ページ履歴

...

CSRに記述するDNのルールは以下のとおりとなります。

DNのルール
項目	指定内容の説明と注意	必須	文字数および注意点
Country(C)	本認証局では必ず「JP」と設定してください。例）C=JP	○	JP固定
State or Province Name(ST)	「都道府県」（ST）は利用管理者及び利用者が所属する組織の所在地の都道府県名としサービス窓口に事前に届出したとおりの所在地の都道府県名をローマ字表記で指定してください。この情報は各所属機関の登録担当者にお問い合わせください。例）ST=Tokyo	○	STとして指定できる値は下記リンクを参照してください。機関ごとに固定となります。 UPKI証明書主体者DNにおける ST および L の値一覧 ※STおよびLが必須。（2020年12月22日以降）
Locality Name(L)	「場所」（L）は利用管理者及び利用者が所属する組織の所在地の市区町村名とし、サービス窓口に事前に届出したとおりの所在地の市区町村名をローマ字表記で指定してください。この情報は各所属機関の登録担当者にお問い合わせください。例)L=Chiyoda-ku	○	Lとして指定できる値は下記リンクを参照してください。機関ごとに固定となります。 UPKI証明書主体者DNにおける ST および L の値一覧 ※STおよびLが必須。（2020年12月22日以降）
Organization Name(O)	サービス参加申請時の機関名英語表記を設定してください。この情報は各所属機関の登録担当者にお問い合わせください。例)O=National Institute of Informatics	○	半角の英数字64文字以内 (記号は「'(),-./:=」と半角スペースのみ使用可能)
Organizational Unit Name(OU)	証明書を使用する部局等の名前を設定してください。（この値は省略可能です）（この値は複数設定することが可能です。複数指定する方法につきましては、CSR作成時ご使用のアプリケーションのマニュアルをご確認ください。）例)OU=Cyber Science Infrastructure Development Department	△	・半角の英数字64文字以内 (記号は「'(),-./:=」と半角スペースのみ使用可能) ・複数OUを指定する場合は、全体で64文字以内 UPKI証明書主体者DNにおける OU の値一覧
Common Name(CN)	サーバ証明書URLに表示されるウェブ・サーバの名前をFQDNで設定してください。例えばSSL/TLSを行うサイトが https://www.nii.ac.jp/ の場合には、「www.nii.ac.jp」となります。FQDNにはサービス参加申請時に登録いただいた対象ドメイン名を含むFQDNのみ、証明書発行が可能となります。例)www.nii.ac.jp	○	証明書をインストールする対象サーバのFQDNで64文字以内半角英数字、"."、"-"のみ使用可能。また、先頭と末尾に"."と"-"は使用不可
Email	本認証局では使用しないでください。	×
鍵長
RSA 2048bit ECDSA 384bit

○・・・必須　×・・・入力不可　△・・・省略可

注意：証明書の更新を行う場合は、先に各手順の「サーバ証明書の置き換えインストール」をご確認ください。

...

CSRの作成

RSAの場合

[スタート] メニューの [すべてのプログラム] をクリックします。[アクセサリ] をクリックして、[ファイル名を指定して実行] をクリックします。
[名前] ボックスに「inetmgr」と入力し、[OK] をクリックします。
インターネットインフォメーションサービス（IIS）マネージャーが表示されます。
画面左側の[接続]メニューよりサーバー名をクリックしてください。
[サーバー証明書]をダブルクリックしてください。
[操作]ペインの[証明書の要求の作成]を選択してください。
[証明書の要求]画面で[識別名プロパティ]が表示されますので、[2-2. 事前準備]の[DNルール]に従い、DN情報を入力して[次へ(N)]を押してください。
[暗号化サービスプロバイダーのプロパティ]が表示されますので、
[暗号化サービスプロバイダー(S)]の欄は[Microsoft RSA Schannel Cryptographic Provider]を選択し、
[ビット長(B)]の欄は[2048]を選択して[次へ(N)]を押してください。
[ファイル名]が表示されますので、
[証明書の要求ファイル名を指定してください(R)]の欄に任意の保存場所を選択して[終了(F)]を押してください。
指定した保存場所に生成したCSRが保存されます。

ECDSAの場合

[スタート] メニューの [すべてのプログラム] をクリックします。[アクセサリ] をクリックして、[ファイル名を指定して実行] をクリックします。
[名前] ボックスに「mmc」と入力し、[OK] をクリックします。
Microsoft Management Console が表示されます。
[ツールバー] > [ファイル] > [スナップインの追加と削除] を選択してください。
[利用できるスナップイン] > [証明書] を選択し、[追加]ボタンを押下してください。
[コンピュータアカウント]を選択し、[次へ]ボタンを押下してください。
ローカルコンピュータ（このコンソールを実行しているコンピュータ）]を選択し、[完了]ボタンを押下してください。
選択されたスナップインに [証明書 - ローカルコンピューター]が表示されていることを確認し、[OK]ボタンを押下してください。
[コンソールルート] > [証明書 - ローカルコンピューター]が表示されていることを確認してください。
[コンソールルート] > [証明書 - ローカルコンピューター] > [個人] > [証明書]を選択し、
右クリックメニューから[すべてのタスク] > [詳細設定操作] > [カスタム要求の作成]を選択してください。
[次へ]ボタンを押下してください。
[カスタム要求]> [登録ポリシーなしで発行する]を選択し、[次へ]ボタンを押下してください。
以下を選択し、[次へ]ボタンを押下してください。
テンプレート：[（テンプレートなし）CNGキー]
要求の形式　：PKCS#10
[詳細]を押下してください。
詳細内容を表示し、プロパティボタンを押下してください。
サブジェクトタブを選択後、以下を選択し、[追加]ボタンを押下してください。
種類：完全なDN
種類：「完全なDN」
値　：CN値　：指定したい主体者DNを入力（例：CN=www.nii.ac.jp,OU=Cyber Science Infrastructure Development Department,O=National Institute of Informatics,L=Chiyoda-ku,ST=Tokyo,C=JPJP）
上記の入力内容が、右側のリストに表示されていることを確認し、[OK]ボタンを押下してください。
プロパティボタンを押下してください。
秘密キータブを選択しください。
暗号化サービスプロバイダーとハッシュアルゴリズムの選択の詳細を表示してください。
以下が選択されていた場合、チェックを外してください。
　暗号化サービスプロバイダー：RSA,Microsoft Software Key Storage Provider
以下を選択し、[OK]ボタンを押下してください。

IIS10の場合
暗号化サービスプロバイダー：ECDSA_secp384r1,Microsoft Software Key Storage Provider
IIS7.5～8.5の場合
暗号化サービスプロバイダー：ECDSA_P384,Microsoft Software Key Storage Provider
ハッシュアルゴリズムの選択：sha384
[OK]ボタンを押下してください。
[ファイル名]に任意のファイル名を含む保存先のフルパスを入力します。
[ファイル形式]は[Base 64]を選択します。
[完了]ボタンを押下してください。
指定した保存場所に生成したCSRが保存されます。