「サーバ証明書」の版間の差分

提供: 東京大学理学系研究科wiki
移動先: 案内検索
(ページの作成:「情報システムチーム > サーバ証明書 __TOC__ == サーバ証明書の発行について == 国立情報学研究所(NII)の[https://upki-portal.nii....」)
 
5行目: 5行目:
 
== サーバ証明書の発行について ==
 
== サーバ証明書の発行について ==
  
国立情報学研究所(NII)の[https://upki-portal.nii.ac.jp/cerpj サーバ証明書発行・導入の啓発・評価研究プロジェクト]が運営する、WebTrust for CA認定ルート認証局の
+
国立情報学研究所(NII)の[https://upki-portal.nii.ac.jp/cerpj UPKIオープンドメイン証明書自動発行検証プロジェクト]が運営するNIIオープンドメイン認証局より発行されるサーバ証明書を利用する事が出来ます。
下位認証局、NIIオープンドメイン認証局より発行されるサーバ証明書を利用する事が出来ます。
 
  
理学系研究科TLRA(東大部局登録局)を立ち上げ、パブリックサーバ証明書の運用を行っています。上位組織については[http://www.pki.itc.u-tokyo.ac.jp/ 東大登録局]をご覧ください。
+
理学系研究科TLRA(東大部局登録局)を立ち上げ、パブリックサーバ証明書の運用を行っています。上位組織については[http://www.pki.itc.u-tokyo.ac.jp/cerpj/index.html 東大登録局]をご覧ください。
  
 
現在、サーバ証明書の発行対象ドメインは以下の通りです。
 
現在、サーバ証明書の発行対象ドメインは以下の通りです。
21行目: 20行目:
  
  
== 申請方法 ==
+
== 必要な手続き ==
  
申請方法は後日は記載します。
+
[http://www.pki.itc.u-tokyo.ac.jp/cerpj/index.html 東大登録局]のページに詳細な説明がありますが必要な手続きは以下の2点です。
 +
それぞれ[mailto:joho@adm.s.u-tokyo.ac.jp 情報システムチーム]まで提出してください。
 +
 
 +
* CSR の提出
 +
* 申請書の提出
 +
 
 +
またNIIのページにも[https://upki-portal.nii.ac.jp/docs/odcert/document/install マニュアル]があります。
 +
 
 +
 
 +
== 手続きの流れ ==
 +
 
 +
* サーバ証明書を発行するサーバのドメインが上記の発行対象ドメインかどうかを確認する
 +
** '''発行対象ドメインの場合:''' すぐに発行の手続きが可能です
 +
** '''発行対象ドメインではない s.u-tokyo.ac.jp のサブドメインの場合:''' 発行対象ドメインの追加の手続きを行うためお時間を頂きます(1週間程度)
 +
** '''s.u-tokyo.ac.jp 以外のドメインの場合:''' 発行の対象外です
 +
 
 +
* サーバ証明書を発行するサーバのCSRを作成して情報システムチームまで提出してください
 +
** CSRの作成に使用する秘密鍵は2048 bitにしてください。(1024bitは安全ではありません。)
 +
** 理学系の OU は "School of Science" になります。
 +
 
 +
* 情報システムチームでCSRを提出し、その時のMD5 digestの値を申請者に連絡します。
 +
 
 +
* 東大登録局のページにある[http://www.pki.itc.u-tokyo.ac.jp/cerpj/htdocs/document/certificate_issue-1.0.doc NIIサーバ証明書申請書]を記入し情報システムチームまで提出してください
 +
** 申請者はできるだけ対象となるサーバを運用する組織の責任者にしてください。(例:研究室管理の場合はその研究室の教授など、専攻施設管理の場合はネットワーク委員など)
 +
** 中央の表にある、ホスト名、申請者の所属・職名、申請者名、共通IDの項目を埋めてください。
 +
** 特記事項の欄に上で連絡した MD5 digest 値を記入してください。
 +
** 右上の日付および署名欄に申請者の署名をしてください。
 +
 
 +
* サーバ証明書の発行が完了しましたら証明書をお渡しします。(1週間程度)
 +
* 申請書に受領署名をしてください。
 +
* 発行済みの書類については情報システムチームでまとめて保管します。
 +
 
