「サーバ証明書」の版間の差分

提供: 東京大学理学系研究科wiki
移動先: 案内検索
5行目: 5行目:
 
== 概要 ==
 
== 概要 ==
  
暗号化でウェブサイトを保護するhttps通信を行うにはウェブサーバにサーバ証明書を設定する必要があります。
+
暗号化でウェブサイトを保護するhttps通信を行うにはウェブサーバにサーバ証明書を設定する必要があります。(サーバ証明書はウェブサーバだけでなくメールサーバなどでも使用されます。)サーバ証明書は商用サービスや無料のプロジェクトで発行されるものがありますが、東京大学では国立情報学研究所(NII)の[https://certs.nii.ac.jp/ UPKI電子証明書発行サービス]により発行されるサーバ証明書を利用する事が出来ます。この証明書は無料のプロジェクトや安価なサービスで提供されているドメイン名だけが証明されるDV (Domain Validation)証明書とは異なり、組織名も含めて証明されるOV (Organization Validation)証明書となります。その発行のための運用体制は、東京大学全体として[https://www.pki.itc.u-tokyo.ac.jp/server.html 東大登録局]を運用し、その配下でs.u-tokyo.ac.jpドメインを管轄する理学系研究科TLRA(東大部局登録局)を運用する体制となっています。
(サーバ証明書はウェブサーバだけでなくメールサーバなどでも使用されます。)
 
サーバ証明書は商用サービスや無料のプロジェクトで発行されるものがありますが、
 
東京大学では国立情報学研究所(NII)の[https://certs.nii.ac.jp/ UPKI電子証明書発行サービス]により発行されるサーバ証明書を利用する事が出来ます。
 
この証明書は無料のプロジェクトや安価なサービスで提供されているドメイン名だけが証明されるDV (Domain Validation)証明書とは異なり、
 
組織名も含めて証明されるOV (Organization Validation)証明書となります。
 
その発行のための運用体制は、東京大学全体として[https://www.pki.itc.u-tokyo.ac.jp/server.html 東大登録局]を運用し、
 
その配下でs.u-tokyo.ac.jpドメインを管轄する理学系研究科TLRA(東大部局登録局)を運用する体制となっています。
 
  
サーバ証明書の発行は東大登録局で運用されているサーバ証明書発行申請システムにより申請が可能です。(紙による申請は必要ありません。)
+
サーバ証明書の発行は東大登録局で運用されているサーバ証明書発行申請システムにより申請が可能です。(紙による申請は必要ありません。)理学系研究科TLRAでは利用に際して個別の費用は発生しません。
理学系研究科TLRAでは利用に際して個別の費用は発生しません。
 
  
 
== 対象となるサーバ ==
 
== 対象となるサーバ ==
  
理学系研究科TLRAでサーバ証明書の発行対象となるのは s.u-tokyo.ac.jp 配下のドメインです。
+
理学系研究科TLRAでサーバ証明書の発行対象となるのは s.u-tokyo.ac.jp 配下のドメインです。それ以外のドメインについて利用したい場合は[https://www.pki.itc.u-tokyo.ac.jp/server.html 東大登録局]を参照してください。
それ以外のドメインについて利用したい場合は[https://www.pki.itc.u-tokyo.ac.jp/server.html 東大登録局]を参照してください。
 
  
 
== サーバ証明書の発行手続き ==
 
== サーバ証明書の発行手続き ==
34行目: 25行目:
 
== サーバ証明書の更新手続き ==
 
== サーバ証明書の更新手続き ==
  
サーバ証明書の有効期限は25か月(2年+更新のための猶予1か月)です。
+
サーバ証明書の有効期限は25か月(2年+更新のための猶予1か月)です。継続して利用する場合には更新の手続きが必要となります。
継続して利用する場合には更新の手続きが必要となります。
 
  
 
更新は発行と同じ手続きです。申請システムの申請種別のところで「新規発行」ではなく「更新」を選択してください。
 
更新は発行と同じ手続きです。申請システムの申請種別のところで「新規発行」ではなく「更新」を選択してください。
43行目: 33行目:
 
=== CSR の作成 ===
 
=== CSR の作成 ===
  
対象となるウェブサーバでサーバ証明書の発行に利用する秘密鍵と申請に利用するCSRを作成する必要があります。
+
対象となるウェブサーバでサーバ証明書の発行に利用する秘密鍵と申請に利用するCSRを作成する必要があります。秘密鍵やCSRは再利用することなく申請ごとに作成してください。
秘密鍵やCSRは再利用することなく申請ごとに作成してください。
 
