下記メールでご案内の通り今月よりいずれのグループにも所属していない方は本サービスにログインできなくなりました。該当者はログインせずにこれまで同様に各公開ページを閲覧できますので、ご理解とご協力のほど、よろしくお願い申し上げます。ご不明点等ございましたら、お問い合わせ先までご連絡ください。
[upki-fed:01315] 【重要】meatwikiアカウント整理のお知らせ
Child pages
  • 鍵ペアの生成とCSRの作成~ 証明書の申請から取得まで
Skip to end of metadata
Go to start of metadata

改版履歴

版数

日付

内容

担当

V.1.0

2018/2/26

初版

NII

V1.12018/7/9DNのルールの修正
CSR作成の記述内容の修正
NII


目次
1. 鍵ペアの生成とCSRの作成
1-1. 鍵ペアの生成とCSRの作成について
1-2. 事前準備
1-3. 鍵ペアの生成
1-4. CSRの作成
2. 証明書の申請から取得まで
2-1. 証明書の申請と取得について

1. 鍵ペアの生成とCSRの作成

1-1. 鍵ペアの生成とCSRの作成について

コード署名用証明書を利用し、各アプリケーションに署名を行うにあたり、以下作業鍵ペア及びCSRを作成、及び申請TSVの作成、申請作業が必要となります。本項ではそのうち鍵ペアの生成とCSRの作成方法について記します。

1-2. 事前準備

鍵ペアを生成、CSRを作成する前に、事前に以下の項目の準備をしてください。

事前準備

  1. 乱数生成用ファイルの準備(200KB程度のファイルであればどんなものでも構いません) 本マニュアルではファイル名をrandfile1.txt、randfile2.txt、randfile3.txtとします。
  2. 鍵ペア用私有鍵パスフレーズ<PassPhrase>(「1-31-4で使用」)
  3. DN(※DNについては、本サービス証明書ポリシまたは、下記DNのルールをご確認ください)
  4. CSRファイル名は  signname.csr としています。


CSRに記述するDNのルールは以下のとおりとなります。

DNのルール

項目

指定内容の説明と注意

必須

文字数および注意点

Country(C)

本認証局では必ず「JP」と設定してください。
例)C=JP

JP固定

State or ProvinceName(ST)

「都道府県」(ST)は利用管理者及び利用者が所属する組織の所在地の都道府県名とし、原則としてサービス窓口に事前に届出したとおりの所在地の都道府県名をローマ字表記で指定してください。
例)ST=Tokyo


支援システム操作手順書/ST固有値一覧に記載
STかLのいずれかは必須

Locality Name(L)

「場所」(L)は利用管理者及び利用者が所属する組織の所在地の市区町村名とし、原則としてサービス窓口に事前に届出したとおりの所在地の市区町村名をローマ字表記で指定してください。
例)L=Chiyoda-ku


Academeは使用不可
半角の英数字64文字以内
(記号は「'(),-./:=」と半角スペースのみ使用可能)
※STかLのいずれかは必須

Organization Name(O)

サービス参加申請時の機関名英語表記を設定してください。この情報は各所属機関の登録担当者にお問い合わせください。
CNとOは一致する必要があります。
例)O=National Institute of Informatics

半角の英数字64文字以内
(記号は「'(),-./:=」と半角スペースのみ使用可能)

OrganizationalUnit Name(OU)

証明書を使用する部局等の名前を設定してください。
(この値は省略可能です)
(この値は複数設定することが可能です。複数指定する方法につきましては、CSR作成時ご使用のアプリケーションのマニュアルをご確認ください。) 例)OU=Cyber Science Infrastructure Development Department

・半角の英数字64文字以内
(記号は「'(),-./:=」と半角スペースのみ使用可能)
・複数OUを指定する場合は、全体で64文字以内

Common Name(CN)

サービス参加申請時の機関名英語表記を設定してください。この情報は各所属機関の登録担当者にお問い合わせください。
CNとOは一致する必要があります。
例)O=National Institute of Informatics

半角の英数字64文字以内
(記号は「'(),-./:=」と半角スペースのみ使用可能)

Email本認証局では使用しないでください。 ×

鍵長

RSA 2048bit

○・・・必須 ×・・・入力不可 △・・・省略可


1-3. 鍵ペアの生成

以下に鍵ペアの生成方法を記述します。

鍵ペアの生成

  1. 鍵ペアを生成するため、「1-2.事前準備」の手続き1で用意したファイル (200 KB 程度) を3つ選んでください。この手続きでは、 選択したファイルの名前を「randfile1.txt」、「randfile2.txt」、「randfile3.txt」として表記します。
  2. 用意したファイルを、作業ディレクトリに用意してください。
  3. 鍵ペアの生成を行うため、次のコマンドを入力してください。今回のコマンド例では、 作業ディレクトリに移動し、2048 bitの RSA 鍵ペアを生成し、「servername.key」という名前で保存することを示しています。

    > set Path=(OpenSSLインストールディレクトリ)\bin 
     ※OpenSSLインストールディレクトリをプログラムを探すディレクトリに指定します 
    > cd (作業ディレクトリ) 作業ディレクトリ 
    > openssl genrsa -des3 -rand (randfile1.txt):(randfile2.txt):(randfile3.txt) 2048 > servername.key 
    Generating RSA private key, 2048 bit long modulus
    ..............................++++++
    ...............++++++
    unable to write 'random state'
    e is 65537 (0x10001)
    Enter pass phrase: <PassPhrase>             私有鍵パスフレーズ入力 

    重要: この鍵ペア用私有鍵パスフレーズは、署名の付与等に必要となる重要な情報です。鍵ペア利用期間中は忘れることがないよう、また、情報が他人に漏れることがないよう、安全な方法で管理してください。 


