UPKI Server Certificate Issuance Service¶
Table of Contents
Basic Information¶
国立情報学研究所の UPKI電子証明書発行サービス を通じて
uec.ac.jp
で利用可能なサーバ証明書を発行するサービスです.
発行されたサーバ証明書は,HTTPS など,TLS (SSL) を用いる一般的な用途に利用できます.
New Certificate Issuance and Renewal Procedures¶
Submission of application form (user)
Hint
証明書の新規発行と更新の手続きは同じです. 更新時にも FQDNの存在やドメイン管理者の確認が義務付けられています. 申請書の提出 をお願いいたします.
情報基盤センター申請書一覧 の UPKI SSL サーバ証明書申請書 に必要事項を記入し, 情報基盤センター業務事務室(東3号館4階)に提出してください. 本人確認を行いますので, 身分証明書 を忘れずにお持ちください.
- For use in research and education:
Both the certificate manager and the application manager on the application form should be .full-time faculty members.
- For use in student circle activities, etc.:
The certificate manager’ on the application form can be a student. The `application manager should be a full-time faculty member (advisor or administrative staff) who is in a position to supervise the organization.
申請書に基づき, 情報基盤センターが FQDN (サーバー名) のドメイン管理者に FQDN の存在確認を行います. 存在確認後,申請内容を審査し, 結果を 証明書管理者 と 申請責任者 の UEC アカウント宛にメールにてご連絡します.
Create a CSR (Certificate Signing Request) (user)
The administrator should create a key pair with a key length of 2048bits according to the procedure described in 事前準備〜証明書の申請から取得まで`_.**Create a new key pair** when updating. When you update, you also need to update the key. In addition, create a CSR**using the key pair you have created.When creating a CSR, the **Subject DN must be entered. Please enter the following information.
Caution
Please make sure to create a new key pair (private key, public key)** even when the certificate ** is updated
Create a CSR using the key pair you created. You will need to enter a subject DN when creating a CSR. Enter the following.
Attribute Name
What to enter
C
JP
ST
tokyo
L
chofu
O
The University of Electro-Communications
CN
Server’s FQDN (host name)
Blank (Specify in the next step.)
Hint
2022年7月26日より,主体者DNのOU属性は廃止 されました.主体者DNにOU属性があるCSRは受理されませんので,OU属性はつけないでください
To enter a blank field in OpenSSL, enter 「.」 (half-width period).
Creating TSVs
Create a TSV file based on the CSR that you have just created, following the procedure described in 2.2.1.サーバ証明書 in the TSV作成ツール操作マニュアル.
TSVツール にアクセスし 作成開始 を押して下さい.
Select “TSV file type according to the following conditions, and press:guilabel:Start creating with this content.
Hint
サーバ証明書の更新時に入力する 失効対象証明書シリアル番号 は, 10進数値 もしくは, 頭に「0x」を付加した16進数値 で入力してください. 詳しくは UPKI-FAQ サーバ証明書のシリアル番号を確認したい をご覧ください.
Load the CSR file. In addition, please enter the missing information as follows to create the TSV.
The required fields are 利用管理者 Email and Webサーバソフトウェア名等.
利用管理者氏名 と 利用管理者所属 は必須の項目ではありませんが, 申請システムからのメールの宛名としてメール本文に埋め込まれますのでできるだけご入力ください.
Please enter only one-byte characters for 利用管理者 Email.
利用管理者氏名, 利用管理者所属, Webサーバソフトウェア名等 can be entered in both single-byte and double-byte characters.
You will receive an email notification of the issue to the email address you entered in the 利用管理者 Email field. Please make sure to enter an e-mail address that can be received.
Enter the name of the HTTP server or other software that uses the server certificate in Webサーバソフトウェア名等.
(オプション) 同一計算機・同一 OS でホスト名が異なる複数のサーバで一つの証明書を利用する 場合, dNSName の項目を以下の例のように指定してください.
dNSName=aaa.example.ac.jp,dNSName=bbb.example.ac.jp
Sending TSV Files
Please send the TSV file generated in the previous step to the Information Technology Center by e-mail. You will be informed of the mailing address by the e-mail in 2.
提出された TSV ファイルに基づいて,情報基盤センターの担当者が証明書の発行組織(認証局)に 発行申請を行います.TSV ファイルに誤りがあった場合は,適宜,修正を依頼します.
Download the server certificate and intermediate CA certificate. (User)
認証局にて申請が受理され,処理が完了すると, 手順 3. で TSV ファイルに入力した
利用管理者 Email
に 通知が送られます.通知本文に,サーバ証明書 と 中間CA証明書 のダウンロード リンクが埋め込まれていますので保存してください.Caution
The valid intermediate CA certificate differs depending on whether the server certificate is issued after 19:00 on March 26, 2018 or before 14:00 on March 26, 2018.Please check carefully before use.
Install the server certificate (User)
サーバー証明書インストールマニュアル に沿って サーバ証明書と中間CA証明書を各自のサーバにインストールしてご利用ください. インストール後,ブラウザ等でサーバ証明書の有効期限等を確認してください.
7 (Renewal Only) Revocation of Old Certificate
When the server certificate installation is complete, please contact the information infrastructure center with the FQDN of the completed server.No TSV file is required
precautions¶
Renewal of Certificates¶
When renewing a certificate, the existence of FQDNs and domain administrators are required as well as new applications. Please submit an application in accordance with the new issuance/renewal procedures for certificates.
After setting up the updated certificate on the server, you need to revoke the old certificate.Please contact the Information Technology Center after completing the replacement of the certificate. It is not necessary to create a TSV file.
Note
When renewing or revoking a server certificate, the 失効対象証明書シリアル番号**should be a **decimal value.If the value is a hexadecimal number, an error will occur.
About the replacement of certificates¶
情報基盤センターでは鍵ペアの生成やサーバ証明書のインストール等への支援は行ないません. 国立情報学研究所のウェブページやインターネット上にある文章を参考に,各自で作業を行ってください. 特に UPKI電子証明書発行サービス(国立情報学研究所) を必ずご確認ください.
If you want to use an SSL server certificate on a virtual domain server,
The SSL server certificate issued this time
The private key (server private key) used to create the TSV file
Intermediate certificate
Warning
Make sure to delete (cancel) the passphrase of the private key.
Please share the three points at UEC Disk ticket link and send the URL to support@cc.uec.ac.jp.
Certificate Expiration Date¶
サーバ証明書の有効期限等は国立情報学研究所の UPKI 電子証明書発行サービスにて決められております. 情報基盤センターで期限の調整等はできませんので,あらかじめご了承ください.
Delay or Denial of Certificate Issuance¶
CSR 作成の際に, CN もしくは SAN の値として, フィッシング等に不正利用される恐れのあるサーバ名を設定すると, 正当性確認のため証明書発行が遅延するか,場合によっては不許可となります.
The audit is conducted by a third-party certification authority.Please note that the Information Technology Center will not be able to provide reasons for delays or denials.
認証局は判定の基準を非公開としておりますが,Google, Microsoft, Amazon など, 広く一般に普及しているサービスと混同される恐れのあるものは,遅延や不許可の対象となる可能性があります.