  
秘密鍵やCSRの作成方法は利用するウェブサーバやシステムごとに専用のものがある場合もあります。
+
秘密鍵やCSRの作成方法は利用するウェブサーバやシステムごとに専用のものがある場合もあります。作成方法には基本的には制約はありません。注意事項としては秘密鍵は2048 bitのものを使用してください。CSRの各項目は以下の内容にする必要があります。特にLocalityは値が空ではなく項目自体を使用しないことに注意してください。
作成方法には基本的には制約はありません。
 
注意事項としては秘密鍵は2048 bitのものを使用してください。
 
CSRの各項目は以下の内容にする必要があります。
 
特にLocalityは値が空ではなく項目自体を使用しないことに注意してください。
 
  
 
{| class="wikitable"  
 
{| class="wikitable"  
| Country || C=JP
+
| '''Country''' || C=JP
 
|-
 
|-
| State or Province(ST) || ST=Tokyo
+
| '''State or Province(ST)''' || ST=Tokyo
 
|-
 
|-
| Locality || (使用しないでください)
+
| '''Locality''' || (使用しないでください)
 
|-
 
|-
| Organization || O=The University of Tokyo
+
| '''Organization''' || O=The University of Tokyo
 
|-
 
|-
| Organizational Unit || OU=School of Science
+
| '''Organizational Unit''' || OU=School of Science
 
|-
 
|-
| Common Name || CN=XXX.YYY.s.u-tokyo.ac.jp
+
| '''Common Name''' || CN=XXX.YYY.s.u-tokyo.ac.jp
 
|}
 
|}
  
95行目: 80行目:
 
=== サーバ証明書発行申請システムでの申請 ===
 
=== サーバ証明書発行申請システムでの申請 ===
  
サーバ証明書発行システムでの申請手続きは以下のような流れになります。
+
サーバ証明書発行システムでの申請手続きは以下のような流れになります。システムのマニュアルはログインページからダウンロード可能です。理学系研究科では事前審査は必要ありません。
システムのマニュアルはログインページからダウンロード可能です。
 
理学系研究科では事前審査は必要ありません。
 
  
 
* [https://app.pki.itc.u-tokyo.ac.jp/ サーバ証明書発行申請システム] にアクセス
 
* [https://app.pki.itc.u-tokyo.ac.jp/ サーバ証明書発行申請システム] にアクセス
** 「申請・承認」ボタンをクリックしUTokyo Accountでログイン
+
** '''「申請・承認」'''ボタンをクリックしUTokyo Accountでログイン
* 申請書作成ボタンをクリックして申請ページへ
+
* '''「申請書作成」'''ボタンをクリックして申請ページへ
 
* 必要事項を記入
 
* 必要事項を記入
** 証明書申請者氏名: 本人の氏名を入力してください
+
** '''証明書申請者氏名''': 本人の氏名を入力してください
** 部局名: 理学系研究科・理学部を選択してください
+
** '''部局名''': 理学系研究科・理学部を選択してください
** 連絡先メールアドレス: 本人のメールアドレスを入力してください(発行完了の連絡などが届きます)
+
** '''連絡先メールアドレス''': 本人のメールアドレスを入力してください(発行完了の連絡などが届きます)
** ホスト名: サーバ証明書発行するサーバ名を入力してください(XXX.YYY.s.u-tokyo.ac.jp)
+
** '''ホスト名''': サーバ証明書発行するサーバ名を入力してください(XXX.YYY.s.u-tokyo.ac.jp)
** 申請種別: 新規の場合は「新規発行」、更新の場合は「更新」を選択してください
+
** '''申請種別''': 新規の場合は「新規発行」、更新の場合は「更新」を選択してください
** CSR: 上記で作成したhoge.csrを選択してください
+
** '''CSR''': 上記で作成したhoge.csrを選択してください
* 下にある申請ボタンをクリックして申請完了
+
* 下にある'''「申請」'''ボタンをクリックして申請完了
  
 
[[Category:情報システムチーム]]
 
[[Category:情報システムチーム]]

