたら証明書をお渡しします。(1週間程度) | ||
| + | * 申請書に受領署名をしてください。 | ||
| + | * 発行済みの書類については情報システムチームでまとめて保管します。 | ||
| + | |||
| + | |||
| + | == CSR の作成例 == | ||
| + | |||
| + | Linux上でopensslコマンドと東大登録局にあるチェックツールを使用してCSRを作成する手順の例を示します | ||
| + | |||
| + | * [https://cerpjdb.pki.itc.u-tokyo.ac.jp/csrcheck.zip チェックツール]をダウンロードして解凍 | ||
| + | * チェックツールの設定 | ||
| + | ** Domain は s 、OU は School of Science を入力します | ||
| + | $ ./configure | ||
| + | ... | ||
| + | Your Domain: s | ||
| + | Your OU: School of Science | ||
| + | * 2048bit の秘密鍵 hoge.key の生成 | ||
| + | $ openssl genrsa -out hoge.key 2048 | ||
| + | * チェックツールの設定ファイルと秘密鍵 hoge.key を使用して CSR hoge.csr の作成 | ||
| + | ** ホスト名のところでサーバ証明書を発行するサーバのFQDNを入力します、それ以外はデフォルトです | ||
| + | $ openssl req -config ./csrreq.cnf -new -key hoge.key -out hoge.csr | ||
| + | * チェック | ||
| + | $ ./checkcsr hoge.csr | ||
[[Category:情報システムチーム]] | [[Category:情報システムチーム]] | ||
2011年5月11日 (水) 14:34時点における版
1 サーバ証明書の発行について
国立情報学研究所(NII)のUPKIオープンドメイン証明書自動発行検証プロジェクトが運営するNIIオープンドメイン認証局より発行されるサーバ証明書を利用する事が出来ます。
理学系研究科TLRA(東大部局登録局)を立ち上げ、パブリックサーバ証明書の運用を行っています。上位組織については東大登録局をご覧ください。
現在、サーバ証明書の発行対象ドメインは以下の通りです。
- s.u-tokyo.ac.jp
- adm.s.u-tokyo.ac.jp
- phys.s.u-tokyo.ac.jp
- astron.s.u-tokyo.ac.jp
- eps.s.u-tokyo.ac.jp
- is.s.u-tokyo.ac.jp
- icepp.s.u-tokyo.ac.jp
2 必要な手続き
東大登録局のページに詳細な説明がありますが必要な手続きは以下の2点です。 それぞれ情報システムチームまで提出してください。
- CSR の提出
- 申請書の提出
またNIIのページにもマニュアルがあります。
3 手続きの流れ
- サーバ証明書を発行するサーバのドメインが上記の発行対象ドメインかどうかを確認する
- 発行対象ドメインの場合: すぐに発行の手続きが可能です
- 発行対象ドメインではない s.u-tokyo.ac.jp のサブドメインの場合: 発行対象ドメインの追加の手続きを行うためお時間を頂きます(1週間程度)
- s.u-tokyo.ac.jp 以外のドメインの場合: 発行の対象外です
- サーバ証明書を発行するサーバのCSRを作成して情報システムチームまで提出してください
- CSRの作成に使用する秘密鍵は2048 bitにしてください。(1024bitは安全ではありません。)
- 理学系の OU は "School of Science" になります。
- 情報システムチームでCSRを提出し、その時のMD5 digestの値を申請者に連絡します。
- 東大登録局のページにあるNIIサーバ証明書申請書を記入し情報システムチームまで提出してください
- 申請者はできるだけ対象となるサーバを運用する組織の責任者にしてください。(例:研究室管理の場合はその研究室の教授など、専攻施設管理の場合はネットワーク委員など)
- 中央の表にある、ホスト名、申請者の所属・職名、申請者名、共通IDの項目を埋めてください。
- 特記事項の欄に上で連絡した MD5 digest 値を記入してください。
- 右上の日付および署名欄に申請者の署名をしてください。
- サーバ証明書の発行が完了しましたら証明書をお渡しします。(1週間程度)
- 申請書に受領署名をしてください。
- 発行済みの書類については情報システムチームでまとめて保管します。
4 CSR の作成例
Linux上でopensslコマンドと東大登録局にあるチェックツールを使用してCSRを作成する手順の例を示します
- チェックツールをダウンロードして解凍
- チェックツールの設定
- Domain は s 、OU は School of Science を入力します
$ ./configure ... Your Domain: s Your OU: School of Science
- 2048bit の秘密鍵 hoge.key の生成
$ openssl genrsa -out hoge.key 2048
- チェックツールの設定ファイルと秘密鍵 hoge.key を使用して CSR hoge.csr の作成
- ホスト名のところでサーバ証明書を発行するサーバのFQDNを入力します、それ以外はデフォルトです
$ openssl req -config ./csrreq.cnf -new -key hoge.key -out hoge.csr
- チェック
$ ./checkcsr hoge.csr
