.. _upki: ============================= UPKI サーバ証明書発行サービス ============================= .. _サーバー証明書インストールマニュアル: https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=26183052 .. _事前準備〜証明書の申請から取得まで: https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=26188809 .. _TSV作成ツール操作マニュアル: https://certs.nii.ac.jp/document/115 .. contents:: 目次 :local: :depth: 2 .. _upki_basics: 基本情報 ======== 国立情報学研究所の `UPKI電子証明書発行サービス` を通じて ``uec.ac.jp`` で利用可能なサーバ証明書を発行するサービスです. 発行されたサーバ証明書は,HTTPS など,TLS (SSL) を用いる一般的な用途に利用できます. .. _upki_apply: 証明書の新規発行・更新手順 ========================== 1. 申請書の提出 .. hint:: 証明書の新規発行と更新の手続きは同じです. **更新時にも** FQDNの存在やドメイン管理者の確認が義務付けられています. **申請書の提出** をお願いいたします. `情報基盤センター申請書一覧`_ の **UPKI SSL サーバ証明書申請書** に必要事項を記入し, 情報基盤センター業務事務室(東3号館4階)に提出してください. 本人確認を行いますので, **身分証明書** を忘れずにお持ちください. **研究・教育で利用する場合:** 申請書の `証明書管理者` と `申請責任者` は共に常勤教職員として下さい. **学生のサークル活動等で利用する場合:** 申請書の `証明書管理者` は学生でも問題ありません. `申請責任者` は組織を監督する立場の常勤教職員(顧問や事務職員)として下さい. 申請書に基づき, 情報基盤センターが FQDN (サーバー名) のドメイン管理者に FQDN の存在確認を行います. 存在確認後,申請内容を審査し, 結果を `証明書管理者` と `申請責任者` の UEC アカウント宛にメールにてご連絡します. 2. CSR (Certificate Signing Request, 証明書署名要求) の作成 管理責任者は `事前準備〜証明書の申請から取得まで`_ に沿って **鍵長が2048bitsの鍵ペア** を作成してください. .. caution:: 証明書 **更新時** も,必ず **新しい鍵ペア(秘密鍵,公開鍵)** を作成してください. 作成した鍵ペアを使って **CSR** を作成してください. CSR を作成する際は **主体者 DN** の入力が必要です.以下を入力してください. +------------+--------------------------------------------------+ | **属性名** | **入力する内容** | +------------+--------------------------------------------------+ | **C** | ``JP`` | +------------+--------------------------------------------------+ | **ST** | ``tokyo`` | +------------+--------------------------------------------------+ | **L** | ``chofu`` | +------------+--------------------------------------------------+ | **O** | ``The University of Electro-Communications`` | +------------+--------------------------------------------------+ | **CN** | サーバのFQDN (ホスト名) | +------------+--------------------------------------------------+ | **Email** | 空欄 (次の手順で指定します) | +------------+--------------------------------------------------+ .. hint:: - **2022年7月26日より,主体者DNのOU属性は廃止** されました.主体者DNにOU属性があるCSRは受理されませんので,OU属性はつけないでください - OpenSSL で空欄を入力する場合は「.」(半角ピリオド)を入力します 3. TSV の作成 `TSV作成ツール操作マニュアル`_ の `2.2.1.サーバ証明書` の手順に沿って, 先程作成した CSR を元に TSV ファイルを作成します. a. `TSVツール `_ にアクセスし :guilabel:`作成開始` を押して下さい. b. :guilabel:`TSVファイルの種別` を次の場合に応じて選択し,:guilabel:`この内容で作成開始` を押してください. .. hint:: 新規発行申請用TSV - これまでに証明書を発行した事がないサーバに対して証明書を **新規発行** する場合 - **2022年7月26日以前** に発行された **主体者DNにOU属性を含む** サーバ証明書を OU 属性を削除して **更新** する場合.ただし,OU属性削除後の主体者DNについて,同一の主体者DNを持つ証明書を過去に発行していない場合 (期限切れや失効済みを含む) .主体者DNのCN, O, C 属性が同一の証明書は同じ証明書として扱われます.このとき,L, ST 属性は比較されません. 更新申請用TSV - **2022年7月27日以降** に発行された **主体者DNにOU属性を含まない** サーバ証明書を **更新** する場合 - **2022年7月26日以前** に発行され,かつ **主体者DNにOU属性を含まない** サーバ証明書を **更新** する場合 - 同一の主体者DNを持つ証明書を過去に発行している場合 (期限切れや失効済みを含む) .