2020年2月21日 (金) 16:27時点における版

情報システムチーム > サーバ証明書

1 概要

暗号化でウェブサイトを保護するhttps通信を行うにはウェブサーバにサーバ証明書を設定する必要があります。(サーバ証明書はウェブサーバだけでなくメールサーバなどでも使用されます。)サーバ証明書は商用サービスや無料のプロジェクトで発行されるものがありますが、東京大学では国立情報学研究所(NII)のUPKI電子証明書発行サービスにより発行されるサーバ証明書を利用する事が出来ます。この証明書は無料のプロジェクトや安価なサービスで提供されているドメイン名だけが証明されるDV (Domain Validation)証明書とは異なり、組織名も含めて証明されるOV (Organization Validation)証明書となります。その発行のための運用体制は、東京大学全体として東大登録局を運用し、その配下でs.u-tokyo.ac.jpドメインを管轄する理学系研究科TLRA(東大部局登録局)を運用する体制となっています。

サーバ証明書の発行は東大登録局で運用されているサーバ証明書発行申請システムにより申請が可能です。(紙による申請は必要ありません。)理学系研究科TLRAでは利用に際して個別の費用は発生しません。

2 対象となるサーバ

理学系研究科TLRAでサーバ証明書の発行対象となるのは s.u-tokyo.ac.jp 配下のドメインです。それ以外のドメインについて利用したい場合は東大登録局を参照してください。

3 サーバ証明書の発行手続き

発行手続きの概要です。詳細な手順については後述します。

  • サーバ証明書を発行するサーバの CSR を作成
  • サーバ証明書発行申請システム から申請(UTokyo Accountでログイン可能です)
  • TLRA (情報システムチーム)で承認
  • TRA(情報基盤センター)で承認
  • サーバ証明書発行申請システムから発行完了のメールが届き、証明書のダウンロードが可能になります

4 サーバ証明書の更新手続き

サーバ証明書の有効期限は25か月(2年+更新のための猶予1か月)です。継続して利用する場合には更新の手続きが必要となります。

更新は発行と同じ手続きです。申請システムの申請種別のところで「新規発行」ではなく「更新」を選択してください。

5 サーバ証明書発行の詳細手順

5.1 CSR の作成

対象となるウェブサーバでサーバ証明書の発行に利用する秘密鍵と申請に利用するCSRを作成する必要があります。秘密鍵やCSRは再利用することなく申請ごとに作成してください。

秘密鍵やCSRの作成方法は利用するウェブサーバやシステムごとに専用のものがある場合もあります。作成方法には基本的には制約はありません。注意事項としては秘密鍵は2048 bitのものを使用してください。CSRの各項目は以下の内容にする必要があります。特にLocalityは値が空ではなく項目自体を使用しないことに注意してください。

Country C=JP
State or Province(ST) ST=Tokyo
Locality (使用しないでください)
Organization O=The University of Tokyo
Organizational Unit OU=School of Science
Common Name CN=XXX.YYY.s.u-tokyo.ac.jp

Linux上でopensslコマンドを使用してCSRを作成する手順を以下に示します。

  • 2048bit の秘密鍵 hoge.key の生成
$ openssl genrsa -out hoge.key 2048
  • 秘密鍵 hoge.key を使用して CSR hoge.csr の作成
$ openssl req -new -key hoge.key -out hoge.csr
  • 以下のように表示されます(赤文字が入力部分。ホスト名は申請するものを入力してください。)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:Tokyo
Locality Name (eg, city) [Default City]:.
Organization Name (eg, company) [Default Company Ltd]:The University of Tokyo
Organizational Unit Name (eg, section) []:School of Science
Common Name (eg, your name or your server's hostname) []:XXX.YYY.s.u-tokyo.ac.jp
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

5.2 サーバ証明書発行申請システムでの申請

サーバ証明書発行システムでの申請手続きは以下のような流れになります。システムのマニュアルはログインページからダウンロード可能です。理学系研究科では事前審査は必要ありません。

  • サーバ証明書発行申請システム にアクセス
    • 「申請・承認」ボタンをクリックしUTokyo Accountでログイン
  • 「申請書作成」ボタンをクリックして申請ページへ
  • 必要事項を記入
    • 証明書申請者氏名: 本人の氏名を入力してください
    • 部局名: 理学系研究科・理学部を選択してください
    • 連絡先メールアドレス: 本人のメールアドレスを入力してください(発行完了の連絡などが届きます)
    • ホスト名: サーバ証明書発行するサーバ名を入力してください(XXX.YYY.s.u-tokyo.ac.jp)
    • 申請種別: 新規の場合は「新規発行」、更新の場合は「更新」を選択してください
    • CSR: 上記で作成したhoge.csrを選択してください
  • 下にある「申請」ボタンをクリックして申請完了