サービスの概要
JAISTは国立情報学研究所(以下,NII)のUPKIサービスに加入し,それに基づき情報社会基盤研究センターではサーバ証明書発行等のサービスを提供しています。
サーバ証明書の利用を希望する本学の常勤教職員は,以下で説明する申請を行うことでサーバ証明書の発行/更新/失効を行うことができます。それと同時に,発行されたサーバ証明書を適切に管理する義務を負います。
発行されるサーバ証明書
このサービスで発行されるサーバ証明書は,ドメイン(jaist.ac.jp)使用権の認証に加え、サーバを運営する組織(JAIST)の存在を認証する,いわゆるOV(Organization Validation)証明書です。
これを用いることでそのサーバが,実在する組織であるJAISTが運営し,正当にドメイン(jaist.ac.jp)を使用していることが証明されます。
サーバ証明書の発行/更新/失効の流れ
サーバ証明書の発行/更新/失効の申請の流れ(概要)はそれぞれ次の通りです。
詳細は次項に示すマニュアルを参照してください。
発行申請(参考:発行申請の例(Apache・IIS・Nginx編))
- KEYファイルを作成する。
- CSRを作成する。
- TSVツールを使ってTSVファイルを作成する。
- TSVファイルを情報社会基盤研究センターに送付する。
- 情報社会基盤研究センターがNIIに発行申請する。
- 申請者にサーバ証明書のダウンロード案内がメールで届く。
- 申請者はサーバ証明書をダウンロードし,サーバにインストールして使用開始する。
更新申請
- CSRを作成する。
- TSVツールを使ってTSVファイルを作成する。(旧サーバ証明書のシリアル番号が必要)
(シリアル番号は10進数で記す。"0x"(ゼロエックス)を先頭に付加すれば16進数も使用可能) - TSVファイルを情報社会基盤研究センターに送付する。
- 情報社会基盤研究センターがNIIに更新申請する。
- 申請者にサーバ証明書のダウンロード案内がメールで届く。
- 申請者はサーバ証明書をダウンロードし,サーバにインストールして使用開始する。
- 次に記す手順で旧サーバ証明書の失効申請をする。
失効申請
- TSVツールを使ってTSVファイルを作成する。(旧サーバ証明書のシリアル番号が必要)
(シリアル番号は10進数で記す。"0x"(ゼロエックス)を先頭に付加すれば16進数も使用可能) - TSVファイルを情報社会基盤研究センターに送付する。
- 情報社会基盤研究センターがNIIに失効申請する。
マニュアル類
必要に応じて次のマニュアルをご参照ください。
UPKI電子証明書発行サービス マニュアル
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=26182293
支援システム操作手順書 (利用管理者用)← 各項目の制約事項/注意事項についても記載があります。
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=26183140
サーバ証明書インストールマニュアル ← CSR作成方法についても記載があります。
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=26183052
TSVファイルの作成には次のTSVツールをご利用ください。
TSVツール (TSVファイル作成支援ツール)
certs.nii.ac.jp/tsv-tool/
更新と失効の場合は,旧証明書のシリアル番号が必要です。
シリアル番号は10進数で記してください。ただし,"0x"(ゼロエックス)を先頭に付加すれば16進数も使えます。
CSR作成時の注意点
- CSR作成時にはいくつかの値を入力しますが,Organization Name(O) の値はマニュアルに記載されている値と異なります。
"Japan Advanced Institute of Science and Technology" と正確に入力してください。(引用符は不要です。)
空白を含め1文字でも異なると,エラーなもなくCSRおよびTSVファイルは作成できますが,NIIは申請を受理しません。 - CSR作成時に入力する値はマニュアルに記載がありますが概要を以下に示します。
入力値にはいずれも引用符は不要です。# OpenSSLでの例です。
- Country Name (C)
"JP" ←C属性はJPです。
- State or Province Name (ST)
"Ishikawa" ←以前はST属性は存在してはいけませんでしたが石川に変更になっています。ご注意ください。
- Locality Name (L)
"Nomi" ←以前は "Academe"でしたが能美に変更になっています。ご注意ください。
- Organization Name (O)
"Japan Advanced Institute of Science and Technology" ←O属性はJAISTの英字名称です。1文字でも異なるとNGです。
- Common Name (CN)
"hostname.jaist.ac.jp" ←これはサンプルです。証明書に証明させたいホスト名をFQDNで指定します。複数指定したい場合でもCSRファイル作成の際は1つだけ指定します。他のホスト名は後の手順で行うことになるTSVファイル作成時に記述してください。
- Email Address
含めないでください。
例えば"hostname.jaist.ac.jp"のCSRを作成する場合、DNは以下になります。CN=hostname.jaist.ac.jp,O=Japan Advanced Institute of Science and Technology,L=Nomi,ST=Ishikawa,C=JP
※ 2022年7月26日以降より Organization Unit (OU) を含むサーバ証明書の発行は廃止されました。
その他の注意点
情報社会基盤研究センターは,申請者から送られたTSVファイルをもとに,NIIに対してサーバ証明書の発行/更新/失効の申請を行います。
TSVファイルの内容が不適切だと申請は失敗します。その場合にはその旨を申請者に通知しますので,再度正しい内容でCSR,TSVファイルを作成しなおしてください。
不適切な部分についてはこちらでわかる範囲で指摘する場合もありますが,それ以外の部分については申請者がマニュアルを参照して修正するようお願いします。
なお,情報社会基盤研究センターでは,
- CSRおよびTSVファイルの作成代行
- マニュアルに回答が記載されている事項に関する質問への回答
- 発行されたサーバ証明書のインストール
等は致しません。申請者またはサーバ管理者で適宜解決を図ってください。
また,不適切なTSVファイルの送付が数回に渡って連続し,それがマニュアルの読み込み不足によるものと判断した場合は,申請をお断りする場合があります。
予めご承知おきください。
円滑なサービス運用にご理解とご協力をよろしくお願いします。
発行申請の流れの例(Apache・IIS・Nginx編)
1. KEYファイルの作成
UPKIマニュアルの「鍵ペアの生成」のページを参考に、鍵ペアを生成してください。
例)
openssl genrsa -des3 -rand (randfile1.txt):(randfile2.txt):(randfile3.txt) 2048 > servername.key
※ randfile1.txt, randfile2.txt, randfile3.txt はそれぞれ200KB程度の適当なファイル
2. CSRの作成
UPKIマニュアルの「CSRの生成」のページを参考に、CSRを作成してください。
例)
> openssl req -new -key servername.key -sha256 -out signname.csr ←CSR ファイル名
Enter pass phrase for servername.key: <PassPhrase> ←私有鍵パスフレーズ入力
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:Ishikawa
Locality Name (eg, city) []:Nomi
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Japan Advanced Institute of Science and Technology
Organizational Unit Name (eg, section) []:← 「.」ドットを入力
Common Name (e.g. server FQDN or YOUR name) []:myserver.jaist.ac.jp← server FQDNを入力
Email Address []:. ← 「.」ドットを入力
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:.← 「.」ドットを入力
An optional company name []:.← 「.」ドットを入力|
3. TSVファイルの作成
TSV作成ツール(https://certs.nii.ac.jp/tsv-tool/create/) を利用し、TSVファイルを作成してください。
例)
主体者DN:CN=myserver.jaist.ac.jp,OU=XXX-Lab,O=Japan Advanced Institute of Science and Technology,L=Nomi,ST=Ishikawa,C=JP ← CSRファイルから自動で入る
サーバFQDN:myserver.jaist.ac.jp
利用管理者E-mail: sentantaro(at)jaist.ac.jp
利用管理者氏名: Taro Sentan
利用管理者所属: XXX-Lab
Webサーバソフトウェア名等: Apatch
4. TSVファイルを情報社会基盤研究センターに送付
5. センターがNIIに発行申請
6. サーバ証明書のダウンロード案内メールが届く
isc-query[at]ml.jaist.ac.jp までTSVファイルを添付してお送りください。
担当者がNIIにサーバ証明書の発行申請を行います。
発行申請に失敗した場合(TSVファイルに不備がある場合)、申請者へメールでご連絡します。
発行申請が完了した場合、申請者に証明書の発行受付通知がメールで届きます。
7. サーバにインストール
メールの案内に従い証明書をダウンロードしてください。
その後、マニュアルの各項目に従いサーバ証明書をインストールします。