「サーバ証明書」の版間の差分

提供: 東京大学理学系研究科wiki
移動先: 案内検索
 
(同じ利用者による、間の18版が非表示)
3行目: 3行目:
 
__TOC__
 
__TOC__
  
== サーバ証明書の発行について ==
+
== 概要 ==
  
国立情報学研究所(NII)の[https://upki-portal.nii.ac.jp/cerpj UPKIオープンドメイン証明書自動発行検証プロジェクト]が運営するNIIオープンドメイン認証局より発行されるサーバ証明書を利用する事が出来ます。
+
暗号化でウェブサイトを保護するhttps通信を行うにはウェブサーバにサーバ証明書を設定する必要があります。(サーバ証明書はウェブサーバだけでなくメールサーバなどでも使用されます。)サーバ証明書は商用サービスや無料のプロジェクトで発行されるものがありますが、東京大学では国立情報学研究所(NII)の[https://certs.nii.ac.jp/ UPKI電子証明書発行サービス]により発行されるサーバ証明書を利用する事が出来ます。この証明書は無料のプロジェクトや安価なサービスで提供されているドメイン名だけが証明されるDV (Domain Validation)証明書とは異なり、組織名も含めて証明されるOV (Organization Validation)証明書となります。その発行のための運用体制は、東京大学全体として[https://www.pki.itc.u-tokyo.ac.jp/server.html 東大登録局]を運用し、その配下でs.u-tokyo.ac.jpドメインを管轄する理学系研究科TLRA(東大部局登録局)を運用する体制となっています。
  
理学系研究科TLRA(東大部局登録局)を立ち上げ、パブリックサーバ証明書の運用を行っています。上位組織については[http://www.pki.itc.u-tokyo.ac.jp/cerpj/index.html 東大登録局]をご覧ください。
+
サーバ証明書の発行は東大登録局で運用されているサーバ証明書発行申請システムにより申請が可能です。(紙による申請は必要ありません。)理学系研究科TLRAでは利用に際して個別の費用は発生しません。
  
現在、サーバ証明書の発行対象ドメインは以下の通りです。
+
== 対象となるサーバ ==
  
* s.u-tokyo.ac.jp
+
理学系研究科TLRAでサーバ証明書の発行対象となるのは s.u-tokyo.ac.jp 配下のドメインです。それ以外のドメインについて利用したい場合は[https://www.pki.itc.u-tokyo.ac.jp/server.html 東大登録局]を参照してください。
* adm.s.u-tokyo.ac.jp
 
* phys.s.u-tokyo.ac.jp
 
* astron.s.u-tokyo.ac.jp
 
* eps.s.u-tokyo.ac.jp
 
* cns.s.u-tokyo.ac.jp
 
* is.s.u-tokyo.ac.jp
 
* icepp.s.u-tokyo.ac.jp
 
  
 +
== サーバ証明書の発行手続き ==
  
== 必要な手続き ==
+
発行手続きの概要です。詳細な手順については後述します。
  
[http://www.pki.itc.u-tokyo.ac.jp/cerpj/index.html 東大登録局]のページに詳細な説明がありますが必要な手続きは以下の2点です。
+
* サーバ証明書を発行するサーバの CSR を作成
それぞれ[mailto:joho@adm.s.u-tokyo.ac.jp 情報システムチーム]まで提出してください。
+
* [https://app.pki.itc.u-tokyo.ac.jp/ サーバ証明書発行申請システム] から申請(UTokyo Accountでログイン可能です)
 +
* TLRA (情報システムチーム)で承認
 +
* TRA(情報基盤センター)で承認
 +
* サーバ証明書発行申請システムから発行完了のメールが届き、証明書のダウンロードが可能になります
  
* CSR の提出
+
== サーバ証明書の更新手続き ==
* 申請書の提出
 
  
またNIIのページにも[https://upki-portal.nii.ac.jp/docs/odcert/document/install マニュアル]があります。
+
サーバ証明書の有効期限は396日(1年+更新のための猶予1か月)です。継続して利用する場合には更新の手続きが必要となります。
  
 +
更新は発行と同じ手続きです。申請システムの申請種別のところで「新規発行」ではなく「更新」を選択してください。
  
== 手続きの流れ ==
+
== サーバ証明書発行の詳細手順 ==
  
* サーバ証明書を発行するサーバのドメインが上記の発行対象ドメインかどうかを確認する
+
=== CSR の作成 ===
** '''発行対象ドメインの場合:''' すぐに発行の手続きが可能です
 
** '''発行対象ドメインではない s.u-tokyo.ac.jp のサブドメインの場合:''' 発行対象ドメインの追加の手続きを行うためお時間を頂きます(1週間程度)
 
** '''s.u-tokyo.ac.jp 以外のドメインの場合:''' 発行の対象外です
 
  
* サーバ証明書を発行するサーバのCSRを作成して情報システムチームまで提出してください
+
対象となるウェブサーバでサーバ証明書の発行に利用する秘密鍵と申請に利用するCSRを作成する必要があります。秘密鍵やCSRは再利用することなく申請ごとに作成してください。
** CSRの作成に使用する秘密鍵は2048 bitにしてください。(1024bitは安全ではありません。)
 
** CSRの書式は[http://www.pki.itc.u-tokyo.ac.jp/cerpj/index.html 東大登録局]を参照してください。
 
** 理学系の OU は "School of Science" になります。
 
  
* 情報システムチームでCSRを提出し、その時のMD5 digestの値を申請者に連絡します。
+
秘密鍵やCSRの作成方法は利用するウェブサーバやシステムごとに専用のものがある場合もあります。作成方法には基本的には制約はありません。注意事項としては秘密鍵は2048 bitのものを使用してください。CSRの各項目は以下の内容にする必要があります。(OUは使用しなくなりました。)
  
* 東大登録局のページにある[http://www.pki.itc.u-tokyo.ac.jp/cerpj/htdocs/document/certificate_issue-1.0.doc NIIサーバ証明書発行申請書]を記入し情報システムチームまで提出してください
+
{| class="wikitable"
** 申請者はできるだけ対象となるサーバを運用する組織の責任者にしてください。(例:研究室管理の場合はその研究室の教授など、専攻施設管理の場合はネットワーク委員など)
+
| '''Country''' || C=JP
** 中央の表にある、ホスト名、申請者の所属・職名、申請者名、共通IDの項目を埋めてください。
+
|-
** 特記事項の欄に上で連絡した MD5 digest 値を記入してください。
+
| '''State or Province(ST)''' || ST=Tokyo
** 右上の日付および署名欄に申請者の署名をしてください。
+
|-
 +
| '''Locality''' || L=Bunkyo-ku
 +
|-
 +
| '''Organization''' || O=The University of Tokyo
 +
|-
 +
| '''Common Name''' || CN=XXX.YYY.s.u-tokyo.ac.jp
 +
|}
  
* サーバ証明書の発行が完了しましたら証明書をお渡しします。(1週間程度)
+
Linux上でopensslコマンドを使用してCSRを作成する手順を以下に示します。
* 申請書に受領署名をしてください。
 
* 発行済みの書類については情報システムチームでまとめて保管します。
 
  
 +
* 2048bit の秘密鍵 hoge.key の生成 
 +
$ openssl genrsa -out hoge.key 2048
 +
* 秘密鍵 hoge.key を使用して CSR hoge.csr の作成
 +
$ openssl req -new -key hoge.key -out hoge.csr
 +
* 以下のように表示されます(<span style="color:red">赤文字</span>が入力部分。ホスト名は申請するものを入力してください。)
 +
You are about to be asked to enter information that will be incorporated
 +
into your certificate request.
 +
What you are about to enter is what is called a Distinguished Name or a DN.
 +
There are quite a few fields but you can leave some blank
 +
For some fields there will be a default value,
 +
If you enter '.', the field will be left blank.
 +
-----
 +
Country Name (2 letter code) [XX]:<span style="color:red">JP</span>
 +
State or Province Name (full name) []:<span style="color:red">Tokyo</span>
 +
Locality Name (eg, city) [Default City]:<span style="color:red">Bunkyo-ku</span>
 +
Organization Name (eg, company) [Default Company Ltd]:<span style="color:red">The University of Tokyo</span>
 +
Organizational Unit Name (eg, section) []:<span style="color:red">.</span>
 +
Common Name (eg, your name or your server's hostname) []:<span style="color:red">XXX.YYY.s.u-tokyo.ac.jp</span>
 +
Email Address []:
 +
 +
Please enter the following 'extra' attributes
 +
to be sent with your certificate request
 +
A challenge password []:
 +
An optional company name []:
  
== サーバ証明書の更新について ==
+
=== サーバ証明書発行申請システムでの申請 ===
  
発行されるサーバ証明書の有効期限は25か月(2年+更新のための猶予1か月)です。
+
サーバ証明書発行システムでの申請手続きは以下のような流れになります。システムのマニュアルはログインページからダウンロード可能です。理学系研究科では事前審査は必要ありません。
継続して利用される場合には更新の手続きが必要となります。
 
 
 
更新の手続きは新規発行と同じ手続きです。
 
同じ内容のサーバ証明書を新たに発行するイメージとなります。
 
申請書は[http://www.pki.itc.u-tokyo.ac.jp/cerpj/htdocs/document/certificate_renewal-1.0.doc NIIサーバ証明書更新申請書]の方を提出してください。
 
 
 
 
 
== CSR の作成例 ==
 
 
 
Linux上でopensslコマンドと東大登録局にあるチェックツールを使用してCSRを作成する手順の例を示します
 
 
 
* [https://cerpjdb.pki.itc.u-tokyo.ac.jp/csrcheck.zip チェックツール]をダウンロードして解凍
 
* チェックツールの設定
 
** Domain は s 、OU は School of Science を入力します
 
$ ./configure
 
...
 
Your Domain: s
 
Your OU: School of Science
 
* 2048bit の秘密鍵 hoge.key の生成 
 
$ openssl genrsa -out hoge.key 2048
 
* チェックツールの設定ファイルと秘密鍵 hoge.key を使用して CSR hoge.csr の作成
 
** ホスト名のところでサーバ証明書を発行するサーバのFQDNを入力します、それ以外はデフォルトです
 
$ openssl req -config ./csrreq.cnf -new -key hoge.key -out hoge.csr
 
* チェック
 
$ ./checkcsr hoge.csr
 
  
 +
* [https://app.pki.itc.u-tokyo.ac.jp/ サーバ証明書発行申請システム] にアクセス
 +
** '''「申請・承認」'''ボタンをクリックしUTokyo Accountでログイン
 +
* '''「申請書作成」'''ボタンをクリックして申請ページへ
 +
* 必要事項を記入
 +
** '''証明書申請者氏名''': 本人の氏名を入力してください
 +
** '''部局名''': 理学系研究科・理学部を選択してください
 +
** '''連絡先メールアドレス''': 本人のメールアドレスを入力してください(発行完了の連絡などが届きます)
 +
** '''ホスト名''': サーバ証明書発行するサーバ名を入力してください(XXX.YYY.s.u-tokyo.ac.jp)
 +
** '''申請種別''': 新規の場合は「新規発行」、更新の場合は「更新」を選択してください
 +
** '''CSR''': 上記で作成したhoge.csrを選択してください
 +
* 下にある'''「申請」'''ボタンをクリックして申請完了
  
 
[[Category:情報システムチーム]]
 
[[Category:情報システムチーム]]

2022年3月24日 (木) 10:52時点における最新版

情報システムチーム > サーバ証明書

1 概要

暗号化でウェブサイトを保護するhttps通信を行うにはウェブサーバにサーバ証明書を設定する必要があります。(サーバ証明書はウェブサーバだけでなくメールサーバなどでも使用されます。)サーバ証明書は商用サービスや無料のプロジェクトで発行されるものがありますが、東京大学では国立情報学研究所(NII)のUPKI電子証明書発行サービスにより発行されるサーバ証明書を利用する事が出来ます。この証明書は無料のプロジェクトや安価なサービスで提供されているドメイン名だけが証明されるDV (Domain Validation)証明書とは異なり、組織名も含めて証明されるOV (Organization Validation)証明書となります。その発行のための運用体制は、東京大学全体として東大登録局を運用し、その配下でs.u-tokyo.ac.jpドメインを管轄する理学系研究科TLRA(東大部局登録局)を運用する体制となっています。

