よくあるご質問と回答

サーバ証明書

サーバ証明書申請時のtsvファイル作成例を教えてほしい

サーバ証明書申請時のtsvファイル作成までの参考例を教えてほしい

 

以下の状況で作成した例を記載します。

  • FQDN: sample.hirosaki-u.ac.jp
  • 鍵ペア作成ツール:OpenSSL
  • OS:CentOS 6
  • Webサーバソフトウェア:Apache

新規発行申請の場合

  1. OpenSSLがインストールされたサーバにログインする。
  2. 秘密鍵の作成
    1. 200KB程度のランダムな内容のファイルを3つ用意する。(ファイル名は任意)
      % openssl rand 204800 > file1.txt
      % openssl rand 204800 > file2.txt
      % openssl rand 204800 > file3.txt
    2. 秘密鍵を作成する。(ファイルをつなげる場合は「:(コロン)」で接続する)
      % openssl genrsa -des3 -rand file1.txt:file2.txt:file3.txt 2048 > sample.key
      Enter pass phrase: →パスワード(任意)を入力
      Verifying – Enter pass phrase: →1回目と同じパスワードを入力
  3. CSRファイルの作成
    % openssl req -new -key sample.key -sha256 -out sample.csr各項目について以下の通り入力。入力がない場合は「.」ピリオドを入力。
    ・Country(C):JP
    ・State or Province Name(ST):Aomori
    ・Locality Name(L):Hirosaki
    ・Organization Name (O):Hirosaki University
    ・Organizational Unit Name (OU):.(ピリオド)
    ・Common Name (CN):該当サーバのFQDN(sample.hirosaki-u.ac.jp)
    ・Email Address :.(ピリオド)
    ・A challenge password : .(ピリオド)
    ・An optional company name: .(ピリオド)
  4. CSRファイルの内容確認
    % openssl req -noout -text -in sample.csr
  5. TSVファイルを作成する。(Webサイト上)
    https://certs.nii.ac.jp/tsv-tool/ にアクセスする。
    「TSVを作成する/既存のTSVを編集する」の「作成開始」をクリック。

    1. 「新規発行申請用TSV」、「サーバ証明書」、「3:サーバ証明書(sha256WtihRSAEncryption)」を選択して、「この内容で作成開始」をクリック
    2. CSRファイルを選択して「読込」をクリック
      「利用管理者Email」、「利用管理者氏名」、「利用管理者所属」、「Webサーバソフトウェア名等」を入力し、「完了」→「ダウンロード」
      例 利用管理者Email:sample@hirosaki-u.ac.jp
      利用管理者氏名:弘前 太郎
      利用管理者所属:情報基盤センター
      Webサーバソフトウェア名等:Apache
      この時、URLが複数設定する場合は「サーバFQDN」以外のFQDNを「dNSName」に入力する。

 

更新申請の場合

  1. OpenSSLがインストールされたサーバにログインする。
  2. 秘密鍵の作成
    1. 200KB程度のランダムな内容のファイルを3つ用意する。
      % openssl rand 204800 > file1.txt
      % openssl rand 204800 > file2.txt
      % openssl rand 204800 > file3.txt
    2. 秘密鍵を作成する。(ファイルをつなげる場合は「:(コロン)」で接続する)
      % openssl genrsa -des3 -rand file1.txt:file2.txt:file3.txt 2048 > sample.key
      Enter pass phrase: →パスワード(任意)を入力
      Verifying – Enter pass phrase: →1回目と同じパスワードを入力
  3. CSRファイルの作成
    % openssl req -new -key sample.key -sha256 -out sample.csr各項目について以下の通り入力。入力がない場合は「.」ピリオドを入力。
    ・Country(C):JP
    ・State or Province Name(ST):Aomori
    ・Locality Name(L):Hirosaki
    ・Organization Name (O):Hirosaki University
    ・Organizational Unit Name (OU):.(ピリオド)
    ・Common Name (CN):該当サーバのFQDN(sample.hirosaki-u.ac.jp)
    ・Email Address :.(ピリオド)
    ・A challenge password : .(ピリオド)
    ・An optional company name: .(ピリオド)
  4. CSRファイルの内容確認
    % openssl req -noout -text -in sample.csr
  5. TSVファイルを作成する(Webサイト上)
    https://certs.nii.ac.jp/tsv-tool/ にアクセスする。
    「TSVを作成する/既存のTSVを編集する」の「作成開始」をクリック。

