サービスの概要
JAISTは国立情報学研究所(以下,NII)のUPKIサービスに加入し,それに基づき情報社会基盤研究センターではサーバ証明書発行等のサービスを提供しています。
サーバ証明書の利用を希望する本学の職員は,以下で説明する申請を行うことでサーバ証明書の発行/更新/失効を行うことができます。それと同時に,発行されたサーバ証明書を適切に管理する義務を負います。
発行されるサーバ証明書
このサービスで発行されるサーバ証明書は,ドメイン(jaist.ac.jp)使用権の認証に加え、サーバを運営する組織(JAIST)の存在を認証する,いわゆるOV(Organization Validation)証明書です。
これを用いることでそのサーバが,実在する組織であるJAISTが運営し,正当にドメイン(jaist.ac.jp)を使用していることが証明されます。
サーバ証明書の発行/更新/失効の流れ
サーバ証明書の発行/更新/失効の申請の流れ(概要)はそれぞれ次の通りです。
2018年7月にサーバ証明書のフォーマットが一部変更となった為、2018年6月以前に発行されたサーバ証明書の更新を行う場合は、更新申請ではなく、発行申請 & 失効申請 を行う必要があります。
発行申請
1. CSRを作成する。
2. TSVツールを使ってTSVファイルを作成する。
3. TSVファイルを情報社会基盤研究センターに送付する。
4. 情報社会基盤研究センターがNIIに発行申請する。
5. 申請者にサーバ証明書のダウンロード案内がメールで届く。
6. 申請者はサーバ証明書をダウンロードし,サーバにインストールして使用開始する。
更新申請
1. CSRを作成する。
2. TSVツールを使ってTSVファイルを作成する。(旧サーバ証明書のシリアル番号(16進数ではなく10進数で)が必要)
3. TSVファイルを情報社会基盤研究センターに送付する。
4. 情報社会基盤研究センターがNIIに更新申請する。
5. 申請者にサーバ証明書のダウンロード案内がメールで届く。
6. 申請者はサーバ証明書をダウンロードし,サーバにインストールして使用開始する。
7. 次に記す手順で旧サーバ証明書の失効申請をする。
失効申請
1. TSVツールを使ってTSVファイルを作成する。(旧サーバ証明書のシリアル番号(16進数ではなく10進数で)が必要)
2. TSVファイルを情報社会基盤研究センターに送付する。
3. 情報社会基盤研究センターがNIIに失効申請する。
詳細は以下に示すマニュアルを参照してください。
マニュアル類
必要に応じて次のマニュアルをご参照ください。
支援システム操作手順書 (利用管理者用)
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=26183140
サーバ証明書インストールマニュアル ← CSR作成について方法についても記載があります。
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=26182293
TSVファイルの作成には次のTSVツールをご利用ください。
TSVツール (TSVファイル作成支援ツール)
certs.nii.ac.jp/tsv-tool/
更新と失効の場合は,旧証明書のシリアル番号(10進数表記)が必要です。(16進表記の申請が多く見られます。)
CSR作成時の注意点
1. CSR作成時にはいくつかの値を入力しますが,Organization Name(O) の値はマニュアルに記載されている値と異なります。
"Japan Advanced Institute of Science and Technology"
と正確に入力してください。(引用符は不要です。)
空白を含め1文字でも異なると,エラーなもなくCSRおよびTSVファイルは作成できますが,NIIは申請を受理しません。
2. CSR作成時に入力する値はマニュアルに記載がありますが概要を以下に示します。
入力値にはいずれも引用符は不要です。
# OpenSSLでの例です。
- Country Name (C)
"JP" ←C属性はJPです。
- State or Province Name (ST)
"Ishikawa" ←以前はST属性は存在してはいけませんでしたが石川に変更になっています。ご注意ください。
- Locality Name (L)
"Nomi" ←以前は "Academe"でしたが能美に変更になっています。ご注意ください。
- Organization Name (O)
"Japan Advanced Institute of Science and Technology" ←O属性はJAISTの英字名称です。1文字でも異なるとNGです。
- Organizational Unit Name (OU)
OU属性は研究科や研究室名を英字表記してください。
- Common Name (CN)
"hostname.jaist.ac.jp" ←これはサンプルです。証明書に証明させたいホスト名をFQDNで指定します。複数指定したい場合でもCSRファイル作成の際は1つだけ指定します。他のホスト名は後の手順で行うことになるTSVファイル作成時に記述してください。
- Email Address
含めないでください。
CN=hostname.jaist.ac.jp,OU=Research Center for Advanced Computing Infrastructure,O=Japan Advanced Institute of Science and Technology,L=Nomi,ST=Ishikawa,C=JP
その他の注意点
情報社会基盤研究センターは,申請者から送られたTSVファイルをもとに,NIIに対してサーバ証明書の発行/更新/失効の申請を行います。
TSVファイルの内容が不適切だと申請は失敗します。その場合にはその旨を申請者に通知しますので,再度正しい内容でCSR,TSVファイルを作成しなおしてください。
不適切な部分についてはこちらでわかる範囲で指摘する場合もありますが,それ以外の部分については申請者がマニュアルを参照して修正するようお願いします。
なお,情報社会基盤研究センターでは,
- CSRおよびTSVファイルの作成代行
- マニュアルに回答が記載されている事項に関する質問への回答
- 発行されたサーバ証明書のインストール
等は致しません。申請者またはサーバ管理者で適宜解決を図ってください。
また,不適切なTSVファイルの送付が数回に渡って連続し,それがマニュアルの読み込み不足によるものと判断した場合は,申請をお断りする場合があります。
予めご承知おきください。
円滑なサービス運用にご理解とご協力をよろしくお願いします。