...
改版履歴 |
|
|
|
版数 | 日付 | 内容 | 担当 |
V.1.1 | 2014/12/22 | 初版 | NII |
V.1.2 | 2015/5/15 | 中間CA証明書のファイル名を修正 | NII |
V.1.3 | 2015/12/11 | サーバ証明書設定について注釈を追加 | NII |
V.1.4 | 2018/1/26 | OpenSSL ProjectのURL変更、細かい文言修正、はじめにを別ファイルに分離 | STS |
...
CSR(証明書発行要求:Certificate Signing Request)は証明書を作成するための元となる情報で、その内容には、利用管理者が管理するSSL/TLS サーバの組織名、Common Name(サーバのFQDN)、公開鍵などの情報が含まれています。NII では、利用管理者に作成いただいたCSR の内容を元に、証明書を作成します。
CSRの例 |
----BEGIN CERTIFICATE REQUEST---- |
...
証明書を申請する際に必要となる鍵の作成やCSR の生成にはOpenSSLを利用することができます。OpenSSL のインストール方法等はOpenSSL Project(http://www.openssl.org)等のインターネット上のサイトやダウンロードしたファイルに付属しているインストールマニュアルを参照してください。
...
本マニュアルでは、各サーバで使用する鍵ペア、CSR生成ツールとして、【鍵ペア生成時の共通事項】に記述したツールを使用して説明します。
また、各サーバへインストールする必要がある証明書を【サーバ証明書インストールに必要となる証明書一覧】に記述します。
【鍵ペア生成時に利用するツール】
○・・・該当する -・・・該当しない
| OpenSSL | JavaKeytool | iKeyman |
Apache1.3系+mod_ssl | ○ | - | - |
Apache2.0系+mod_ssl | ○ | - | - |
Apache-SSL | ○ | - | - |
Tomcat | - | ○ | - |
IBM HTTP Server | - | - | ○ |
IIS6.0 | ○ | - | - |
IIS7.0 | ○ | - | - |
IIS7.5 | ○ | - | - |
IIS8.0 | ○ | - | - |
IIS8.5 | ○ | - | - |
...
| ルートCA証明書 | 中間CA証明書 | サーバ証明書 |
Apache1.3系+mod_ssl | - | ○ | ○ |
Apache2.0系+mod_ssl | - | ○ | ○ |
Apache-SSL | - | ○ | ○ |
Tomcat | ○ | ○ | ○ |
IBM HTTP Server | ○ | ○ | ○ |
IIS6.0 | - | ○ | ○ |
IIS7.0 | - | ○ | ○ |
IIS7.5 | - | ○ | ○ |
IIS8.0 | - | ○ | ○ |
IIS8.5 | - | ○ | ○ |
...
本書では以下の(e、f)の作業について記述をします。
マニュアル名 | 内容 |
操作手順書(利用管理者用) |
|
サーバ証明書インストールマニュアル※1 |
|
...
Apache2.0系+(mod_ssl)でサーバ証明書を使用する場合の前提条件について記載します。適時、サーバ証明書をインストールする利用管理者様の環境により、読み替えをお願いします。(本マニュアルではRedhat Enterprise Linux ES release4、OpenSSL0.9.8a、mod_ssl-2.0.52-9.ent、httpd-2.0.52-9.entRed Hat Enterprise Linux Server release 6.3 (Santiago)、OpenSSL 1.0.1e-fips 11 Feb 2013、mod_ssl-2.2.15-39.el6.x86_64、Apache/2.2.15 (Unix)での実行例を記載しております。 )
前提条件 |
|
...
鍵ペア・CSRを生成する前に、事前に以下の項目の準備をしてください。
事前準備 |
|
...
DNのルール |
|
|
|
|
項目 | 指定内容の説明と注意 | 必須 | 文字数および注意点 | |
Country(C) | 本認証局では必ず「JP」と設定してください。 | ○ | JP固定 | |
State or Province Name(ST) | 本認証局では使用しないでください。 | × |
| |
Locality Name(L) | 本認証局では必ず「Academe-ops」と設定してください。 | ○ | Academe-ops固定 | |
Organization Name(O) | サービス参加申請時の機関名英語表記を設定してください。この情報は各所属機関の登録担当者にお問い合わせください。 | ○ | 半角の英数字64文字以内 | |
Organizational Unit Name(OU) | 証明書を使用する部局等の名前を設定してください。 | △ | ・半角の英数字64文字以内 | |
Common Name(CN) | サーバ証明書URLに表示されるウェブ・サーバの名前をFQDNで設定してください。例えばSSL/TLSを行うサイトが {+}pの場合には、「www.nii.ac.jp」となります。FQDNにはサービス参加申請時に登録いただいた対象ドメイン名を含むFQDNのみ、証明書発行が可能となります。 | ○ | 証明書をインストールする対象サーバのFQDNで64文字以内 | |
本認証局では使用しないでください。 | ||||
× |
| |||
鍵長 |
|
|
|
|
RSA 2048bit |
|
|
|
|
○・・・必須 ×・・・入力不可 △・・・省略可
注意:証明書の更新を行う場合は、先に12-7をご確認ください。
...
以下に鍵ペアの生成方法を記述します。
...
鍵ペアの作成
...
鍵ペアが作成されたことを確認後、CSRを生成します。
...
CSRの作成
...
CSRを作成後、登録担当者へ送付するための証明書発行申請TSVファイルを作成し申請します。証明書発行申請TSVファイルの作成方法、申請方法等につきましては、「証明書自動発行支援システム操作手順書(利用管理者用)」をご確認ください。
証明書の発行が完了すると、本システムより以下のメールが送信されます。メール本文に記載された証明書取得URLにアクセスし、証明書の取得を実施してください。
...
証明書取得URLの通知
...
本章ではApache2.0系+mod_sslへの証明書のインストール方法について記述します。
...
事前準備として、サーバ証明書、中間CA証明書を取得してください。
...
事前準備
...
以下の手続きに従って、中間CA証明書のインストールを行ってください。
...
中間CA証明書のインストール
...
新規でサーバ証明書をインストールする場合は以下の手続きによりサーバ証明書のインストールを実施してください。
サーバ証明書のインストール |
サーバ証明書は「21-1.前提条件」条件6で記述したssl.confファイルの「SSLCertificateFile」で指定します。 |
...
本章ではApacheに証明書を適用するための設定方法について記述します。「21-4.証明書の受領」で受領したサーバ証明書をserver.crtという名前で保存した場合の設定にて記載しています。
Apacheの設定変更 |
証明書のインストール終了後、「12-1. 前提条件」で記述したssl.confファイルの編集を行ってください。証明書の更新を行った場合は新たに作成した秘密鍵をSSLCertificateKeyFileに、新たに作成した証明書をSSLCertificateFileに、新たに取得した中間CA証明書をSSLCertificateChainFileに設定してください。(12-1 前提条件のとおりである場合は、設定の変更は必要ございません) |
...
更新したサーバ証明書をインストールする場合は以下の手続きによりサーバ証明書のインストールを実施してください。
...
サーバ証明書の置き換えインストール
...
本章ではインストールした証明書によるSSL通信に問題がないか確認する方法を記述します。
...
証明書の反映・確認
...