    1. 「更新申請用TSV」、「サーバ証明書」、「3:サーバ証明書(sha256WtihRSAEncryption)」を選択して、「この内容で作成開始」をクリック
    2. 「CSRファイル読込」で新しく作成したCSRファイルを選択して「読込」をクリック
    3. 「証明書ファイル読込」で更新前の証明書ファイル(**.cer 又は ***.crt)を選択して「読込」をクリック※更新前の証明書ファイルが手元に無い場合には、証明書シリアル番号を確認又は総合情報処理センター( cc-staff@ml.hirosaki-u.ac.jp )へ問合せをし、「失効対象証明書シリアル番号」に入力してください。
      1. opensslコマンドを使って運用中のサーバにアクセスしてシリアル番号を取得する場合の例
        % openssl s_client -connect sample.hirosaki-u.ac.jp:443 </dev/null 2>/dev/null | openssl x509 -noout -serial
        serial=1234567890ABCDEF  ←16進数のシリアル番号
        16進数のシリアル番号の頭に「0x」を付けて「0x1234567890ABCDEF」とする。若しくは、シリアル番号を10進数に変換する。
        % echo “obase=10;ibase=16;1234567890ABCDEF” | bc
        1311768467294899695  ←10進数のシリアル番号
    4. 「利用管理者Email」、「利用管理者氏名」、「利用管理者所属」、「Webサーバソフトウェア名等」を入力し、「完了」→「ダウンロード」
      例 利用管理者Email:sample@hirosaki-u.ac.jp
      利用管理者氏名:弘前 太郎
      利用管理者所属:情報基盤センター
      Webサーバソフトウェア名等:Apache
      この時、URLが複数設定する場合は「サーバFQDN」以外のFQDNを「dNSName」に入力する。

 

失効申請の場合

  1. TSVファイルを作成する。(Webサイト上)
    https://certs.nii.ac.jp/tsv-tool/ にアクセスする。
    「TSVを作成する/既存のTSVを編集する」の「作成開始」をクリック。「失効申請用TSV」、「サーバ証明書」、「3:サーバ証明書(sha256WtihRSAEncryption)」を選択して、「この内容で作成開始」をクリック
  2. 「証明書ファイル読込」で失効予定の証明書ファイル(**.cer 又は ***.crt)を選択して「読込」をクリック※失効予定の証明書ファイルが手元に無い場合には、証明書シリアル番号を確認又は総合情報処理センター( cc-staff@ml.hirosaki-u.ac.jp )へ問合せをし、「失効対象証明書シリアル番号」に入力してください。
    1. opensslコマンドを使って運用中のサーバにアクセスしてシリアル番号を取得する場合の例
      % openssl s_client -connect sample.hirosaki-u.ac.jp:443 </dev/null 2>/dev/null | openssl x509 -noout -serial
      serial=1234567890ABCDEF  ←16進数のシリアル番号
      16進数のシリアル番号の頭に「0x」を付けて「0x1234567890ABCDEF」とする。若しくは、シリアル番号を10進数に変換する。
      % echo “obase=10;ibase=16;1234567890ABCDEF” | bc
      1311768467294899695  ←10進数のシリアル番号
  3. 「利用管理者Email」を入力
    例 利用管理者Email:sample@hirosaki-u.ac.jp
    また、「失効理由」を選択し、必要に応じて「失効理由コメント」(「失効理由」で「0.その他」を選択している場合、コメントは必須)を入力して、「完了」→「ダウンロード」

 

Permalink.

Permanent link to this article: https://itc.hirosaki-u.ac.jp/faqs