meatwiki メンテナンスのお知らせ

メンテナンス(バージョンアップ)のため、7/30(水) 12:00-15:00 は、本Wikiをご利用いただけません。ご不便をおかけいたしますが、ご理解の程、よろしくお願いいたします。バージョンアップ後のサービスへの影響については2025年7月30日実施予定のバージョンアップに関する注意事項に取りまとめておりますのでご参照ください。
UPKI_Manual

Space shortcuts

Child pages
  • 事前準備 ~ 証明書の申請から取得まで

Versions Compared

Old Version 26

changes.mady.by.user c0117321c5@nii.ac.jp

Saved on

compared with

New Version 27

changes.mady.by.user c0117321c5@nii.ac.jp

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

改版履歴

版数

日付

内容

担当

V.1.1

2014/12/22

初版

NII

V.1.2

2015/5/15

中間CA証明書のファイル名を修正

NII

V.1.3

2015/12/11

サーバ証明書設定について注釈を追加

NII

V.2.0

2018/2/26

SHA1の記載内容の削除

NII

V.2.12018/7/9

DNのルールの修正
ECDSA対応を追加
IISにおけるCSR作成手順を追加

NII

V.2.52019/6/10DNのルール(Locality Name)の修正NII
V2.62020/1/30誤植のある画像の差し替えNII
V.2.72020/4/13DNのルール(State or Province Name、Locality Name)の修正NII
V.2.82020/7/15DNのルール、TSVファイル形式のSTおよびLの値の説明、リンクの変更NII
V.2.92020/12/22

サーバー証明書L、STを必須に修正
サーバー証明書OUの利用条件を修正

NII
V.2.102022/08/02

CSR作成からOUを削除

NII


目次

目次

アンカー
_Toc406680524
_Toc406680524
1.事前準備

...

STとして指定できる値は下記リンクを参照してください。機関ごとに固定となります。
UPKI証明書 主体者DNにおける ST および L の値一覧

...

UPKI証明書 主体者DNにおける ST および L の値一覧

...

鍵ペアの作成

RSA鍵の場合
  1. 鍵ペアを生成するため、「1.事前準備」の手続き1で用意したファイル (200 KB 程度) を3つ選んでください。この手続きでは、 選択したファイルの名前を「randfile1.txt」、「randfile2.txt」、「randfile3.txt」として表記します。

  2. 用意したファイルを、作業ディレクトリに移動してください。

    $mv <randfile1.txt> <randfile2.txt> <randfile3.txt> /etc/httpd/conf/ssl.key/


     

  3. 鍵ペアの作成を行うため、次のコマンドを入力してください。今回のコマンド例では、 作業ディレクトリに移動し、2048 bitの RSA 鍵ペアを生成し、「servername.key」という名前で保存することを示しています。

    $cd /etc/httpd/conf/ssl.key/ 作業ディレクトリへ移動してください
    $openssl genrsa -des3 -rand <randfile1.txt>:<randfile2.txt>:<randfile3.txt> 2048 > servername.key
    Generating RSA private key, 2048 bit long modulus
    ..............................++++++
    ...............++++++
    unable to write 'random state'
    e is 65537 (0x10001)
    Enter pass phrase: <PassPhrase>             私有鍵パスフレーズ入力
    Verifying - Enter pass phrase: <PassPhrase>    私有鍵パスフレーズ再入力


    重要: この鍵ペア用私有鍵パスフレーズは、サーバの再起動時および証明書のインストール等に必要となる重要な情報です。鍵ペア利用期間中は忘れることがないよう、また、情報が他人に漏れることがないよう、安全な方法で管理してください。

  4. 作成した鍵ペアのファイルを保存します。バックアップは外部媒体ディスク等に保存し、安全な場所に保存してください。
    鍵ペアの中の私有鍵を利用すれば、お使いのウェブ・サーバがSSL/TLS で保護して送受信したデータを、解読することができてしまいます。
    従って保存する鍵ペアファイルへのアクセス権は利用管理者自身とSSL/TLS サーバのプロセス等必要最小限になるよう設定してください。
    またバックアップを保存した外部媒体ディスク等も利用管理者のみまたは同じ権限のある方のみ利用できる場所へ保管してください。
    また、鍵ペア用私有鍵パスフレーズの管理も、確実に行ってください。鍵ペアファイルの紛失、鍵ペア用私有鍵パスフレーズ忘れ等が発生した場合、証明書のインストールが行えなくなります。
    この場合、新たに証明書を申請しなおしていただくことになりますので、ご注意ください。

ECDSA鍵の場合

  1. 鍵ペアの作成を行うため、次のコマンドを入力してください。今回のコマンド例では、 作業ディレクトリに移動し、384 bitの ECDSA 鍵ペアを生成し、「servername.key」という名前で保存することを示しています。

    $openssl ecparam -name secp384r1 -genkey | openssl ec-out servername.key -des3
    read EC key
    writing EC key
    Enter PEM pass phrase:<PassPhrase>                        ←私有鍵パスフレーズ入力
    Verifying - Enter PEM pass phrase:    <PassPhrase>    私有鍵パスフレーズ再入力


    重要: この鍵ペア用私有鍵パスフレーズは、サーバの再起動時および証明書のインストール等に必要となる重要な情報です。鍵ペア利用期間中は忘れることがないよう、また、情報が他人に漏れることがないよう、安全な方法で管理してください。

  2. 作成した鍵ペアのファイルを保存します。バックアップは外部媒体ディスク等に保存し、安全な場所に保存してください。
    鍵ペアの中の私有鍵を利用すれば、お使いのウェブ・サーバがSSL/TLS で保護して送受信したデータを、解読することができてしまいます。
    従って保存する鍵ペアファイルへのアクセス権は利用管理者自身とSSL/TLS サーバのプロセス等必要最小限になるよう設定してください。
    またバックアップを保存した外部媒体ディスク等も利用管理者のみまたは同じ権限のある方のみ利用できる場所へ保管してください。
    また、鍵ペア用私有鍵パスフレーズの管理も、確実に行ってください。鍵ペアファイルの紛失、鍵ペア用私有鍵パスフレーズ忘れ等が発生した場合、証明書のインストールが行えなくなります。
    この場合、新たに証明書を申請しなおしていただくことになりますので、ご注意ください。

...