「サーバ証明書」の版間の差分

提供: 東京大学理学系研究科wiki
移動先: 案内検索
(ページの作成:「情報システムチーム > サーバ証明書 __TOC__ == サーバ証明書の発行について == 国立情報学研究所(NII)の[https://upki-portal.nii....」)
 
 
(同じ利用者による、間の22版が非表示)
3行目: 3行目:
 
__TOC__
 
__TOC__
  
== サーバ証明書の発行について ==
+
== 概要 ==
  
国立情報学研究所(NII)の[https://upki-portal.nii.ac.jp/cerpj サーバ証明書発行・導入の啓発・評価研究プロジェクト]が運営する、WebTrust for CA認定ルート認証局の
+
暗号化でウェブサイトを保護するhttps通信を行うにはウェブサーバにサーバ証明書を設定する必要があります。(サーバ証明書はウェブサーバだけでなくメールサーバなどでも使用されます。)サーバ証明書は商用サービスや無料のプロジェクトで発行されるものがありますが、東京大学では国立情報学研究所(NII)の[https://certs.nii.ac.jp/ UPKI電子証明書発行サービス]により発行されるサーバ証明書を利用する事が出来ます。この証明書は無料のプロジェクトや安価なサービスで提供されているドメイン名だけが証明されるDV (Domain Validation)証明書とは異なり、組織名も含めて証明されるOV (Organization Validation)証明書となります。その発行のための運用体制は、東京大学全体として[https://www.pki.itc.u-tokyo.ac.jp/server.html 東大登録局]を運用し、その配下でs.u-tokyo.ac.jpドメインを管轄する理学系研究科TLRA(東大部局登録局)を運用する体制となっています。
下位認証局、NIIオープンドメイン認証局より発行されるサーバ証明書を利用する事が出来ます。
 
  
理学系研究科TLRA(東大部局登録局)を立ち上げ、パブリックサーバ証明書の運用を行っています。上位組織については[http://www.pki.itc.u-tokyo.ac.jp/ 東大登録局]をご覧ください。
+
サーバ証明書の発行は東大登録局で運用されているサーバ証明書発行申請システムにより申請が可能です。(紙による申請は必要ありません。)理学系研究科TLRAでは利用に際して個別の費用は発生しません。
  
現在、サーバ証明書の発行対象ドメインは以下の通りです。
+
== 対象となるサーバ ==
  
* s.u-tokyo.ac.jp
+
理学系研究科TLRAでサーバ証明書の発行対象となるのは s.u-tokyo.ac.jp 配下のドメインです。それ以外のドメインについて利用したい場合は[https://www.pki.itc.u-tokyo.ac.jp/server.html 東大登録局]を参照してください。
* adm.s.u-tokyo.ac.jp
 
* phys.s.u-tokyo.ac.jp
 
* astron.s.u-tokyo.ac.jp
 
* eps.s.u-tokyo.ac.jp
 
* is.s.u-tokyo.ac.jp
 
* icepp.s.u-tokyo.ac.jp
 
  
 +
== サーバ証明書の発行手続き ==
  
== 申請方法 ==
+
発行手続きの概要です。詳細な手順については後述します。
  
申請方法は後日は記載します。
+
* サーバ証明書を発行するサーバの CSR を作成
 +
* [https://app.pki.itc.u-tokyo.ac.jp/ サーバ証明書発行申請システム] から申請(UTokyo Accountでログイン可能です)
 +
* TLRA (情報システムチーム)で承認
 +
* TRA(情報基盤センター)で承認
 +
* サーバ証明書発行申請システムから発行完了のメールが届き、証明書のダウンロードが可能になります
  
