サーバ証明書申請時のtsvファイル作成までの参考例を教えてほしい
以下の状況で作成した例を記載します。
- FQDN: sample.hirosaki-u.ac.jp
- 鍵ペア作成ツール:OpenSSL
- OS:CentOS 6
- Webサーバソフトウェア:Apache
新規発行申請の場合
- OpenSSLがインストールされたサーバにログインする。
- 秘密鍵の作成
- 200KB程度のランダムな内容のファイルを3つ用意する。(ファイル名は任意)
% openssl rand 204800 > file1.txt
% openssl rand 204800 > file2.txt
% openssl rand 204800 > file3.txt - 秘密鍵を作成する。(ファイルをつなげる場合は「:(コロン)」で接続する)
% openssl genrsa -des3 -rand file1.txt:file2.txt:file3.txt 2048 > sample.key
Enter pass phrase: →パスワード(任意)を入力
Verifying – Enter pass phrase: →1回目と同じパスワードを入力
- 200KB程度のランダムな内容のファイルを3つ用意する。(ファイル名は任意)
- CSRファイルの作成
% openssl req -new -key sample.key -sha256 -out sample.csr各項目について以下の通り入力。入力がない場合は「.」ピリオドを入力。
・Country(C):JP
・State or Province Name(ST):Aomori
・Locality Name(L):Hirosaki
・Organization Name (O):Hirosaki University
・Organizational Unit Name (OU):.(ピリオド)
・Common Name (CN):該当サーバのFQDN(sample.hirosaki-u.ac.jp)
・Email Address :.(ピリオド)
・A challenge password : .(ピリオド)
・An optional company name: .(ピリオド) - CSRファイルの内容確認
% openssl req -noout -text -in sample.csr - TSVファイルを作成する。(Webサイト上)
https://certs.nii.ac.jp/tsv-tool/ にアクセスする。
「TSVを作成する/既存のTSVを編集する」の「作成開始」をクリック。- 「新規発行申請用TSV」、「サーバ証明書」、「3:サーバ証明書(sha256WtihRSAEncryption)」を選択して、「この内容で作成開始」をクリック
- CSRファイルを選択して「読込」をクリック
「利用管理者Email」、「利用管理者氏名」、「利用管理者所属」、「Webサーバソフトウェア名等」を入力し、「完了」→「ダウンロード」
例 利用管理者Email:sample@hirosaki-u.ac.jp
利用管理者氏名:弘前 太郎
利用管理者所属:情報基盤センター
Webサーバソフトウェア名等:Apache
この時、URLが複数設定する場合は「サーバFQDN」以外のFQDNを「dNSName」に入力する。
更新申請の場合
- OpenSSLがインストールされたサーバにログインする。
- 秘密鍵の作成
- 200KB程度のランダムな内容のファイルを3つ用意する。
% openssl rand 204800 > file1.txt
% openssl rand 204800 > file2.txt
% openssl rand 204800 > file3.txt - 秘密鍵を作成する。(ファイルをつなげる場合は「:(コロン)」で接続する)
% openssl genrsa -des3 -rand file1.txt:file2.txt:file3.txt 2048 > sample.key
Enter pass phrase: →パスワード(任意)を入力
Verifying – Enter pass phrase: →1回目と同じパスワードを入力
- 200KB程度のランダムな内容のファイルを3つ用意する。
- CSRファイルの作成
% openssl req -new -key sample.key -sha256 -out sample.csr各項目について以下の通り入力。入力がない場合は「.」ピリオドを入力。
・Country(C):JP
・State or Province Name(ST):Aomori
・Locality Name(L):Hirosaki
・Organization Name (O):Hirosaki University
・Organizational Unit Name (OU):.(ピリオド)
