...
事前準備 |
- キーストアファイル名:<server_yyyymmdd.keystore>(「1-3-1、1-3-2、1-5-2、1-5-3、1-5-4」で使用)
例)server_20141226.keystore
- サーバ DN(※サーバDNについては、本サービス証明書ポリシまたは、下記DNのルールをご確認ください):<サーバDN>(「1-3-1」で使用)
例)CN=www.nii.ac.jp, OU=Cyber Science Infrastructure Development Department, O=National Institute of Informatics, L=Chiyoda-ku,ST=Tokyo, C=JP
- 鍵ペアalias名:<tomcat>(「1-3-1、1-3-2、1-5-4」で使用)
例)tomcat
- 鍵ストア・パスワード:<keystore_pass>(「1-3-1、1-3-2、1-5-2、1-5-3、1-5-4」で使用)
※Tomcat7系では、鍵ストア・パスワードと鍵のパスワードを同一にする仕様となっているため、changeit以外を設定ください。
- 鍵のパスワード:<key_pass>(「1-3-1 キーストアの生成」で使用)
※[4.鍵ストア・パスワード]にも記載のとおり、Tomcat7系では、鍵ストア・パスワードと鍵のパスワードを同一にする仕様となっているため、changeit以外で鍵ストア・パスワードと同じパスワードを設定ください。
- CSRファイル名:<servername.csr>(「1-3-2 CSRの生成」で使用)
|
CSRに記述するDNのルールは以下のとおりです。
DNのルール |
項目 | 指定内容の説明と注意 | 必須 | 文字数および注意点 |
Country(C) | 本認証局では必ず「JP」と設定してください。
例)C=JP | ○ | JP固定 |
State or Province Name(ST) | 「都道府県」(ST)は利用管理者及び利用者が所属する組織の所在地の都道府県名としサービス窓口に事前に届出したとおりの所在地の都道府県名をローマ字表記で指定してください。この情報は各所属機関の登録担当者にお問い合わせください。
例)ST=Tokyo | ○ | STとして指定できる値は下記リンクを参照してください。機関ごとに固定となります。
UPKI証明書 主体者DNにおける ST および L の値一覧 ※STおよびLが必須。(2020年12月22日以降) |
Locality Name(L) | 「場所」(L)は利用管理者及び利用者が所属する組織の所在地の市区町村名とし、サービス窓口に事前に届出したとおりの所在地の市区町村名をローマ字表記で指定してください。この情報は各所属機関の登録担当者にお問い合わせください。
例)L=Chiyoda-ku | ○ | Lとして指定できる値は下記リンクを参照してください。機関ごとに固定となります。
UPKI証明書 主体者DNにおける ST および L の値一覧 ※STおよびLが必須。(2020年12月22日以降) |
Organization Name(O) | サービス参加申請時の機関名英語表記を設定してください。この情報は各所属機関の登録担当者にお問い合わせください。
例)O=National Institute of Informatics | ○ | 半角の英数字64文字以内
(記号は「'(),-./:=」と半角スペースのみ使用可能) |
Organizational Unit Name(OU) | 証明書を使用する部局等の名前を設定してください。
(この値は省略可能です)
(この値は複数設定することが可能です。複数指定する方法につきましては、CSR作成時ご使用のアプリケーションのマニュアルをご確認ください。) 例)OU=Cyber Science Infrastructure Development Department | △ | ・半角の英数字64文字以内
(記号は「'(),-./:=」と半角スペースのみ使用可能)
・複数OUを指定する場合は、全体で64文字以内
UPKI証明書 主体者DNにおける OU の値一覧 |
Common Name(CN) | サーバ証明書URLに表示されるウェブ・サーバの名前をFQDNで設定してください。例えばSSL/TLSを行うサイトが https://www.nii.ac.jpの場合には、「www.nii.ac.jp」となります。FQDNにはサービス参加申請時に登録いただいた対象ドメイン名を含むFQDNのみ、証明書発行が可能となります。
例)www.nii.ac.jp | ○ | 証明書をインストールする対象サーバのFQDNで64文字以内
半角英数字、"."、"-"のみ使用可能。また、先頭と末尾に"."と"-"は使用不可 |
| Email | 本認証局では使用しないでください。 | × |
|
| 鍵長 |
RSA 2048bit
ECDSA 384bit |
○・・・必須 ×・・・入力不可 △・・・省略可
注意:証明書の更新を行う場合は、先に1-7をご確認ください。
...
CSRを作成しましたら登録担当者へ送付するための証明書発行申請TSVファイルを作成し申請します。証明書発行申請TSVファイルの作成方法、申請方法等につきましては、「証明書自動発行支援システム操作手順書(利用管理者用)」をご確認ください。 」をご確認ください。
TSVファイル作成用Webアプリケーション(TSVツール)を提供しておりますので、ご利用ください
証明書の発行が完了すると、本システムより以下のメールが送信されます。メール本文に記載された証明書取得URLにアクセスし、証明書の取得を実施してください。
...
事前準備として、サーバ証明書、中間CA証明書、ルートCA証明書を取得してください。
前提条件 |
- サーバ証明書を準備します。「1-4.証明書の申請から取得まで」で受領したサーバ証明書をserver.cerという名前で保存してください。
- 中間CA証明書を準備します。
次のURLにアクセスすることでリポジトリにアクセスすることが可能です。
●リポジトリ(証明書の発行日時が2020年12月25日0時以降の場合):https://repo1.secomtrust.net/sppca/nii/odca4/index.html
サーバー証明書 RSA認証局 中間CA証明書
「NII Open Domain CA - G7 RSA(SC Organization Validation CA) CA証明書(nii-odca4g7rsa.cer)」
サーバー証明書 ECC認証局 中間CA証明書
「NII Open Domain CA - G7 ECC(SC Organization Validation CA) CA証明書(nii-odca4g7ecc.cer)」
●リポジトリ(証明書の発行日時が2020年12月25日0時以前の場合):https://repo1.secomtrust.net/sppca/nii/odca3/index.html
SHA-2認証局CT対応版サーバ証明書
「国立情報学研究所 オープンドメイン SHA-2認証局 CT対応版 CA証明書(nii-odca3sha2ct.cer)」
ECC認証局サーバ証明書
「国立情報学研究所 オープンドメイン ECC認証局 CA証明書(nii-odca3ecdsa201903.cer)」
【サーバー証明書(ecdsa-with-SHA384)をインストールする場合】
ECC認証局 中間CA証明書 をnii-odca3ecdsa.cerという名前で保存したと仮定して以降記載します。
- ルートCA証明書を準備します。
【サーバー証明書(sha256WithRSAEncryption)インストールする場合】
以下URLよりSecurity Communication RootCA2 証明書 - Security Communication RootCA2 Certificateを取得して、SCRoot2ca.cerという名前で場所に保存してください。本ファイルはデフォルトではSCRoot2ca.cerという名前でダウンロードされます。
リポジトリ:https://repository.secomtrust.net/SC-Root2/index.html
【サーバー証明書(ecdsa-with-SHA384)インストールする場合】
以下URLよりSecurity Communication ECC RootCA1 証明書 - Security Communication ECC RootCA1 Certificateを取得して、SCECCRoot1ca.cerという名前で場所に保存してください。本ファイルはデフォルトではSCECCRoot1ca.cerという名前でダウンロードされます。
リポジトリ:https://repository.secomtrust.net/SC-ECC-Root1/index.html
|
| アンカー |
|---|
| _Toc505602235 |
|---|
| _Toc505602235 |
|---|
|
1-5-2. ルートCA証明書のインストール
...
