「サーバ証明書」の版間の差分
Shitami.junichiro (トーク | 投稿記録) |
Shitami.junichiro (トーク | 投稿記録) |
||
| 83行目: | 83行目: | ||
== CSR の作成例 == | == CSR の作成例 == | ||
| − | + | Linux上でopensslコマンドを使用してCSRを作成する手順の例を示します | |
| − | + | <!-- | |
* [https://cerpjdb.pki.itc.u-tokyo.ac.jp/csrcheck.zip チェックツール]をダウンロードして解凍 | * [https://cerpjdb.pki.itc.u-tokyo.ac.jp/csrcheck.zip チェックツール]をダウンロードして解凍 | ||
* チェックツールの設定 | * チェックツールの設定 | ||
| 92行目: | 92行目: | ||
Your Domain: s | Your Domain: s | ||
Your OU: School of Science | Your OU: School of Science | ||
| + | --> | ||
* 2048bit の秘密鍵 hoge.key の生成 | * 2048bit の秘密鍵 hoge.key の生成 | ||
$ openssl genrsa -out hoge.key 2048 | $ openssl genrsa -out hoge.key 2048 | ||
| + | <!-- | ||
* チェックツールの設定ファイルと秘密鍵 hoge.key を使用して CSR hoge.csr の作成 | * チェックツールの設定ファイルと秘密鍵 hoge.key を使用して CSR hoge.csr の作成 | ||
** ホスト名のところでサーバ証明書を発行するサーバのFQDNを入力します、それ以外はデフォルトです | ** ホスト名のところでサーバ証明書を発行するサーバのFQDNを入力します、それ以外はデフォルトです | ||
| 99行目: | 101行目: | ||
* チェック | * チェック | ||
$ ./checkcsr hoge.csr | $ ./checkcsr hoge.csr | ||
| + | --> | ||
| + | * 秘密鍵 hoge.key を使用して CSR hoge.csr の作成 | ||
| + | $ openssl req -new -key hoge.key -out hoge.csr | ||
| + | * 以下のように表示されます(<span style="color:red">赤文字</span>が入力部分。ホスト名は申請するものを入力してください。) | ||
| + | You are about to be asked to enter information that will be incorporated | ||
| + | into your certificate request. | ||
| + | What you are about to enter is what is called a Distinguished Name or a DN. | ||
| + | There are quite a few fields but you can leave some blank | ||
| + | For some fields there will be a default value, | ||
| + | If you enter '.', the field will be left blank. | ||
| + | ----- | ||
| + | Country Name (2 letter code) [XX]:<span style="color:red">JP</span> | ||
| + | State or Province Name (full name) []:<span style="color:red">Tokyo</span> | ||
| + | Locality Name (eg, city) [Default City]:<span style="color:red">.</span> | ||
| + | Organization Name (eg, company) [Default Company Ltd]:<span style="color:red">The University of Tokyo</span> | ||
| + | Organizational Unit Name (eg, section) []:<span style="color:red">School of Science</span> | ||
| + | Common Name (eg, your name or your server's hostname) []:<span style="color:red">XXX.YYY.s.u-tokyo.ac.jp</span> | ||
| + | Email Address []: | ||
| + | |||
| + | Please enter the following 'extra' attributes | ||
| + | to be sent with your certificate request | ||
| + | A challenge password []: | ||
| + | An optional company name []: | ||
[[Category:情報システムチーム]] | [[Category:情報システムチーム]] | ||
2019年3月14日 (木) 17:49時点における版
1 サーバ証明書の発行について
東京大学では国立情報学研究所(NII)のUPKI電子証明書発行サービスにより発行されるサーバ証明書を利用する事が出来ます。
東京大学全体としては東大登録局を運用しており、理学系研究科ではその配下で理学系研究科TLRA(東大部局登録局)を運用しています。
サーバ証明書発行申請システムにより申請が可能です。(紙による申請は不要になりました。)
2 手続きの流れ
- サーバ証明書を発行するサーバの CSR を作成
- CSRの作成に使用する秘密鍵は2048 bit、OU は "School of Science" にしてください
- CSRの書式は東大登録局を参照してください。
- サーバ証明書発行申請システム から申請(UTokyo Accountでログイン可能です)
- システムのマニュアルはログインページにあります
- TLRA (情報システムチーム)で承認
- TRA(情報基盤センター)で承認
- サーバ証明書発行申請システムから証明書をダウンロードできます
3 サーバ証明書の更新について
発行されるサーバ証明書の有効期限は25か月(2年+更新のための猶予1か月)です。 継続して利用される場合には更新の手続きが必要となります。
更新の手続きは新規発行と同じ手続きです。 同じ内容のサーバ証明書を新たに発行するイメージとなります。
4 CSR の作成例
Linux上でopensslコマンドを使用してCSRを作成する手順の例を示します
- 2048bit の秘密鍵 hoge.key の生成
$ openssl genrsa -out hoge.key 2048
- 秘密鍵 hoge.key を使用して CSR hoge.csr の作成
$ openssl req -new -key hoge.key -out hoge.csr
- 以下のように表示されます(赤文字が入力部分。ホスト名は申請するものを入力してください。)
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:JP State or Province Name (full name) []:Tokyo Locality Name (eg, city) [Default City]:. Organization Name (eg, company) [Default Company Ltd]:The University of Tokyo Organizational Unit Name (eg, section) []:School of Science Common Name (eg, your name or your server's hostname) []:XXX.YYY.s.u-tokyo.ac.jp Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