・Common Name (CN):該当サーバのFQDN(sample.hirosaki-u.ac.jp)
・Email Address :.(ピリオド)
・A challenge password : .(ピリオド)
・An optional company name: .(ピリオド) - CSRファイルの内容確認
% openssl req -noout -text -in sample.csr - TSVファイルを作成する(Webサイト上)
https://certs.nii.ac.jp/tsv-tool/ にアクセスする。
「TSVを作成する/既存のTSVを編集する」の「作成開始」をクリック。- 「更新申請用TSV」、「サーバ証明書」、「3:サーバ証明書(sha256WtihRSAEncryption)」を選択して、「この内容で作成開始」をクリック
- 「CSRファイル読込」で新しく作成したCSRファイルを選択して「読込」をクリック
- 「証明書ファイル読込」で更新前の証明書ファイル(**.cer 又は ***.crt)を選択して「読込」をクリック※更新前の証明書ファイルが手元に無い場合には、証明書シリアル番号を確認又は総合情報処理センター( cc-staff@ml.hirosaki-u.ac.jp )へ問合せをし、「失効対象証明書シリアル番号」に入力してください。
- opensslコマンドを使って運用中のサーバにアクセスしてシリアル番号を取得する場合の例
% openssl s_client -connect sample.hirosaki-u.ac.jp:443 </dev/null 2>/dev/null | openssl x509 -noout -serial
serial=1234567890ABCDEF ←16進数のシリアル番号
16進数のシリアル番号の頭に「0x」を付けて「0x1234567890ABCDEF」とする。若しくは、シリアル番号を10進数に変換する。
% echo “obase=10;ibase=16;1234567890ABCDEF” | bc
1311768467294899695 ←10進数のシリアル番号
- opensslコマンドを使って運用中のサーバにアクセスしてシリアル番号を取得する場合の例
- 「利用管理者Email」、「利用管理者氏名」、「利用管理者所属」、「Webサーバソフトウェア名等」を入力し、「完了」→「ダウンロード」
例 利用管理者Email:sample@hirosaki-u.ac.jp
利用管理者氏名:弘前 太郎
利用管理者所属:情報基盤センター
Webサーバソフトウェア名等:Apache
この時、URLが複数設定する場合は「サーバFQDN」以外のFQDNを「dNSName」に入力する。
失効申請の場合
- TSVファイルを作成する。(Webサイト上)
https://certs.nii.ac.jp/tsv-tool/ にアクセスする。
「TSVを作成する/既存のTSVを編集する」の「作成開始」をクリック。「失効申請用TSV」、「サーバ証明書」、「3:サーバ証明書(sha256WtihRSAEncryption)」を選択して、「この内容で作成開始」をクリック - 「証明書ファイル読込」で失効予定の証明書ファイル(**.cer 又は ***.crt)を選択して「読込」をクリック※失効予定の証明書ファイルが手元に無い場合には、証明書シリアル番号を確認又は総合情報処理センター( cc-staff@ml.hirosaki-u.ac.jp )へ問合せをし、「失効対象証明書シリアル番号」に入力してください。
- opensslコマンドを使って運用中のサーバにアクセスしてシリアル番号を取得する場合の例
% openssl s_client -connect sample.hirosaki-u.ac.jp:443 </dev/null 2>/dev/null | openssl x509 -noout -serial
serial=1234567890ABCDEF ←16進数のシリアル番号
16進数のシリアル番号の頭に「0x」を付けて「0x1234567890ABCDEF」とする。若しくは、シリアル番号を10進数に変換する。
% echo “obase=10;ibase=16;1234567890ABCDEF” | bc
1311768467294899695 ←10進数のシリアル番号
- opensslコマンドを使って運用中のサーバにアクセスしてシリアル番号を取得する場合の例
- 「利用管理者Email」を入力
例 利用管理者Email:sample@hirosaki-u.ac.jp
また、「失効理由」を選択し、必要に応じて「失効理由コメント」(「失効理由」で「0.その他」を選択している場合、コメントは必須)を入力して、「完了」→「ダウンロード」
Posted in: サーバ証明書
