.. _upki:

=============================
UPKI サーバ証明書発行サービス
=============================

.. _サーバー証明書インストールマニュアル: https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=26183052

.. _事前準備〜証明書の申請から取得まで: https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=26188809

.. _TSV作成ツール操作マニュアル: https://certs.nii.ac.jp/document/115

.. contents:: 目次
  :local:
  :depth: 2

.. _upki_basics:

基本情報
========

国立情報学研究所の `UPKI電子証明書発行サービス` を通じて
``uec.ac.jp`` で利用可能なサーバ証明書を発行するサービスです．
発行されたサーバ証明書は，HTTPS など，TLS (SSL) を用いる一般的な用途に利用できます．

.. _upki_apply:

証明書の新規発行・更新手順
==========================

1. 申請書の提出

  .. hint::
    証明書の新規発行と更新の手続きは同じです．
    **更新時にも** FQDNの存在やドメイン管理者の確認が義務付けられています．
    **申請書の提出** をお願いいたします．

  `情報基盤センター申請書一覧`_ の **UPKI SSL サーバ証明書申請書** に必要事項を記入し，
  情報基盤センター業務事務室（東3号館4階）に提出してください．
  本人確認を行いますので, **身分証明書** を忘れずにお持ちください．

  **研究・教育で利用する場合:**
    申請書の `証明書管理者` と `申請責任者` は共に常勤教職員として下さい．
  **学生のサークル活動等で利用する場合:**
    申請書の `証明書管理者` は学生でも問題ありません． `申請責任者` は組織を監督する立場の常勤教職員（顧問や事務職員）として下さい．

  申請書に基づき, 情報基盤センターが FQDN (サーバー名) のドメイン管理者に FQDN の存在確認を行います．
  存在確認後，申請内容を審査し, 結果を `証明書管理者` と `申請責任者` の UEC アカウント宛にメールにてご連絡します．

2. CSR (Certificate Signing Request, 証明書署名要求) の作成

  管理責任者は `事前準備〜証明書の申請から取得まで`_ に沿って **鍵長が2048bitsの鍵ペア** を作成してください．

  .. caution::
    証明書 **更新時** も，必ず **新しい鍵ペア(秘密鍵，公開鍵)** を作成してください．

  作成した鍵ペアを使って **CSR** を作成してください．
  CSR を作成する際は **主体者 DN** の入力が必要です．以下を入力してください．

  +------------+--------------------------------------------------+
  | **属性名** | **入力する内容**                                 |
  +------------+--------------------------------------------------+
  | **C**      | ``JP``                                           |
  +------------+--------------------------------------------------+
  | **ST**     | ``tokyo``                                        |
  +------------+--------------------------------------------------+
  | **L**      | ``chofu``                                        |
  +------------+--------------------------------------------------+
  | **O**      | ``The University of Electro-Communications``     |
  +------------+--------------------------------------------------+
  | **CN**     | サーバのFQDN (ホスト名)                          |
  +------------+--------------------------------------------------+
  | **Email**  | 空欄 (次の手順で指定します)                      |
  +------------+--------------------------------------------------+

  .. hint::
    - **2022年7月26日より，主体者DNのOU属性は廃止** されました．主体者DNにOU属性があるCSRは受理されませんので，OU属性はつけないでください
    - OpenSSL で空欄を入力する場合は「.」（半角ピリオド）を入力します

3. TSV の作成

  `TSV作成ツール操作マニュアル`_ の `2.2.1.サーバ証明書` の手順に沿って，
  先程作成した CSR を元に TSV ファイルを作成します．

  a. `TSVツール <https://certs.nii.ac.jp/tsv-tool/>`_ にアクセスし
     :guilabel:`作成開始` を押して下さい．

  b. :guilabel:`TSVファイルの種別` を次の場合に応じて選択し，:guilabel:`この内容で作成開始` を押してください．

    .. hint::
      サーバ証明書の更新時に入力する **失効対象証明書シリアル番号** は，
      **10進数値** もしくは, **頭に「0x」を付加した16進数値** で入力してください．
      詳しくは `UPKI-FAQ サーバ証明書のシリアル番号を確認したい <https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=67622450>`_ をご覧ください．

  c. CSR ファイルを読み込んでください．
     さらに，不足している情報を下記のように入力して，TSV を作成してください．

     - 必須の入力項目は, **利用管理者 Email**, **Webサーバソフトウェア名等** です．
     - **利用管理者氏名** と **利用管理者所属** は必須の項目ではありませんが，
       申請システムからのメールの宛名としてメール本文に埋め込まれますのでできるだけご入力ください．
     - **利用管理者 Email** は半角のみでご入力ください．
     - **利用管理者氏名**, **利用管理者所属**, **Webサーバソフトウェア名等** は半角全角どちらでも入力可能です．
     - **利用管理者 Email** に記入したメールアドレスに発行通知等のメールが送信されてきます．
       必ず受信可能なメールアドレスを記入してください．
     - **Webサーバソフトウェア名等** にはサーバ証明書を利用する HTTP サーバ等のソフトウェア名を入力してください．
     - `(オプション)` 同一計算機・同一 OS でホスト名が異なる複数のサーバで一つの証明書を利用する
       場合, **dNSName** の項目を以下の例のように指定してください．
       ``dNSName=aaa.example.ac.jp,dNSName=bbb.example.ac.jp``

