UPKI サーバ証明書発行サービス¶
基本情報¶
国立情報学研究所の UPKI電子証明書発行サービス を通じて
uec.ac.jp
で利用可能なサーバ証明書を発行するサービスです.
発行されたサーバ証明書は,HTTPS など,TLS (SSL) を用いる一般的な用途に利用できます.
証明書の新規発行・更新手順¶
申請書の提出
ヒント
証明書の新規発行と更新の手続きは同じです. 更新時にも FQDNの存在やドメイン管理者の確認が義務付けられています. 申請書の提出 をお願いいたします.
情報基盤センター申請書一覧 の UPKI SSL サーバ証明書申請書 に必要事項を記入し, 情報基盤センター業務事務室(東3号館4階)に提出してください. 本人確認を行いますので, 身分証明書 を忘れずにお持ちください.
- 研究・教育で利用する場合:
申請書の 証明書管理者 と 申請責任者 は共に常勤教職員として下さい.
- 学生のサークル活動等で利用する場合:
申請書の 証明書管理者 は学生でも問題ありません. 申請責任者 は組織を監督する立場の常勤教職員(顧問や事務職員)として下さい.
申請書に基づき, 情報基盤センターが FQDN (サーバー名) のドメイン管理者に FQDN の存在確認を行います. 存在確認後,申請内容を審査し, 結果を 証明書管理者 と 申請責任者 の UEC アカウント宛にメールにてご連絡します.
CSR (Certificate Signing Request, 証明書署名要求) の作成
管理責任者は 事前準備〜証明書の申請から取得まで に沿って 鍵長が2048bitsの鍵ペア を作成してください.
注意
証明書 更新時 も,必ず 新しい鍵ペア(秘密鍵,公開鍵) を作成してください.
作成した鍵ペアを使って CSR を作成してください. CSR を作成する際は 主体者 DN の入力が必要です.以下を入力してください.
属性名
入力する内容
C
JP
ST
tokyo
L
chofu
O
The University of Electro-Communications
CN
サーバのFQDN (ホスト名)
空欄 (次の手順で指定します)
ヒント
2022年7月26日より,主体者DNのOU属性は廃止 されました.主体者DNにOU属性があるCSRは受理されませんので,OU属性はつけないでください
OpenSSL で空欄を入力する場合は「.」(半角ピリオド)を入力します
TSV の作成
TSV作成ツール操作マニュアル の 2.2.1.サーバ証明書 の手順に沿って, 先程作成した CSR を元に TSV ファイルを作成します.
TSVツール にアクセスし 作成開始 を押して下さい.
TSVファイルの種別 を次の場合に応じて選択し,この内容で作成開始 を押してください.
ヒント
サーバ証明書の更新時に入力する 失効対象証明書シリアル番号 は, 10進数値 もしくは, 頭に「0x」を付加した16進数値 で入力してください. 詳しくは UPKI-FAQ サーバ証明書のシリアル番号を確認したい をご覧ください.
CSR ファイルを読み込んでください. さらに,不足している情報を下記のように入力して,TSV を作成してください.
必須の入力項目は, 利用管理者 Email, Webサーバソフトウェア名等 です.
利用管理者氏名 と 利用管理者所属 は必須の項目ではありませんが, 申請システムからのメールの宛名としてメール本文に埋め込まれますのでできるだけご入力ください.
利用管理者 Email は半角のみでご入力ください.
利用管理者氏名, 利用管理者所属, Webサーバソフトウェア名等 は半角全角どちらでも入力可能です.
利用管理者 Email に記入したメールアドレスに発行通知等のメールが送信されてきます. 必ず受信可能なメールアドレスを記入してください.
Webサーバソフトウェア名等 にはサーバ証明書を利用する HTTP サーバ等のソフトウェア名を入力してください.
(オプション) 同一計算機・同一 OS でホスト名が異なる複数のサーバで一つの証明書を利用する 場合, dNSName の項目を以下の例のように指定してください.
dNSName=aaa.example.ac.jp,dNSName=bbb.example.ac.jp
TSVファイルの送付
前の手順で生成した TSV ファイルを,情報基盤センターにメールでお送りください. 送付先は, 手順 1. のメールでお知らせします.
提出された TSV ファイルに基づいて,情報基盤センターの担当者が証明書の発行組織(認証局)に 発行申請を行います.TSV ファイルに誤りがあった場合は,適宜,修正を依頼します.
サーバ証明書と中間CA証明書のダウンロード
認証局にて申請が受理され,処理が完了すると, 手順 3. で TSV ファイルに入力した
利用管理者 Email
に 通知が送られます.通知本文に,サーバ証明書 と 中間CA証明書 のダウンロード リンクが埋め込まれていますので保存してください.注意
サーバ証明書の発行日時が 2018年3月26日19時以降 と 2018年3月26日14時以前 で 有効な中間 CA 証明書が異なります.よくご確認の上,ご利用ください.
サーバ証明書のインストール(利用者)
サーバー証明書インストールマニュアル に沿って サーバ証明書と中間CA証明書を各自のサーバにインストールしてご利用ください. インストール後,ブラウザ等でサーバ証明書の有効期限等を確認してください.
7 (更新時のみ) 古い証明書の失効
サーバ証明書のインストールが完了したら,作業が完了したサーバのFQDNを 情報基盤センターにご連絡ください.TSVファイルの作成は不要です.
注意事項¶
証明書の更新について¶
証明書の更新時にも,新規申請同様にFQDNの存在やドメイン管理者の確認が義務付けられています. 証明書の新規発行・更新手順 に沿って,申請書の提出をお願いいたします.
更新した証明書をサーバなどに設定した後は,古い証明書の失効が必要です. 証明書の入れ替え作業完了後に情報基盤センターまでご連絡ください. TSV ファイルの作成は必要ありません.
注釈
サーバ証明書を更新もしくは失効する際に入力する 失効対象証明書シリアル番号 は, 10進数の値 にしてください.16進数の値となっているとエラーとなります.
証明書の入れ替え作業について¶
情報基盤センターでは鍵ペアの生成やサーバ証明書のインストール等への支援は行ないません. 国立情報学研究所のウェブページやインターネット上にある文章を参考に,各自で作業を行ってください. 特に UPKI電子証明書発行サービス(国立情報学研究所) を必ずご確認ください.
バーチャルドメインサーバで SSL サーバ証明書を利用する場合は,
今回発行された SSL サーバ証明書
TSV ファイルの作成時に使用した 私有鍵(サーバ秘密鍵)
中間証明書
警告
私有鍵 のパスフレーズは必ず削除(解除)してください.
の 3 点を UEC Disk2 のチケットリンク または,電通大 Google Workspaceの Google ドライブにて共有し, URL を support@cc.uec.ac.jp にご連絡ください.
証明書の有効期限について¶
サーバ証明書の有効期限等は国立情報学研究所の UPKI 電子証明書発行サービスにて決められております. 情報基盤センターで期限の調整等はできませんので,あらかじめご了承ください.
証明書の発行遅延または不許可について¶
CSR 作成の際に, CN もしくは SAN の値として, フィッシング等に不正利用される恐れのあるサーバ名を設定すると, 正当性確認のため証明書発行が遅延するか,場合によっては不許可となります.
審査は第三者の認証局で行われます. 遅延や不許可の理由は,情報基盤センターではお答えできませんのでご了承ください.
認証局は判定の基準を非公開としておりますが,Google, Microsoft, Amazon など, 広く一般に普及しているサービスと混同される恐れのあるものは,遅延や不許可の対象となる可能性があります.