UPKI サーバ証明書発行サービス

基本情報

国立情報学研究所の UPKI電子証明書発行サービス を通じて uec.ac.jp で利用可能なサーバ証明書を発行するサービスです. 発行されたサーバ証明書は,HTTPS など,TLS (SSL) を用いる一般的な用途に利用できます.

証明書の新規発行・更新手順

  1. 申請書の提出

ヒント

証明書の新規発行と更新の手続きは同じです. 更新時にも FQDNの存在やドメイン管理者の確認が義務付けられています. 申請書の提出 をお願いいたします.

情報基盤センター申請書一覧UPKI SSL サーバ証明書申請書 に必要事項を記入し, 情報基盤センター業務事務室(東3号館4階)に提出してください. 本人確認を行いますので, 身分証明書 を忘れずにお持ちください.

研究・教育で利用する場合:

申請書の 証明書管理者申請責任者 は共に常勤教職員として下さい.

学生のサークル活動等で利用する場合:

申請書の 証明書管理者 は学生でも問題ありません. 申請責任者 は組織を監督する立場の常勤教職員(顧問や事務職員)として下さい.

申請書に基づき, 情報基盤センターが FQDN (サーバー名) のドメイン管理者に FQDN の存在確認を行います. 存在確認後,申請内容を審査し, 結果を 証明書管理者申請責任者 の UEC アカウント宛にメールにてご連絡します.

  1. CSR (Certificate Signing Request, 証明書署名要求) の作成

管理責任者は 事前準備〜証明書の申請から取得まで に沿って 鍵長が2048bitsの鍵ペア を作成してください.

注意

証明書 更新時 も,必ず 新しい鍵ペア(秘密鍵,公開鍵) を作成してください.

作成した鍵ペアを使って CSR を作成してください. CSR を作成する際は 主体者 DN の入力が必要です.以下を入力してください.

属性名

入力する内容

C

JP

ST

tokyo

L

chofu

O

The University of Electro-Communications

CN

サーバのFQDN (ホスト名)

Email

空欄 (次の手順で指定します)

ヒント

  • 2022年7月26日より,主体者DNのOU属性は廃止 されました.主体者DNにOU属性があるCSRは受理されませんので,OU属性はつけないでください

  • OpenSSL で空欄を入力する場合は「.」(半角ピリオド)を入力します

  1. TSV の作成

TSV作成ツール操作マニュアル2.2.1.サーバ証明書 の手順に沿って, 先程作成した CSR を元に TSV ファイルを作成します.

  1. TSVツール にアクセスし 作成開始 を押して下さい.

  2. TSVファイルの種別 を次の場合に応じて選択し,この内容で作成開始 を押してください.

ヒント

新規発行申請用TSV
  • これまでに証明書を発行した事がないサーバに対して証明書を 新規発行 する場合

  • 2022年7月26日以前 に発行された 主体者DNにOU属性を含む サーバ証明書を OU 属性を削除して 更新 する場合.ただし,OU属性削除後の主体者DNについて,同一の主体者DNを持つ証明書を過去に発行していない場合 (期限切れや失効済みを含む) .主体者DNのCN, O, C 属性が同一の証明書は同じ証明書として扱われます.このとき,L, ST 属性は比較されません.

更新申請用TSV
  • 2022年7月27日以降 に発行された 主体者DNにOU属性を含まない サーバ証明書を 更新 する場合

  • 2022年7月26日以前 に発行され,かつ 主体者DNにOU属性を含まない サーバ証明書を 更新 する場合

  • 同一の主体者DNを持つ証明書を過去に発行している場合 (期限切れや失効済みを含む) .主体者DNのCN, O, C 属性が同一の証明書は同じ証明書として扱われます.このとき,L, ST 属性は比較されません.

ヒント

サーバ証明書の更新時に入力する 失効対象証明書シリアル番号 は, 10進数値 もしくは, 頭に「0x」を付加した16進数値 で入力してください. 詳しくは UPKI-FAQ サーバ証明書のシリアル番号を確認したい をご覧ください.

  1. CSR ファイルを読み込んでください. さらに,不足している情報を下記のように入力して,TSV を作成してください.

    • 必須の入力項目は, 利用管理者 Email, Webサーバソフトウェア名等 です.

    • 利用管理者氏名利用管理者所属 は必須の項目ではありませんが, 申請システムからのメールの宛名としてメール本文に埋め込まれますのでできるだけご入力ください.

