TSVファイル作成のための準備
発行、更新の場合TSVファイルを作成するために必要な準備です。
前提条件
OpenSSLが使用できる環境を用意する必要があります。
秘密鍵の作成
200KB程度のランダムな内容のファイルを3つ用意する。
% openssl rand 204800 > file1.txt % openssl rand 204800 > file2.txt % openssl rand 204800 > file3.txt
用意した3つのファイルを使い秘密鍵を作成する。
% openssl genrsa -des3 -rand file1.txt:file2.txt:file3.txt 2048 > +++++.key Enter pass phrase: ***** <= 任意のパスフレーズ Verifying – Enter pass phrase: ***** <= 同じパスフレーズ
注意
秘密鍵は他者へ公開・漏えいしないよう十分に配慮してください。
CSRファイルの作成
作成した秘密鍵を使いCSRファイルを作成する。
% openssl req -new -key +++++.key -sha256 -out #####.csr Enter pass phrase for *****.key : ***** <= 秘密鍵作成時に入力したパスフレーズ Country Name (2 letter code) [AU]:JP State or Province Name (full name) [Some-State]:Aomori Locality Name (eg, city) []:Hirosaki Organization Name (eg, company) [Internet Widgits Pty Ltd]:Hirosaki University Organizational Unit Name (eg, section) []:.(ピリオド) Common Name (e.g. server FQDN or YOUR name) []:*****.hirosaki-u.ac.jp Email Address [] :.(ピリオド) A challenge password [] : .(ピリオド) An optional company name []: .(ピリオド)
- 空欄の場合は「.」ピリオドの入力が必要です。
- *****.hirosaki-u.ac.jpは申請するサーバのFQDNを指定してください。
CSRファイルの内容を確認する。
% openssl req -noout -text -in #####.csr
TSVファイルの作成
発行・更新・失効のためのTSVファイルを作成します。
前提条件
- 発行、更新の場合はCSRファイルを作成してください。
- 更新、失効の場合は使用中の証明書ファイル(cer、crt)を用意してください。
- TSVファイルの作成は「TSVツール」を使用します。
発行申請
- 「作成開始」ボタンをクリックしてください。
- 各選択項目が「新規発行申請用TSV」、「サーバ証明書」、「3:サーバ証明書(sha256WtihRSAEncryption)」になっていることを確認し「この内容で作成を開始」ボタンをクリックしてください。
- 「CSRファイル読込」でCSRファイルを選択して「読込」ボタンをクリックしてください。
- 「利用管理者Email」、「利用管理者氏名」、「利用管理者所属」、「Webサーバソフトウェア名等」を入力してください。
- 「完了」ボタンをクリックしてください。
- 「ダウンロード」ボタンをクリックするとTSVファイルがダウンロードされます。
補足
- 「利用管理者Email」は固定IPアドレス申請時のメールアドレス(HiroinID)と同じである必要があります。
- 「Webサーバソフトウェア名等」にはApacheやNGINX、システム名などを入力してください。
- 複数のホスト名を指定するには「利用管理者FQDN」に記載したホスト名以外のホスト名を「dNSName」に入力してください。
更新申請
- 「作成開始」ボタンをクリックしてください。
- 各選択項目が「更新申請用TSV」、「サーバ証明書」、「3:サーバ証明書(sha256WtihRSAEncryption)」になっていることを確認し「この内容で作成を開始」ボタンをクリックしてください。
- 「CSRファイル読込」で新しく作成したCSRファイルを選択して「読込」ボタンをクリックしてください。
- 「証明書ファイル読込」で更新前の証明書ファイル(cer、crt)を選択して「読込」ボタンをクリックしてください。更新前の証明書ファイル(cer、crt)が手元にない場合は「失効対象証明書シリアル番号」を入力してください。
- 「利用管理者Email」、「利用管理者氏名」、「利用管理者所属」、「Webサーバソフトウェア名等」を入力してください。
- 「完了」ボタンをクリックしてください。
- 「ダウンロード」ボタンをクリックするとTSVファイルがダウンロードされます。
補足
- 「利用管理者Email」は固定IPアドレス申請時のメールアドレス(HiroinID)と同じである必要があります。
- 「Webサーバソフトウェア名等」にはApacheやNGINX、システム名などを入力してください。
- 複数のホスト名を指定するには「利用管理者FQDN」に記載したホスト名以外のホスト名を「dNSName」に入力してください。
- 「失効対象証明書シリアル番号」がわからない場合は「シリアル番号を取得する方法」をお試しください。
失効申請
- 「作成開始」ボタンをクリックしてください。
- 各選択項目が「失効申請用TSV」、「サーバ証明書」、「3:サーバ証明書(sha256WtihRSAEncryption)」になっていることを確認し「この内容で作成を開始」ボタンをクリックしてください。
- 「証明書ファイル読込」で失効予定の証明書ファイル(cer、crt)を選択して「読込」ボタンをクリックしてください。失効予定の証明書ファイル(cer、crt)が手元にない場合は「失効対象証明書シリアル番号」を入力してください。
- 「利用管理者Email」を入力し「失効理由」を選択してください。「0.その他」を選択した場合コメントは必須です。
- 「完了」ボタンをクリックしてください。
- 「ダウンロード」ボタンをクリックするとTSVファイルがダウンロードされます。
補足
- 「利用管理者Email」は固定IPアドレス申請時のメールアドレス(HiroinID)と同じである必要があります。
- 「失効対象証明書シリアル番号」がわからない場合は「シリアル番号を取得する方法」をお試しください。
シリアル番号を取得する方法
運用中のサーバにアクセスしてシリアル番号を取得します。
% openssl s_client -connect *****.hirosaki-u.ac.jp:443 </dev/null 2>/dev/null | openssl x509 -noout -serial serial=1234567890ABCDEF <= 16進数のシリアル番号
16進数のシリアル番号の頭に「0x」を付けて「0x1234567890ABCDEF」とする。
もしくは、シリアル番号を10進数に変換する。
% echo "obase=10; ibase=16; 1234567890ABCDEF" | bc 1311768467294899695 <= 10進数のシリアル番号