UPKI_Manual

スペース ショートカット

子ページ
  • Nginx編

比較バージョン

古いバージョン 12

changes.mady.by.user Hiromu Yokozeni

保存しました

次と比較

新しいバージョン 13

changes.mady.by.user Hiromu Yokozeni

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

改版履歴

版数

日付

内容

担当

V.1.0

2018/2/26

初版

NII

V.1.12018/3/26CT対応版の中間CA証明書について説明を追加NII
V.1.22018/7/9ECDSA対応版の中間CA証明書について説明を追加NII
V.2.42019/4/22ECC認証局 中間CA証明書の名称を変更NII
V.2.52020/4/13中間CA証明書のファイル名を修正NII
V.2.62020/8/25中間CA証明書の記載内容を修正NII

 
目次

1. Nginxによるサーバ証明書の利用 
1-1. 前提条件 前提条件 
1-2. 証明書のインストール 証明書のインストール 
1-2-1. 事前準備 事前準備 
1-2-2. 中間CA証明書のインストール 中間CA証明書のインストール 
1-2-3. サーバ証明書のインストール サーバ証明書のインストール 
1-3. Nginxの設定変更 Nginxの設定変更 
1-4. サーバ証明書の置き換えインストール サーバ証明書の置き換えインストール 
1-5. 起動確認

アンカー
_Toc406680522
_Toc406680522
1. Nginxによるサーバ証明書の利用

...

(本マニュアルではOpenSSL 1.0.1e、Nginx1.2.0での実行例を記載しております。)

前提条件

  1. OpenSSLがインストールされていること

  2. Nginxがインストールされていること

  3. nginx.confファイルまでの絶対パス:/etc/nginx/conf/nginx.conf
    1. ssl_certificate: /etc/nginx/conf/cert.pem(サーバ証明書を配置)
    2. ssl_certificate_key: /etc/nginx/conf/cert.key (秘密鍵を配置)


CSR作成時は既存の鍵ペアは使わずに、必ず新たにCSR作成用に生成した鍵ペアを利用してください。

...

アンカー
_Toc406680529
_Toc406680529
1 1-2. 証明書のインストール

本章ではNginxへの証明書のインストール方法について記述します。

...

事前準備として、サーバ証明書、中間CA証明書を取得してください。

「国立情報学研究所 オープンドメイン

事前準備

「証明書の受領」で受領したサーバ証明書をserver.crtという名前で任意の場所に保存してください。 

中間CA証明書を準備します。 次のURLにアクセスすることでリポジトリにアクセスすることが可能です。
 リポジトリ:https://repo1.secomtrust.net/sppca/nii/odca3/index.html

中間CA証明書はサーバ証明書の発行時期によって異なっております。
2018年3月26日14時以前のSHA-2認証局サーバ証明書


SHA

-2認証局 CA証明書(nii-odca3sha2.cer)」
2018年3月26日 19:00以降のSHA

-2認証局CT対応版サーバ証明書
「国立情報学研究所 オープンドメイン SHA-2認証局 CT対応版 CA証明書(nii-odca3sha2ct

.cer)」
2020年4月13日 13:00以降のSHA-2認証局サーバ証明書
「国立情報学研究所 オープンドメイン SHA-2認証局 CT対応版 CA証明書(nii-odca3sha2ct******

.cer)」


cerファイル名の******部分には、年月が入ります。もし、同月に2回以上発行する場合は、アルファベット順に英字を付加します。(例:nii-odca3sha2ct202003.cer(1回目)、nii-odca3sha2ct202003a.cer(2回目))



ECC認証局サーバ証明書
「国立情報学研究所 オープンドメイン ECC認証局 CA証明書(nii-

odca3ecdsa******

odca3ecdsa201903.cer)」


cerファイル名の******部分には、年月が入ります。もし、同月に2回以上発行する場合は、アルファベット順に英字を付加します。(例:nii-odca3ecdsa202003.cer(1回目)、nii-odca3ecdsa202003a.cer(2回目))
【サーバー証明書(sha256WithRSAEncryption)をインストールする場合】
SHA-2認証局 中間CA証明書 をnii-odca3sha2.cerという名前で保存したと仮定して以降記載します。



【サーバー証明書(ecdsa-with-SHA384)をインストールする場合】
ECC認証局 中間CA証明書 をnii-odca3ecdsa.cerという名前で保存したと仮定して以降記載します。


アンカー
_Toc406680531
_Toc406680531
1-2-2. 中間CA証明書の配置

以下の手続きに従って、中間CA証明書を指定したパスへ配置してください。

中間CA証明書の配置

「1-2-1.事前準備」で取得した中間CA証明書を下記のパスへ配置してください。

SHA-2認証局 中間CA証明書の場合

$ mv nii-
odca3sha2
odca3sha2ct.cer /etc/nginx/conf/nii-
odca3sha2
odca3sha2ct.cer


