「サーバ証明書」の版間の差分

提供: 東京大学理学系研究科wiki
移動先: 案内検索
83行目: 83行目:
 
== CSR の作成例 ==
 
== CSR の作成例 ==
  
Linux上でopensslコマンドと東大登録局にあるチェックツールを使用してCSRを作成する手順の例を示します
+
Linux上でopensslコマンドを使用してCSRを作成する手順の例を示します
 
+
<!--
 
* [https://cerpjdb.pki.itc.u-tokyo.ac.jp/csrcheck.zip チェックツール]をダウンロードして解凍
 
* [https://cerpjdb.pki.itc.u-tokyo.ac.jp/csrcheck.zip チェックツール]をダウンロードして解凍
 
* チェックツールの設定
 
* チェックツールの設定
92行目: 92行目:
 
  Your Domain: s
 
  Your Domain: s
 
  Your OU: School of Science
 
  Your OU: School of Science
 +
-->
 
* 2048bit の秘密鍵 hoge.key の生成   
 
* 2048bit の秘密鍵 hoge.key の生成   
 
  $ openssl genrsa -out hoge.key 2048
 
  $ openssl genrsa -out hoge.key 2048
 +
<!--
 
* チェックツールの設定ファイルと秘密鍵 hoge.key を使用して CSR hoge.csr の作成
 
* チェックツールの設定ファイルと秘密鍵 hoge.key を使用して CSR hoge.csr の作成
 
** ホスト名のところでサーバ証明書を発行するサーバのFQDNを入力します、それ以外はデフォルトです
 
** ホスト名のところでサーバ証明書を発行するサーバのFQDNを入力します、それ以外はデフォルトです
99行目: 101行目:
 
* チェック
 
* チェック
 
  $ ./checkcsr hoge.csr
 
  $ ./checkcsr hoge.csr
 +
-->
 +
* 秘密鍵 hoge.key を使用して CSR hoge.csr の作成
 +
$ openssl req -new -key hoge.key -out hoge.csr
 +
* 以下のように表示されます(<span style="color:red">赤文字</span>が入力部分。ホスト名は申請するものを入力してください。)
 +
You are about to be asked to enter information that will be incorporated
 +
into your certificate request.
 +
What you are about to enter is what is called a Distinguished Name or a DN.
 +
There are quite a few fields but you can leave some blank
 +
For some fields there will be a default value,
 +
If you enter '.', the field will be left blank.
 +
-----
 +
Country Name (2 letter code) [XX]:<span style="color:red">JP</span>
 +
State or Province Name (full name) []:<span style="color:red">Tokyo</span>
 +
Locality Name (eg, city) [Default City]:<span style="color:red">.</span>
 +
Organization Name (eg, company) [Default Company Ltd]:<span style="color:red">The University of Tokyo</span>
 +
Organizational Unit Name (eg, section) []:<span style="color:red">School of Science</span>
 +
Common Name (eg, your name or your server's hostname) []:<span style="color:red">XXX.YYY.s.u-tokyo.ac.jp</span>
 +
Email Address []:
 +
 +
Please enter the following 'extra' attributes
 +
to be sent with your certificate request
 +
A challenge password []:
 +
An optional company name []:
  
  
 
[[Category:情報システムチーム]]
 
[[Category:情報システムチーム]]

2019年3月14日 (木) 17:49時点における版

情報システムチーム > サーバ証明書

1 サーバ証明書の発行について

東京大学では国立情報学研究所(NII)のUPKI電子証明書発行サービスにより発行されるサーバ証明書を利用する事が出来ます。

東京大学全体としては東大登録局を運用しており、理学系研究科ではその配下で理学系研究科TLRA(東大部局登録局)を運用しています。

サーバ証明書発行申請システムにより申請が可能です。(紙による申請は不要になりました。)

2 手続きの流れ

  • サーバ証明書を発行するサーバの CSR を作成
    • CSRの作成に使用する秘密鍵は2048 bit、OU は "School of Science" にしてください
    • CSRの書式は東大登録局を参照してください。
  • サーバ証明書発行申請システム から申請(UTokyo Accountでログイン可能です)
    • システムのマニュアルはログインページにあります
  • TLRA (情報システムチーム)で承認
  • TRA(情報基盤センター)で承認
  • サーバ証明書発行申請システムから証明書をダウンロードできます

3 サーバ証明書の更新について

発行されるサーバ証明書の有効期限は25か月(2年+更新のための猶予1か月)です。 継続して利用される場合には更新の手続きが必要となります。

更新の手続きは新規発行と同じ手続きです。 同じ内容のサーバ証明書を新たに発行するイメージとなります。

4 CSR の作成例

Linux上でopensslコマンドを使用してCSRを作成する手順の例を示します

  • 2048bit の秘密鍵 hoge.key の生成
$ openssl genrsa -out hoge.key 2048
  • 秘密鍵 hoge.key を使用して CSR hoge.csr の作成
$ openssl req -new -key hoge.key -out hoge.csr
  • 以下のように表示されます(赤文字が入力部分。ホスト名は申請するものを入力してください。)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:Tokyo
Locality Name (eg, city) [Default City]:.
Organization Name (eg, company) [Default Company Ltd]:The University of Tokyo
Organizational Unit Name (eg, section) []:School of Science
Common Name (eg, your name or your server's hostname) []:XXX.YYY.s.u-tokyo.ac.jp
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []: