UPKI_Manual

スペース ショートカット

子ページ
  • IBM HTTPServer編

比較バージョン

古いバージョン 15

changes.mady.by.user Fumiaki Ono

保存しました

次と比較

新しいバージョン 現在

changes.mady.by.user Takuma Yamamoto

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

改版履歴 

版数

日付

内容

担当

V.1.1

2014/12/22

初版

NII

V.1.2

2015/5/25

中間CA証明書のファイル名を修正

NII

V.1.3

2015/12/11

誤記修正

NII

V.2.0

2018/2/26

SHA1の記載内容の削除

NII

V.2.12018/3/26CT対応版の中間CA証明書について説明を追加NII
V.2.22018/7/9

1-1前提条件に注意事項を追記
誤記修正
DNのルールの修正
CSRの生成にてSTの追加とLの修正

NII
V.2.52019/6/10

1-2事前準備
DNのルール(Locality Name)の修正

NII
V.2.62020/4/13DNのルール(State or Province Name、Locality Name)の修正NII
V.2.72020/7/15DNのルール、TSVファイル形式のSTおよびLの値の説明、リンクの変更NII
V.2.82020/8/25中間CA証明書の記載内容を修正NII
V.2.92020/12/22

中間CA証明書を修正
サーバー証明書L、STを必須に修正
サーバー証明書OUの利用条件を修正

NII
V2.102022/9/22サーバー証明書OU廃止について修正NII


目次
1. IBM HTTP Serverによるサーバ証明書の利用 
1-1. 前提条件 
1-2. 事前準備 
1-3. 鍵データベースファイルの生成とCSRの作成 
1-3-1. 鍵データベースファイルの生成 
1-3-2. CSRの生成 
1-4. 証明書の申請から取得まで 
1-5. 証明書のインストール 
1-5-1. 事前準備 
1-5-2. ルートCA証明書のインストール 
1-5-3. 中間CA証明書のインストール 
1-5-4. サーバ証明書のインストール 
1-6. httpd.confの設定変更 
1-7. 証明書の更新 
1-8. 起動確認

...

DNのルール

項目

指定内容の説明と注意

必須

文字数および注意点

Country(C)

本認証局では必ず「JP」と設定してください。
例)C=JP

JP固定

State or Province Name(ST)

「都道府県」(ST)は利用管理者及び利用者が所属する組織の所在地の都道府県名としサービス窓口に事前に届出したとおりの所在地の都道府県名をローマ字表記で指定してください。この情報は各所属機関の登録担当者にお問い合わせください。
例)ST=Tokyo

STとして指定できる値は下記リンクを参照してください。機関ごとに固定となります。
UPKI証明書 主体者DNにおける ST および L の値一覧

※STおよびLが必須。(2020年12月22日以降)

Locality Name(L)

「場所」(L)は利用管理者及び利用者が所属する組織の所在地の市区町村名とし、サービス窓口に事前に届出したとおりの所在地の市区町村名をローマ字表記で指定してください。この情報は各所属機関の登録担当者にお問い合わせください。
例)L=Chiyoda-ku

Lとして指定できる値は下記リンクを参照してください。機関ごとに固定となります。
UPKI証明書 主体者DNにおける ST および L の値一覧

※STおよびLが必須。(2020年12月22日以降)

Organization Name(O)

サービス参加申請時の機関名英語表記を設定してください。この情報は各所属機関の登録担当者にお問い合わせください。
例)O=National Institute of Informatics

半角の英数字64文字以内
(記号は「'(),-./:=」と半角スペースのみ使用可能)

Organizational Unit Name(OU)

証明書を使用する部局等の名前を設定してください。
(この値は省略可能です)
(この値は複数設定することが可能です。複数指定する方法につきましては、CSR作成時ご使用のアプリケーションのマニュアルをご確認ください。)

例)OU=Cyber Science Infrastructure Development Department

2022年7月26日以降に新規発行・更新する証明書については、OUが廃止となります。詳細はこちら

・半角の英数字64文字以内
(記号は「'(),-./:=」と半角スペースのみ使用可能)
・複数OUを指定する場合は、全体で64文字以内
UPKI証明書 主体者DNにおける OU の値一覧

Common Name(CN)

サーバ証明書URLに表示されるウェブ・サーバの名前をFQDNで設定してください。例えばSSL/TLSを行うサイトが 

https://www.nii.ac.jpの場合には、「www.nii.ac.jp」となります。
FQDNにはサービス参加申請時に登録いただいた対象ドメイン名を含むFQDNのみ、証明書発行が可能となります。
例)www.nii.ac.jp                                                                                                                                             

証明書をインストールする対象サーバのFQDNで64文字以内
半角英数字、”.“、“-”のみ使用可能。また、先頭と末尾に“.”と“-”は使用不可

Email本認証局では使用しないでください。×
鍵長

RSA 2048bit

...