 +
== サーバ証明書の更新手続き ==
 +
 +
サーバ証明書の有効期限は396日(1年+更新のための猶予1か月)です。継続して利用する場合には更新の手続きが必要となります。
 +
 +
更新は発行と同じ手続きです。申請システムの申請種別のところで「新規発行」ではなく「更新」を選択してください。
 +
 +
== サーバ証明書発行の詳細手順 ==
 +
 +
=== CSR の作成 ===
 +
 +
対象となるウェブサーバでサーバ証明書の発行に利用する秘密鍵と申請に利用するCSRを作成する必要があります。秘密鍵やCSRは再利用することなく申請ごとに作成してください。
 +
 +
秘密鍵やCSRの作成方法は利用するウェブサーバやシステムごとに専用のものがある場合もあります。作成方法には基本的には制約はありません。注意事項としては秘密鍵は2048 bitのものを使用してください。CSRの各項目は以下の内容にする必要があります。(OUは使用しなくなりました。)
 +
 +
{| class="wikitable"
 +
| '''Country''' || C=JP
 +
|-
 +
| '''State or Province(ST)''' || ST=Tokyo
 +
|-
 +
| '''Locality''' || L=Bunkyo-ku
 +
|-
 +
| '''Organization''' || O=The University of Tokyo
 +
|-
 +
| '''Common Name''' || CN=XXX.YYY.s.u-tokyo.ac.jp
 +
|}
 +
 +
Linux上でopensslコマンドを使用してCSRを作成する手順を以下に示します。
 +
 +
* 2048bit の秘密鍵 hoge.key の生成 
 +
$ openssl genrsa -out hoge.key 2048
 +
* 秘密鍵 hoge.key を使用して CSR hoge.csr の作成
 +
$ openssl req -new -key hoge.key -out hoge.csr
 +
* 以下のように表示されます(<span style="color:red">赤文字</span>が入力部分。ホスト名は申請するものを入力してください。)
 +
You are about to be asked to enter information that will be incorporated
 +
into your certificate request.
 +
What you are about to enter is what is called a Distinguished Name or a DN.
 +
There are quite a few fields but you can leave some blank
 +
For some fields there will be a default value,
 +
If you enter '.', the field will be left blank.
 +
-----
 +
Country Name (2 letter code) [XX]:<span style="color:red">JP</span>
 +
State or Province Name (full name) []:<span style="color:red">Tokyo</span>
 +
Locality Name (eg, city) [Default City]:<span style="color:red">Bunkyo-ku</span>
 +
Organization Name (eg, company) [Default Company Ltd]:<span style="color:red">The University of Tokyo</span>
 +
Organizational Unit Name (eg, section) []:<span style="color:red">.</span>
 +
Common Name (eg, your name or your server's hostname) []:<span style="color:red">XXX.YYY.s.u-tokyo.ac.jp</span>
 +
Email Address []:
 +
 +
Please enter the following 'extra' attributes
 +
to be sent with your certificate request
 +
A challenge password []:
 +
An optional company name []:
 +
 +
=== サーバ証明書発行申請システムでの申請 ===
 +
 +
サーバ証明書発行システムでの申請手続きは以下のような流れになります。システムのマニュアルはログインページからダウンロード可能です。理学系研究科では事前審査は必要ありません。
 +
 +
* [https://app.pki.itc.u-tokyo.ac.jp/ サーバ証明書発行申請システム] にアクセス
 +
** '''「申請・承認」'''ボタンをクリックしUTokyo Accountでログイン
 +
* '''「申請書作成」'''ボタンをクリックして申請ページへ
 +
* 必要事項を記入
 +
** '''証明書申請者氏名''': 本人の氏名を入力してください
 +
** '''部局名''': 理学系研究科・理学部を選択してください
 +
** '''連絡先メールアドレス''': 本人のメールアドレスを入力してください(発行完了の連絡などが届きます)
 +
** '''ホスト名''': サーバ証明書発行するサーバ名を入力してください(XXX.YYY.s.u-tokyo.ac.jp)
 +
** '''申請種別''': 新規の場合は「新規発行」、更新の場合は「更新」を選択してください
 +
** '''CSR''': 上記で作成したhoge.csrを選択してください
 +
* 下にある'''「申請」'''ボタンをクリックして申請完了
  
 
[[Category:情報システムチーム]]
 
[[Category:情報システムチーム]]

2022年3月24日 (木) 10:52時点における最新版

情報システムチーム > サーバ証明書

1 概要

暗号化でウェブサイトを保護するhttps通信を行うにはウェブサーバにサーバ証明書を設定する必要があります。(サーバ証明書はウェブサーバだけでなくメールサーバなどでも使用されます。)サーバ証明書は商用サービスや無料のプロジェクトで発行されるものがありますが、東京大学では国立情報学研究所(NII)のUPKI電子証明書発行サービスにより発行されるサーバ証明書を利用する事が出来ます。この証明書は無料のプロジェクトや安価なサービスで提供されているドメイン名だけが証明されるDV (Domain Validation)証明書とは異なり、組織名も含めて証明されるOV (Organization Validation)証明書となります。その発行のための運用体制は、東京大学全体として東大登録局を運用し、その配下でs.u-tokyo.ac.jpドメインを管轄する理学系研究科TLRA(東大部局登録局)を運用する体制となっています。