 +
 
 +
== CSR の作成例 ==
 +
 
 +
Linux上でopensslコマンドと東大登録局にあるチェックツールを使用してCSRを作成する手順の例を示します
 +
 
 +
* [https://cerpjdb.pki.itc.u-tokyo.ac.jp/csrcheck.zip チェックツール]をダウンロードして解凍
 +
* チェックツールの設定
 +
** Domain は s 、OU は School of Science を入力します
 +
$ ./configure
 +
...
 +
Your Domain: s
 +
Your OU: School of Science
 +
* 2048bit の秘密鍵 hoge.key の生成 
 +
$ openssl genrsa -out hoge.key 2048
 +
* チェックツールの設定ファイルと秘密鍵 hoge.key を使用して CSR hoge.csr の作成
 +
** ホスト名のところでサーバ証明書を発行するサーバのFQDNを入力します、それ以外はデフォルトです
 +
$ openssl req -config ./csrreq.cnf -new -key hoge.key -out hoge.csr
 +
* チェック
 +
$ ./checkcsr hoge.csr
  
  
 
[[Category:情報システムチーム]]
 
[[Category:情報システムチーム]]

2011年5月11日 (水) 14:34時点における版

情報システムチーム > サーバ証明書

1 サーバ証明書の発行について

国立情報学研究所(NII)のUPKIオープンドメイン証明書自動発行検証プロジェクトが運営するNIIオープンドメイン認証局より発行されるサーバ証明書を利用する事が出来ます。

理学系研究科TLRA(東大部局登録局)を立ち上げ、パブリックサーバ証明書の運用を行っています。上位組織については東大登録局をご覧ください。

現在、サーバ証明書の発行対象ドメインは以下の通りです。

  • s.u-tokyo.ac.jp
  • adm.s.u-tokyo.ac.jp
  • phys.s.u-tokyo.ac.jp
  • astron.s.u-tokyo.ac.jp
  • eps.s.u-tokyo.ac.jp
  • is.s.u-tokyo.ac.jp
  • icepp.s.u-tokyo.ac.jp


2 必要な手続き

東大登録局のページに詳細な説明がありますが必要な手続きは以下の2点です。 それぞれ情報システムチームまで提出してください。

  • CSR の提出
  • 申請書の提出

またNIIのページにもマニュアルがあります。


3 手続きの流れ

  • サーバ証明書を発行するサーバのドメインが上記の発行対象ドメインかどうかを確認する
    • 発行対象ドメインの場合: すぐに発行の手続きが可能です
    • 発行対象ドメインではない s.u-tokyo.ac.jp のサブドメインの場合: 発行対象ドメインの追加の手続きを行うためお時間を頂きます(1週間程度)
    • s.u-tokyo.ac.jp 以外のドメインの場合: 発行の対象外です
  • サーバ証明書を発行するサーバのCSRを作成して情報システムチームまで提出してください
    • CSRの作成に使用する秘密鍵は2048 bitにしてください。(1024bitは安全ではありません。)
    • 理学系の OU は "School of Science" になります。
  • 情報システムチームでCSRを提出し、その時のMD5 digestの値を申請者に連絡します。
  • 東大登録局のページにあるNIIサーバ証明書申請書を記入し情報システムチームまで提出してください
    • 申請者はできるだけ対象となるサーバを運用する組織の責任者にしてください。(例:研究室管理の場合はその研究室の教授など、専攻施設管理の場合はネットワーク委員など)
    • 中央の表にある、ホスト名、申請者の所属・職名、申請者名、共通IDの項目を埋めてください。
    • 特記事項の欄に上で連絡した MD5 digest 値を記入してください。
    • 右上の日付および署名欄に申請者の署名をしてください。
  • サーバ証明書の発行が完了しましたら証明書をお渡しします。(1週間程度)
  • 申請書に受領署名をしてください。
  • 発行済みの書類については情報システムチームでまとめて保管します。


4 CSR の作成例

Linux上でopensslコマンドと東大登録局にあるチェックツールを使用してCSRを作成する手順の例を示します

  • チェックツールをダウンロードして解凍
  • チェックツールの設定
    • Domain は s 、OU は School of Science を入力します
$ ./configure
...
Your Domain: s
Your OU: School of Science
  • 2048bit の秘密鍵 hoge.key の生成
$ openssl genrsa -out hoge.key 2048
  • チェックツールの設定ファイルと秘密鍵 hoge.key を使用して CSR hoge.csr の作成
    • ホスト名のところでサーバ証明書を発行するサーバのFQDNを入力します、それ以外はデフォルトです
$ openssl req -config ./csrreq.cnf -new -key hoge.key -out hoge.csr
  • チェック
$ ./checkcsr hoge.csr