CSRの作成

  1. 鍵管理画面より、「作成」→「新規証明書要求」を選択してください。

    新規の鍵および証明書要求の作成画面が開かれます。
    鍵ラベルを入力し、鍵サイズを2048bitに選択し、「1-2. 事前準備」に記述されているDNのルールを参照に、各項目の入力を行ってください。
    サービスで必要な項目とiKeymanで表示される項目の対応は以下を参照してください。入力が終了したら、ファイルパス、ファイル名の名前を入力し「OK」を押してください。
    デフォルトではC:\Program Files (x86)\IBM\HTTPServer\certreq.armとなっています。拡張子は.armとしてください。

    証明書要求作成画面とDNの対応表
    項目ikeymanの項目指定内容の説明と注意
    Country(C)国または地域本認証局では必ず「JP」と入力してください。
    State or Province Name(ST)都道府県利用管理者及び利用者が所属する組織の所在地の都道府県名を入力してください。 使用可能な値は、ST固有値一覧を参照してください。
    Locality Name(L)局所性利用管理者及び利用者が所属する組織の所在地の市区町村名を入力してください。
    Organization Name(O)組織単位組織サービス参加申請時の機関名英語表記を記入してください。この情報は各所属機関の登録担当者にお問い合わせください。
    Organizational Unit Name(OU)組織単位証明書を使用する部局等の名前を入力してください。(この値は省略可能です)
    使用可能な値は、UPKI証明書 主体者DNにおける OU の値一覧を参照してください。 2022年7月26日以降に新規発行・更新する証明書については、OUが廃止となります。詳細はこちら
    Common Name(CN)共通名サーバのFQDNを入力してください。


    Image Modified

    として指定できる値は下記リンクを参照してくだ
    鍵ラベル:キーデータベース中で使用される鍵の名前です。ホスト名等を設定してください。
    例)UPKI0001

    鍵サイズ:鍵のサイズを選択してください。2048bitとしてください。

    署名アルゴリズム:SHA2WithRSAとしてください。
    例)SHA2WithRSA

    共通名:ウェブ・サーバのFQDNを設定してください。
    例)www.sha2.nii.ac.jp

    組織:サービス参加申請時の機関名英語表記を記入してください。
    例)National Institute of Informatics

    組織単位:組織内の部署名を設定してください。
    例)System Planning Division

    局所性:利用管理者及び利用者が所属する組織の所在地の市区町村名を入力してください。
    例)Chiyoda-ku

    都道府県:利用管理者及び利用者が所属する組織の所在地の都道府県名を入力してください。
    例)Tokyo

    郵便番号:設定しないでください。

    国または地域:JPを選択してください。

    重要:ファイル名およびパス名に日本語が含まれていると、CSRが正しく保管されない場合があります。英数字、ハイフン、ピリオド、ドライブの指定文字( : )、パス名の区切り文字(\ /)以外の文字は使用しないことを推奨します。

...

CSRを作成しましたら登録担当者へ送付するための証明書発行申請TSVファイルを作成し申請します。
証明書発行申請TSVファイルの作成方法、申請方法等につきましては、「証明書自動発行支援システム操作手順書(利用管理者用)」をご確認ください。 」をご確認ください。
TSVファイル作成用Webアプリケーション(TSVツール)を提供しておりますので、ご利用ください。 
証明書の発行が完了すると、本システムより以下のメールが送信されます。メール本文に記載された証明書取得URLにアクセスし、証明書の取得を実施してください。

...

前提条件

  1. サーバ証明書を準備します。「1-4.証明書の申請から取得まで」で受領したサーバ証明書をserver.cerという名前で保存してください。

  2. 中間CA証明書を準備します。
    次のURLにアクセスすることでリポジトリにアクセスすることが可能です。
    リポジトリ:https://repo1.secomtrust.net/sppca/nii/odca3odca4/index.html

    SHA-2認証局 CA証明書 (CT対応版)をnii-odca3sha2ct.cerという名前で保存したと仮定して以降記載します。

  3. ルートCA証明書を準備します。
    以下URLよりSecurity Communication RootCA2 証明書 - Security Communication RootCA2 Certificateを取得して、SCRoot2ca.cerという名前で場所に保存してください。
    リポジトリ:https://repository.secomtrust.net/SC-Root2/index.html

...