Akita University UPKI 電子証明書発行サービスについて総合情報処理センター　正　木　忠　良 ◦ はじめに平成 21 年から国立情報学研究所で行われていた UPKI 電子証明書自動発行検証プロジェクトは平成 27 年 6 月 30 日で終了し、平成 27 年 1 月から UPKI 電子証明書発行サービスとして事業化し新たにスタートすることになりました。本学も UPKI 電子証明書発行サービスに参加し、利用者の方は以前と同様に秋田大学のドメイン名であれば無料でサーバ証明書を取得できます。詳細の手順については、総合情報処理センター HP の「各種申請」メニュー内に記載してありますが、ここでは新規にサーバ証明書取得する際に必要なファイルの作成作業を、簡単に紹介したいと思います。 ◦ 鍵ペアの作成鍵ペアの作成には OpenSSL がインストールされている環境が必要になります。ここでは総合情報処理センターの演算サーバである quintet での作業を例に上げたいと思います。 1．‌まずはじめに quintet に ssh でログインし、事前準備として乱数生成用のファイル（200KB 程度）を 3 つ用意します。ここでは乱数生成用のファイルを「file1」「file2」「file3」とします。 2．‌下記の鍵ペアの作成用コマンドを入力します。このコマンドでは 2048bit の RSA 鍵ペアを作成し「server.key」という名前で保存することを示しています。 3．‌途中でパスワードの入力を求められますので、鍵ペアに設定したいパスワードを入力します。その後、確認のためパスワードの再入力を行います。ここで設定したパスワードは、サー 9 Akita University バの再起動時や証明書のインストール時等に必要になる重要な情報です。紛失や漏洩の危険に備え、安全な方法で管理をお願い致します。 ◦ CSR（証明書署名要求）ファイルの作成鍵ペアが作成されたことを確認後、CSR（証明書署名要求）ファイルを生成します。 1．‌下記の CSR 作成用コマンドを入力します。途中でパスワードの入力を求められますので「鍵ペアの作成」で設定したパスワードを入力します。このコマンドでは、署名アルゴリズム SHA256 で CSR を作成し、「server.csr」というファイル名で保存することを示しています。 2．‌下パスワードの入力に成功すると DN 情報の問い合わせが行われますので、表 1 の指定通りに必要項目を入力します。必要のない項目は「.」ドットを入力することで省略できます。 10 Akita University 項目指定内容 Country(C) 必ず JP を入力 State or Province Name(ST) 入力なし Locality Name(L) 必ず Academe を入力 Organization Name(O) 必ず Akita University を入力 Organizational Unit Name(OU) 所属部局の英語名称またはサブドメイン名 Common Name(CN) akita-u.ac.jp を含むサーバ名その他入力なし表 1．DN の入力内容 3．‌入力が完了すると CSR が「server.csr」に生成されます。このファイルは証明書を取得するまで保管しておいてください。 4．‌下記の CSR 表示コマンドを入力し、内容を確認します。 11 Akita University ◦ 証明書発行申請ファイルの作成 CSR が作成されたことを確認後、証明書発行申請 TSV ファイルを作成します。証明書発行申請 TSV ファイルは Web ブラウザから行います。quintet で作成した場合は scp などで自分の PC に CSR ファイルを移動させておいてください。 1．‌ご利用の Web ブラウザで https://certs.nii.ac.jp/cgi-bin/tsvtool.cgi にアクセスします。 2．‌図 1 のようなページが表示されます。図 1．TSV ツールメニュー画面「TSV 作成ツール」の「発行申請 TSV」が選択されていることを確認した上で、「CSR ファイルを選択」の行の「参照」をクリックして作成した CSR ファイルを選択し、［CSR 送信］をクリックします。旧プロジェクトですでに取得している証明書を、新サービスで更新したい場合は「更新申請 TSV」ではなく「発行申請 TSV」を選択してください。 12 Akita University 3．‌図 2 のように、「CSR」「主体者 DN」「サーバ FQDN」が埋められた入力フォームが表示されますので、利用管理者 Email、利用管理者氏名、利用管理者所属、ソフトウェア名等を入力してください。図 2．TSV ツール入力画面通常は「dNSName」は空のままでかまいません。証明書種別は「SHA-2 証明書」を選択してください。入力が終わりましたら右下の［完了］ボタンをクリックしてください。 13 Akita University 4．‌図 3 のように、3. で入力したものが表示されますので、内容を確認した上で［ダウンロード］ボタンを押してください。申請に必要な TSV ファイルがダウンロードされます。図 3．ダウンロード画面ダウンロードが終わりましたら［終了］ボタンをクリックします。以上で申請に必要なファイルの作成は終了となります。旧プロジェクトと比較すると CSR ファイル作成と証明書発行申請 TSV ファイル作成に若干の違いがあるので注意してください。実際に申請する際は、総合情報処理センター HP の申請手順をよく読んだ上でお申込みください。特に鍵ペアについては、くれぐれも漏洩することの無いよう、厳重に管理して頂くようお願いいたします。 14