4. TSVファイルの送付

  前の手順で生成した TSV ファイルを，情報基盤センターにメールでお送りください．
  送付先は, 手順 1. のメールでお知らせします．

  提出された TSV ファイルに基づいて，情報基盤センターの担当者が証明書の発行組織（認証局）に
  発行申請を行います．TSV ファイルに誤りがあった場合は，適宜，修正を依頼します．

5. サーバ証明書と中間CA証明書のダウンロード

  認証局にて申請が受理され，処理が完了すると， 手順 3. で TSV ファイルに入力した ``利用管理者 Email`` に
  通知が送られます．通知本文に，**サーバ証明書** と
  **中間CA証明書** のダウンロード リンクが埋め込まれていますので保存してください．

  .. caution::
    サーバ証明書の発行日時が **2018年3月26日19時以降** と **2018年3月26日14時以前** で
    有効な中間 CA 証明書が異なります．よくご確認の上，ご利用ください．

6. サーバ証明書のインストール（利用者）

  `サーバー証明書インストールマニュアル`_ に沿って
  サーバ証明書と中間CA証明書を各自のサーバにインストールしてご利用ください．
  インストール後，ブラウザ等でサーバ証明書の有効期限等を確認してください．

7 (更新時のみ) 古い証明書の失効

  サーバ証明書のインストールが完了したら，作業が完了したサーバのFQDNを
  情報基盤センターにご連絡ください．TSVファイルの作成は不要です．

.. _upki_caution:

注意事項
========

.. _upki_caution_renew:

証明書の更新について
--------------------

証明書の更新時にも，新規申請同様にFQDNの存在やドメイン管理者の確認が義務付けられています．
`証明書の新規発行・更新手順`_ に沿って，申請書の提出をお願いいたします．

更新した証明書をサーバなどに設定した後は，古い証明書の失効が必要です．
証明書の入れ替え作業完了後に情報基盤センターまでご連絡ください．
TSV ファイルの作成は必要ありません．

.. note::
  サーバ証明書を更新もしくは失効する際に入力する **失効対象証明書シリアル番号** は， **10進数の値** にしてください．16進数の値となっているとエラーとなります．

.. _upki_caution_server_setting:

証明書の入れ替え作業について
----------------------------

情報基盤センターでは鍵ペアの生成やサーバ証明書のインストール等への支援は行ないません．
国立情報学研究所のウェブページやインターネット上にある文章を参考に，各自で作業を行ってください．
特に `UPKI電子証明書発行サービス（国立情報学研究所） <https://certs.nii.ac.jp/>`_ を必ずご確認ください．

バーチャルドメインサーバで SSL サーバ証明書を利用する場合は，

* 今回発行された **SSL サーバ証明書**
* TSV ファイルの作成時に使用した **私有鍵（サーバ秘密鍵）**
* **中間証明書**

.. warning::
  **私有鍵** のパスフレーズは必ず削除（解除）してください．

の 3 点を :ref:`UEC Disk2 のチケットリンク <uecdisk2_share_link>` または，電通大 Google Workspaceの Google ドライブにて共有し，
URL を `support@cc.uec.ac.jp <mailto:support@cc.uec.ac.jp>`_
にご連絡ください．

.. _upki_caution_due:

証明書の有効期限について
------------------------

サーバ証明書の有効期限等は国立情報学研究所の UPKI 電子証明書発行サービスにて決められております．
情報基盤センターで期限の調整等はできませんので，あらかじめご了承ください．

.. _upki_caution_server_high_risk:

証明書の発行遅延または不許可について
------------------------------------

CSR 作成の際に， **CN** もしくは **SAN** の値として，
フィッシング等に不正利用される恐れのあるサーバ名を設定すると，
正当性確認のため証明書発行が遅延するか，場合によっては不許可となります．

審査は第三者の認証局で行われます．
遅延や不許可の理由は，情報基盤センターではお答えできませんのでご了承ください．

認証局は判定の基準を非公開としておりますが，Google, Microsoft, Amazon など，
広く一般に普及しているサービスと混同される恐れのあるものは，遅延や不許可の対象となる可能性があります．

FAQ
===

.. toctree::
  :maxdepth: 1

  faq.rst