主体者DNのCN, O, C 属性が同一の証明書は同じ証明書として扱われます.このとき,L, ST 属性は比較されません. .. hint:: サーバ証明書の更新時に入力する **失効対象証明書シリアル番号** は, **10進数値** もしくは, **頭に「0x」を付加した16進数値** で入力してください. 詳しくは `UPKI-FAQ サーバ証明書のシリアル番号を確認したい `_ をご覧ください. c. CSR ファイルを読み込んでください. さらに,不足している情報を下記のように入力して,TSV を作成してください. - 必須の入力項目は, **利用管理者 Email**, **Webサーバソフトウェア名等** です. - **利用管理者氏名** と **利用管理者所属** は必須の項目ではありませんが, 申請システムからのメールの宛名としてメール本文に埋め込まれますのでできるだけご入力ください. - **利用管理者 Email** は半角のみでご入力ください. - **利用管理者氏名**, **利用管理者所属**, **Webサーバソフトウェア名等** は半角全角どちらでも入力可能です. - **利用管理者 Email** に記入したメールアドレスに発行通知等のメールが送信されてきます. 必ず受信可能なメールアドレスを記入してください. - **Webサーバソフトウェア名等** にはサーバ証明書を利用する HTTP サーバ等のソフトウェア名を入力してください. - `(オプション)` 同一計算機・同一 OS でホスト名が異なる複数のサーバで一つの証明書を利用する 場合, **dNSName** の項目を以下の例のように指定してください. ``dNSName=aaa.example.ac.jp,dNSName=bbb.example.ac.jp`` 4. TSVファイルの送付 前の手順で生成した TSV ファイルを,情報基盤センターにメールでお送りください. 送付先は, 手順 1. のメールでお知らせします. 提出された TSV ファイルに基づいて,情報基盤センターの担当者が証明書の発行組織(認証局)に 発行申請を行います.TSV ファイルに誤りがあった場合は,適宜,修正を依頼します. 5. サーバ証明書と中間CA証明書のダウンロード 認証局にて申請が受理され,処理が完了すると, 手順 3. で TSV ファイルに入力した ``利用管理者 Email`` に 通知が送られます.通知本文に,**サーバ証明書** と **中間CA証明書** のダウンロード リンクが埋め込まれていますので保存してください. .. caution:: サーバ証明書の発行日時が **2018年3月26日19時以降** と **2018年3月26日14時以前** で 有効な中間 CA 証明書が異なります.よくご確認の上,ご利用ください. 6. サーバ証明書のインストール(利用者) `サーバー証明書インストールマニュアル`_ に沿って サーバ証明書と中間CA証明書を各自のサーバにインストールしてご利用ください. インストール後,ブラウザ等でサーバ証明書の有効期限等を確認してください. 7 (更新時のみ) 古い証明書の失効 サーバ証明書のインストールが完了したら,作業が完了したサーバのFQDNを 情報基盤センターにご連絡ください.TSVファイルの作成は不要です. .. _upki_caution: 注意事項 ======== .. _upki_caution_renew: 証明書の更新について -------------------- 証明書の更新時にも,新規申請同様にFQDNの存在やドメイン管理者の確認が義務付けられています. `証明書の新規発行・更新手順`_ に沿って,申請書の提出をお願いいたします. 更新した証明書をサーバなどに設定した後は,古い証明書の失効が必要です. 証明書の入れ替え作業完了後に情報基盤センターまでご連絡ください. TSV ファイルの作成は必要ありません. .. note:: サーバ証明書を更新もしくは失効する際に入力する **失効対象証明書シリアル番号** は, **10進数の値** にしてください.16進数の値となっているとエラーとなります. .. _upki_caution_server_setting: 証明書の入れ替え作業について ---------------------------- 情報基盤センターでは鍵ペアの生成やサーバ証明書のインストール等への支援は行ないません. 国立情報学研究所のウェブページやインターネット上にある文章を参考に,各自で作業を行ってください. 特に `UPKI電子証明書発行サービス(国立情報学研究所) `_ を必ずご確認ください. バーチャルドメインサーバで SSL サーバ証明書を利用する場合は, * 今回発行された **SSL サーバ証明書** * TSV ファイルの作成時に使用した **私有鍵(サーバ秘密鍵)** * **中間証明書** .. warning:: **私有鍵** のパスフレーズは必ず削除(解除)してください. の 3 点を :ref:`UEC Disk2 のチケットリンク ` または,電通大 Google Workspaceの Google ドライブにて共有し, URL を `support@cc.uec.ac.jp `_ にご連絡ください. .. _upki_caution_due: 証明書の有効期限について ------------------------ サーバ証明書の有効期限等は国立情報学研究所の UPKI 電子証明書発行サービスにて決められております. 情報基盤センターで期限の調整等はできませんので,あらかじめご了承ください. .. _upki_caution_server_high_risk: 証明書の発行遅延または不許可について ------------------------------------ CSR 作成の際に, **CN** もしくは **SAN** の値として, フィッシング等に不正利用される恐れのあるサーバ名を設定すると, 正当性確認のため証明書発行が遅延するか,場合によっては不許可となります. 審査は第三者の認証局で行われます. 遅延や不許可の理由は,情報基盤センターではお答えできませんのでご了承ください. 認証局は判定の基準を非公開としておりますが,Google, Microsoft, Amazon など, 広く一般に普及しているサービスと混同される恐れのあるものは,遅延や不許可の対象となる可能性があります. FAQ === .. toctree:: :maxdepth: 1 faq.rst