「サーバ証明書」の版間の差分

提供: 東京大学理学系研究科wiki
移動先: 案内検索
21行目: 21行目:
 
* TRA(情報基盤センター)で承認
 
* TRA(情報基盤センター)で承認
 
* サーバ証明書発行申請システムから証明書をダウンロードできます
 
* サーバ証明書発行申請システムから証明書をダウンロードできます
 
 
<!--
 
<!--
 
現在、サーバ証明書の発行対象ドメインは以下の通りです。
 
現在、サーバ証明書の発行対象ドメインは以下の通りです。

2018年2月23日 (金) 14:49時点における版

情報システムチーム > サーバ証明書

1 サーバ証明書の発行について

東京大学では国立情報学研究所(NII)のUPKI電子証明書発行サービスにより発行されるサーバ証明書を利用する事が出来ます。

東京大学全体としては東大登録局を運用しており、理学系研究科ではその配下で理学系研究科TLRA(東大部局登録局)を運用しています。

サーバ証明書発行申請システムにより申請が可能です。(紙による申請は不要になりました。)

2 手続きの流れ

  • サーバ証明書を発行するサーバの CSR を作成
    • CSRの作成に使用する秘密鍵は2048 bit、OU は "School of Science" にしてください
    • CSRの書式は東大登録局を参照してください。
  • サーバ証明書発行申請システム から申請(UTokyo Accountでログイン可能です)
    • システムのマニュアルはログインページにあります
  • TLRA (情報システムチーム)で承認
  • TRA(情報基盤センター)で承認
  • サーバ証明書発行申請システムから証明書をダウンロードできます

3 サーバ証明書の更新について

発行されるサーバ証明書の有効期限は25か月(2年+更新のための猶予1か月)です。 継続して利用される場合には更新の手続きが必要となります。

更新の手続きは新規発行と同じ手続きです。 同じ内容のサーバ証明書を新たに発行するイメージとなります。

4 CSR の作成例

Linux上でopensslコマンドと東大登録局にあるチェックツールを使用してCSRを作成する手順の例を示します

  • チェックツールをダウンロードして解凍
  • チェックツールの設定
    • Domain は s 、OU は School of Science を入力します
$ ./configure
...
Your Domain: s
Your OU: School of Science
  • 2048bit の秘密鍵 hoge.key の生成
$ openssl genrsa -out hoge.key 2048
  • チェックツールの設定ファイルと秘密鍵 hoge.key を使用して CSR hoge.csr の作成
    • ホスト名のところでサーバ証明書を発行するサーバのFQDNを入力します、それ以外はデフォルトです
$ openssl req -config ./csrreq.cnf -new -key hoge.key -out hoge.csr
  • チェック
$ ./checkcsr hoge.csr