ECC認証局 中間CA証明書の場合

$ mv nii-odca3ecdsa
******
.cer /etc/nginx/conf/nii-odca3ecdsa.cer


アンカー
_Toc406680532
_Toc406680532
1-2-3. サーバ証明書のインストール

新規でサーバ証明書をインストールする場合は以下の手続きによりサーバ証明書のインストールを実施してください。

サーバ証明書のインストール

サーバ証明書は「1-1.前提条件」条件3で記述したnginx.confファイルの「ssl_certificate」で指定します。
「1-2-1.事前準備」で取得したサーバ証明書を「1-1.前提条件」3.a.で記述したパスへ移動してください。

 $ mv server.crt /etc/nginx/conf/


 「1-2-2.中間CA証明書の配置」で取得した中間CA証明書とサーバ証明書を連結します。

SHA-2認証局 中間CA証明書の場合

 $ cat server.crt nii-
odca3sha2
odca3sha2ct.cer > cert.pem


ECC認証局 中間CA証明書の場合

 $ cat server.crt nii-odca3ecdsa.cer > cert.pem


アンカー
_Toc229400952
_Toc229400952
アンカー
_Toc406680533
_Toc406680533
1-3. Nginxの設定変更

本章ではNginxに証明書を適用するための設定方法について記述します。

Nginxの設定変更

証明書のインストール終了後、「1-1. 前提条件」で記述したnginx.confファイルの編集を行ってください。

証明書の更新を行った場合は新たに作成した秘密鍵をssl_certificate_keyに、新たに作成した証明書をssl_certificateに設定してください。

(1-1 前提条件のとおりである場合は、設定の変更は必要ございません)

 ・・・
ssl_certificate:
デフォルトではcert.pem(サーバ証明書を配置)
ssl_certificate_key:
デフォルトではcert.key(秘密鍵を配置)


アンカー
_Toc406680534
_Toc406680534
1-4. サーバ証明書の置き換えインストール

更新したサーバ証明書をインストールする場合は以下の手続きによりサーバ証明書のインストールを実施してください。

サーバ証明書の置き換えインストール

  1. 旧サーバ証明書の鍵ペアをコピーしてください。

    $ cd /etc/nginx/conf/
    $ cp cert.key cert.key.old



  2. 更新対象のサーバ証明書をコピーして、保管してください。

     $ cp cert.pem cert.pem.old

  3. 更新対象の中間CA証明書をコピーして、保管してください。

    SHA-2認証局 中間CA証明書の場合

    $ cp nii-
odca3sha2
  1. odca3sha2ct.cer nii-
odca3sha2
  1. odca3sha2ct.cer.old


    ECC認証局 中間CA証明書の場合

    $ cp nii-odca3ecdsa.cer nii-odca3ecdsa.cer.old
  2. 本マニュアルに従い、証明書の更新申請を実施してください。


  3. 「1-2-1.事前準備」で取得したサーバ証明書を「1-1.前提条件」3.a.で記述したパスへ移動してください。

    $ mv server.crt  /etc/nginx/conf/server.crt



  4. 「1-2-1.事前準備」で取得した中間CA証明書を「1-2-2.中間CA証明書の配置」に従って指定のパスへ移動してください。

    SHA-2認証局 中間CA証明書の場合

    $ mv nii-
odca3sha2
  1. odca3sha2ct.cer  /etc/nginx/conf/nii-
odca3sha2
  1. odca3sha2ct.cer


    ECC認証局 中間CA証明書の場合

    $ mv nii-odca3ecdsa
******
  1. .cer  /etc/nginx/conf/nii-odca3ecdsa.cer



  2. 「1-2-2.中間CA証明書の配置」で取得した中間CA証明書とサーバ証明書を連結します。

    SHA-2認証局 中間CA証明書の場合

    $ cat server.crt nii-
odca3sha2
  1. odca3sha2ct.cer > cert.pem


    ECC認証局 中間CA証明書の場合

    $ cat server.crt nii-odca3ecdsa.cer > cert.pem


アンカー
_Toc406680535
_Toc406680535
1-5. 起動確認

本章ではインストールした証明書によるSSL通信に問題がないか確認する方法を記述します。

証明書の反映・確認

  1. Nginxを再起動し、変更した設定を反映させます。

    $ /sbin/nginx -s stop Nginxの停止
    $ /sbin/nginx Nginxの起動
  2. ブラウザ経由で、該当のサーバへアクセスし、SSL通信に問題がないことを確認してください。