サーバ証明書の発行は東大登録局で運用されているサーバ証明書発行申請システムにより申請が可能です。(紙による申請は必要ありません。)理学系研究科TLRAでは利用に際して個別の費用は発生しません。

2 対象となるサーバ

理学系研究科TLRAでサーバ証明書の発行対象となるのは s.u-tokyo.ac.jp 配下のドメインです。それ以外のドメインについて利用したい場合は東大登録局を参照してください。

3 サーバ証明書の発行手続き

発行手続きの概要です。詳細な手順については後述します。

  • サーバ証明書を発行するサーバの CSR を作成
  • サーバ証明書発行申請システム から申請(UTokyo Accountでログイン可能です)
  • TLRA (情報システムチーム)で承認
  • TRA(情報基盤センター)で承認
  • サーバ証明書発行申請システムから発行完了のメールが届き、証明書のダウンロードが可能になります

4 サーバ証明書の更新手続き

サーバ証明書の有効期限は396日(1年+更新のための猶予1か月)です。継続して利用する場合には更新の手続きが必要となります。

更新は発行と同じ手続きです。申請システムの申請種別のところで「新規発行」ではなく「更新」を選択してください。

5 サーバ証明書発行の詳細手順

5.1 CSR の作成

対象となるウェブサーバでサーバ証明書の発行に利用する秘密鍵と申請に利用するCSRを作成する必要があります。秘密鍵やCSRは再利用することなく申請ごとに作成してください。

秘密鍵やCSRの作成方法は利用するウェブサーバやシステムごとに専用のものがある場合もあります。作成方法には基本的には制約はありません。注意事項としては秘密鍵は2048 bitのものを使用してください。CSRの各項目は以下の内容にする必要があります。(OUは使用しなくなりました。)

Country C=JP
State or Province(ST) ST=Tokyo
Locality L=Bunkyo-ku
Organization O=The University of Tokyo
Common Name CN=XXX.YYY.s.u-tokyo.ac.jp

Linux上でopensslコマンドを使用してCSRを作成する手順を以下に示します。

  • 2048bit の秘密鍵 hoge.key の生成
$ openssl genrsa -out hoge.key 2048
  • 秘密鍵 hoge.key を使用して CSR hoge.csr の作成
$ openssl req -new -key hoge.key -out hoge.csr
  • 以下のように表示されます(赤文字が入力部分。ホスト名は申請するものを入力してください。)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:Tokyo
Locality Name (eg, city) [Default City]:Bunkyo-ku
Organization Name (eg, company) [Default Company Ltd]:The University of Tokyo
Organizational Unit Name (eg, section) []:.
Common Name (eg, your name or your server's hostname) []:XXX.YYY.s.u-tokyo.ac.jp
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

5.2 サーバ証明書発行申請システムでの申請

サーバ証明書発行システムでの申請手続きは以下のような流れになります。システムのマニュアルはログインページからダウンロード可能です。理学系研究科では事前審査は必要ありません。

  • サーバ証明書発行申請システム にアクセス
    • 「申請・承認」ボタンをクリックしUTokyo Accountでログイン
  • 「申請書作成」ボタンをクリックして申請ページへ
  • 必要事項を記入
    • 証明書申請者氏名: 本人の氏名を入力してください
    • 部局名: 理学系研究科・理学部を選択してください
    • 連絡先メールアドレス: 本人のメールアドレスを入力してください(発行完了の連絡などが届きます)
    • ホスト名: サーバ証明書発行するサーバ名を入力してください(XXX.YYY.s.u-tokyo.ac.jp)
    • 申請種別: 新規の場合は「新規発行」、更新の場合は「更新」を選択してください
    • CSR: 上記で作成したhoge.csrを選択してください
  • 下にある「申請」ボタンをクリックして申請完了