サーバ証明書の発行は東大登録局で運用されているサーバ証明書発行申請システムにより申請が可能です。(紙による申請は必要ありません。)理学系研究科TLRAでは利用に際して個別の費用は発生しません。

2 対象となるサーバ

理学系研究科TLRAでサーバ証明書の発行対象となるのは s.u-tokyo.ac.jp 配下のドメインです。それ以外のドメインについて利用したい場合は東大登録局を参照してください。

3 サーバ証明書の発行手続き

発行手続きの概要です。詳細な手順については後述します。

  • サーバ証明書を発行するサーバの CSR を作成
  • サーバ証明書発行申請システム から申請(UTokyo Accountでログイン可能です)
  • TLRA (情報システムチーム)で承認
  • TRA(情報基盤センター)で承認
  • サーバ証明書発行申請システムから発行完了のメールが届き、証明書のダウンロードが可能になります

4 サーバ証明書の更新手続き

サーバ証明書の有効期限は396日(1年+更新のための猶予1か月)です。継続して利用する場合には更新の手続きが必要となります。

更新は発行と同じ手続きです。申請システムの申請種別のところで「新規発行」ではなく「更新」を選択してください。

5 サーバ証明書発行の詳細手順

5.1 CSR の作成

対象となるウェブサーバでサーバ証明書の発行に利用する秘密鍵と申請に利用するCSRを作成する必要があります。秘密鍵やCSRは再利用することなく申請ごとに作成してください。

秘密鍵やCSRの作成方法は利用するウェブサーバやシステムごとに専用のものがある場合もあります。作成方法には基本的には制約はありません。注意事項としては秘密鍵は2048 bitのものを使用してください。CSRの各項目は以下の内容にする必要があります。(OUは使用しなくなりました。)

Country C=JP
State or Province(ST) ST=Tokyo
Locality L=Bunkyo-ku
Organization O=The University of Tokyo
Common Name CN=XXX.YYY.s.u-tokyo.ac.jp

Linux上でopensslコマンドを使用してCSRを作成する手順を以下に示します。

  • 2048bit の秘密鍵 hoge.key の生成
$ openssl genrsa -out hoge.key 2048
  • 秘密鍵 hoge.key を使用して CSR hoge.csr の作成
$ openssl req -new -key hoge.key -out hoge.csr
  • 以下のように表示されます(赤文字が入力部分。ホスト名は申請するものを入力してください。)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:Tokyo
Locality Name (eg, city) [Default City]:Bunkyo-ku
Organization Name (eg, company) [Default Company Ltd]:The University of Tokyo
Organizational Unit Name (eg, section) []:.
Common Name (eg, your name or your server's hostname) []:XXX.YYY.s.u-tokyo.ac.jp
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

5.2 サーバ証明書発行申請システムでの申請

サーバ証明書発行システムでの申請手続きは以下のような流れになります。システムのマニュアルはログインページからダウンロード可能です。理学系研究科では事前審査は必要ありません。

  • サーバ証明書発行申請システム にアクセス
    • 「申請・承認」ボタンをクリックしUTokyo Accountでログイン
  • 「申請書作成」ボタンをクリックして申請ページへ
  • 必要事項を記入
    • 証明書申請者氏名: 本人の氏名を入力してください
    • 部局名: 理学系研究科・理学部を選択してください
    • 連絡先メールアドレス: 本人のメールアドレスを入力してください(発行完了の連絡などが届きます)
    • ホスト名: サーバ証明書発行するサーバ名を入力してください(XXX.YYY.s.u-tokyo.ac.jp)
    • 申請種別: 新規の場合は「新規発行」、更新の場合は「更新」を選択してください
    • CSR: 上記で作成したhoge.csrを選択してください
  • 下にある「申請」ボタンをクリックして申請完了