    • 利用管理者 Email は半角のみでご入力ください.

    • 利用管理者氏名, 利用管理者所属, Webサーバソフトウェア名等 は半角全角どちらでも入力可能です.

    • 利用管理者 Email に記入したメールアドレスに発行通知等のメールが送信されてきます. 必ず受信可能なメールアドレスを記入してください.

    • Webサーバソフトウェア名等 にはサーバ証明書を利用する HTTP サーバ等のソフトウェア名を入力してください.

    • (オプション) 同一計算機・同一 OS でホスト名が異なる複数のサーバで一つの証明書を利用する 場合, dNSName の項目を以下の例のように指定してください. dNSName=aaa.example.ac.jp,dNSName=bbb.example.ac.jp

  1. TSVファイルの送付

前の手順で生成した TSV ファイルを,情報基盤センターにメールでお送りください. 送付先は, 手順 1. のメールでお知らせします.

提出された TSV ファイルに基づいて,情報基盤センターの担当者が証明書の発行組織(認証局)に 発行申請を行います.TSV ファイルに誤りがあった場合は,適宜,修正を依頼します.

  1. サーバ証明書と中間CA証明書のダウンロード

認証局にて申請が受理され,処理が完了すると, 手順 3. で TSV ファイルに入力した 利用管理者 Email に 通知が送られます.通知本文に,サーバ証明書中間CA証明書 のダウンロード リンクが埋め込まれていますので保存してください.

注意

サーバ証明書の発行日時が 2018年3月26日19時以降2018年3月26日14時以前 で 有効な中間 CA 証明書が異なります.よくご確認の上,ご利用ください.

  1. サーバ証明書のインストール(利用者)

サーバー証明書インストールマニュアル に沿って サーバ証明書と中間CA証明書を各自のサーバにインストールしてご利用ください. インストール後,ブラウザ等でサーバ証明書の有効期限等を確認してください.

7 (更新時のみ) 古い証明書の失効

サーバ証明書のインストールが完了したら,作業が完了したサーバのFQDNを 情報基盤センターにご連絡ください.TSVファイルの作成は不要です.

注意事項

証明書の更新について

証明書の更新時にも,新規申請同様にFQDNの存在やドメイン管理者の確認が義務付けられています. 証明書の新規発行・更新手順 に沿って,申請書の提出をお願いいたします.

更新した証明書をサーバなどに設定した後は,古い証明書の失効が必要です. 証明書の入れ替え作業完了後に情報基盤センターまでご連絡ください. TSV ファイルの作成は必要ありません.

注釈

サーバ証明書を更新もしくは失効する際に入力する 失効対象証明書シリアル番号 は, 10進数の値 にしてください.16進数の値となっているとエラーとなります.

証明書の入れ替え作業について

情報基盤センターでは鍵ペアの生成やサーバ証明書のインストール等への支援は行ないません. 国立情報学研究所のウェブページやインターネット上にある文章を参考に,各自で作業を行ってください. 特に UPKI電子証明書発行サービス(国立情報学研究所) を必ずご確認ください.

バーチャルドメインサーバで SSL サーバ証明書を利用する場合は,

  • 今回発行された SSL サーバ証明書

  • TSV ファイルの作成時に使用した 私有鍵(サーバ秘密鍵)

  • 中間証明書

警告

私有鍵 のパスフレーズは必ず削除(解除)してください.

の 3 点を UEC Disk2 のチケットリンク または,電通大 Google Workspaceの Google ドライブにて共有し, URL を support@cc.uec.ac.jp にご連絡ください.

証明書の有効期限について

サーバ証明書の有効期限等は国立情報学研究所の UPKI 電子証明書発行サービスにて決められております. 情報基盤センターで期限の調整等はできませんので,あらかじめご了承ください.

証明書の発行遅延または不許可について

CSR 作成の際に, CN もしくは SAN の値として, フィッシング等に不正利用される恐れのあるサーバ名を設定すると, 正当性確認のため証明書発行が遅延するか,場合によっては不許可となります.

審査は第三者の認証局で行われます. 遅延や不許可の理由は,情報基盤センターではお答えできませんのでご了承ください.

認証局は判定の基準を非公開としておりますが,Google, Microsoft, Amazon など, 広く一般に普及しているサービスと混同される恐れのあるものは,遅延や不許可の対象となる可能性があります.

FAQ