「サーバ証明書」の版間の差分
Shitami.junichiro (トーク | 投稿記録) |
Shitami.junichiro (トーク | 投稿記録) |
||
9行目: | 9行目: | ||
東京大学全体としては[http://www.pki.itc.u-tokyo.ac.jp/cerpj/index.html 東大登録局]を運用しており、理学系研究科ではその配下で理学系研究科TLRA(東大部局登録局)を運用しています。 | 東京大学全体としては[http://www.pki.itc.u-tokyo.ac.jp/cerpj/index.html 東大登録局]を運用しており、理学系研究科ではその配下で理学系研究科TLRA(東大部局登録局)を運用しています。 | ||
+ | サーバ証明書発行申請システムにより申請が可能です。(紙による申請は不要になりました。) | ||
+ | |||
+ | == 手続きの流れ == | ||
+ | |||
+ | * サーバ証明書を発行するサーバの CSR を作成 | ||
+ | ** CSRの作成に使用する秘密鍵は2048 bit、OU は "School of Science" にしてください | ||
+ | ** CSRの書式は[http://www.pki.itc.u-tokyo.ac.jp/cerpj/index.html 東大登録局]を参照してください。 | ||
+ | * [https://app.pki.itc.u-tokyo.ac.jp/ サーバ証明書発行申請システム] から申請(UTokyo Accountでログイン可能です) | ||
+ | ** システムのマニュアルはログインページにあります | ||
+ | * TLRA (情報システムチーム)で承認 | ||
+ | * TRA(情報基盤センター)で承認 | ||
+ | * サーバ証明書発行申請システムから証明書をダウンロードできます | ||
+ | |||
+ | <!-- | ||
現在、サーバ証明書の発行対象ドメインは以下の通りです。 | 現在、サーバ証明書の発行対象ドメインは以下の通りです。 | ||
55行目: | 69行目: | ||
* 申請書に受領署名をしてください。 | * 申請書に受領署名をしてください。 | ||
* 発行済みの書類については情報システムチームでまとめて保管します。 | * 発行済みの書類については情報システムチームでまとめて保管します。 | ||
− | + | --> | |
== サーバ証明書の更新について == | == サーバ証明書の更新について == | ||
64行目: | 78行目: | ||
更新の手続きは新規発行と同じ手続きです。 | 更新の手続きは新規発行と同じ手続きです。 | ||
同じ内容のサーバ証明書を新たに発行するイメージとなります。 | 同じ内容のサーバ証明書を新たに発行するイメージとなります。 | ||
+ | <!-- | ||
申請書は[http://www.pki.itc.u-tokyo.ac.jp/cerpj/htdocs/document/certificate_renewal-1.0.doc NIIサーバ証明書更新申請書]の方を提出してください。 | 申請書は[http://www.pki.itc.u-tokyo.ac.jp/cerpj/htdocs/document/certificate_renewal-1.0.doc NIIサーバ証明書更新申請書]の方を提出してください。 | ||
− | + | --> | |
== CSR の作成例 == | == CSR の作成例 == |
2018年2月23日 (金) 14:49時点における版
1 サーバ証明書の発行について
東京大学では国立情報学研究所(NII)のUPKI電子証明書発行サービスにより発行されるサーバ証明書を利用する事が出来ます。
東京大学全体としては東大登録局を運用しており、理学系研究科ではその配下で理学系研究科TLRA(東大部局登録局)を運用しています。
サーバ証明書発行申請システムにより申請が可能です。(紙による申請は不要になりました。)
2 手続きの流れ
- サーバ証明書を発行するサーバの CSR を作成
- CSRの作成に使用する秘密鍵は2048 bit、OU は "School of Science" にしてください
- CSRの書式は東大登録局を参照してください。
- サーバ証明書発行申請システム から申請(UTokyo Accountでログイン可能です)
- システムのマニュアルはログインページにあります
- TLRA (情報システムチーム)で承認
- TRA(情報基盤センター)で承認
- サーバ証明書発行申請システムから証明書をダウンロードできます
3 サーバ証明書の更新について
発行されるサーバ証明書の有効期限は25か月(2年+更新のための猶予1か月)です。 継続して利用される場合には更新の手続きが必要となります。
更新の手続きは新規発行と同じ手続きです。 同じ内容のサーバ証明書を新たに発行するイメージとなります。
4 CSR の作成例
Linux上でopensslコマンドと東大登録局にあるチェックツールを使用してCSRを作成する手順の例を示します
- チェックツールをダウンロードして解凍
- チェックツールの設定
- Domain は s 、OU は School of Science を入力します
$ ./configure ... Your Domain: s Your OU: School of Science
- 2048bit の秘密鍵 hoge.key の生成
$ openssl genrsa -out hoge.key 2048
- チェックツールの設定ファイルと秘密鍵 hoge.key を使用して CSR hoge.csr の作成
- ホスト名のところでサーバ証明書を発行するサーバのFQDNを入力します、それ以外はデフォルトです
$ openssl req -config ./csrreq.cnf -new -key hoge.key -out hoge.csr
- チェック
$ ./checkcsr hoge.csr