  4. 生成した鍵ペアのファイルを保存します。バックアップは外部媒体ディスク等に保存し、安全な場所に保存してください。鍵ペアの中の私有鍵を利用すれば、コード署名の付与者へのなりすましができてしまいます。従って保存する鍵ペアファイルへのアクセス権は利用管理者自身等必要最小限になるよう設定してください。 

    バックアップを保存した外部媒体ディスク等も利用管理者のみまたは同じ権限のある方のみ利用できる場所へ保管してください。 
    また、鍵ペア用私有鍵パスフレーズの管理も、確実に行ってください。鍵ペアファイルの紛失、鍵ペア用私有鍵パスフレーズ忘れ等が発生した場合、コード署名用証明書のインストールが行えなくなります。この場合、新たにコード署名用証明書を申請しなおしていただくことになりますので、ご注意ください。


1-4. CSRの作成

鍵ペアが作成されたことを確認後、CSRを作成します。

CSRの作成

  1. 次のコマンドを入力し、CSRの作成を開始してください。パスフレーズの入力が求められますので、「1-3-1 鍵ペアの生成」の手続き3で作成した私有鍵のパスフレーズを入力してください。 コマンドでは、署名アルゴリズムSHA-1でCSRを作成し、「signname.csr」(ファイル名は任意)というファイル名で保存することを示しています。

    > openssl req -new -key servername.key -sha256 -out signname.csr ←CSRファイル名 
    Enter pass phrase for servername.key: <PassPhrase> ←私有鍵パスフレーズ入力

     「-sha256」:署名アルゴリズムを示すオプション。 
           署名アルゴリズムSHA-1でCSRを作成する場合は、「-sha1」に置き換えてください。


  2. パスフレーズの入力に成功するとDN情報の問い合わせが行われますので、「2-2. 事前準備」の「DNルール」に従い、DN情報を入力してください。OpenSSLでは必要ない項目を「.」ドットを入力することにより、省略することができます。 

    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.

    -----

    Country Name (2 letter code) [AU]:JP ←"JP"を入力
    State or Province Name (full name) [Some-State]:Tokyo ←都道府県名を入力
    Locality Name (eg, city) []:Chiyoda-ku ←市区町村名を入力
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:National Institute of Informatics← 組織名を入力
    Organizational Unit Name (eg, section) []:Cyber Science Infrastructure Development Department ←部局名を入力
    Common Name (eg, YOUR name) []:National Institute of Informatics← 組織名を入力
    Email Address []:.  「.」ドットを入力
    Please enter the following 'extra' attributes 
    to be sent with your certificate request 
    A challenge password []:. 「.」ドットを入力
    An optional company name []:.← 「.」ドットを入力|

  3. 要求された情報の入力が完了すると CSR が作成され、signname.csrに保存されます。なお、このファイルも、バックアップをとって、証明書を受領するまでは別途保管することをお勧めします。 

    ----BEGIN CERTIFICATE REQUEST----
    MIIBhDCB7gIBADBFMQswCQYDVQQGEwJKUDEQMA4GA1UEBxMHQWNhZGVtZTEMMAoG

    Um0E3vq8Ajg=
    ----END CERTIFICATE REQUEST----

  4. 以下のコマンドを入力することにより、CSRの内容を確認することができます。 

    > openssl req -noout -text -in signname.csr
    Certificate Request:
    Data:
    Version: 0 (0x0)
    Subject: C=JP,ST=Tokyo, L=Chiyoda-ku, O=National Institute of Informatics, OU=Cyber Science Infrastructure Development Department, CN=National Institute of Informatics←CSR生成時に入力したDNと一致していることを確認してください。
    Subject Public Key Info:
    Public Key Algorithm: rsaEncryption
    RSA Public Key: (2048 bit)←鍵長が2048bitであることを確認してください。
    Modulus (2048 bit):
    00:c9:0e:99:5c:8a:4a:e3:b2:e2:0d:3d:60:4d:30:
       :
                  例
                  :
    ca:2e:56:f7:66:bd:01:44:ea:f3:ca:d2:f6:e0:5e:
    6c:57:4b:65:e4:e7:f7:ca:dd
    Exponent: 65537 (0x10001)
    Attributes:
    a0:00
    Signature Algorithm: sha1WithRSAEncryption CSR生成時に指定した署名アルゴリズムであることを確認してください。

                            アルゴリズムにsha256を指定した場合は「sha256WithRSAEncryption」と表示されます。

    88:44:e5:27:06:02:ec:85:6c:29:6a:0f:a3:92:87:4e:e2:f1:
                   :
                   例
                   :
    9c:3c:0b:7e:1c:55:3d:c3:b3:7a:3a:36:d1:f6:3a:97:78:1a:
    c1:cc


2. 証明書の申請から取得まで

2-1. 証明書の申請と取得について

CSRを作成後、登録担当者へ送付するための証明書発行申請TSVファイルを作成し申請します。証明書発行申請TSVファイルの作成方法、申請方法等につきましては、「証明書自動発行支援システム操作手順書(利用管理者用)」をご確認ください。
コード署名用証明書の発行が完了すると、本システムより以下のメールが送信されます。メール本文に記載されたコード署名用証明書取得URLにアクセスし、証明書の取得を実施してください。

コード署名用証明書取得URLの通知

【件名】
コード署名用証明書発行受付通知

・・・・・

#以下に証明書の取得先が記述されています。
貴機関の登録担当者経由で発行申請をいただきましたコード署名用証明書を配付いたします。
本日から1ヶ月以内に以下の証明書取得URLへアクセスし、コード署名用証明書の取得を行ってください。
 証明書取得URL:https://scia.secomtrust.net/←左記URLにアクセスし証明書の取得を行ってください。


・・・・・



  • No labels