樋口三郎の授業情報@龍谷大学理工学部数理情報学科

授業情報@龍谷大学理工学部数理情報学科

NIIのUPKI電子証明書発行を情報メディアセンターにお願いしてSSLホスト証明書を取得(無料)

学習教育用, や実験室の実験用Webサーバで「httpsを可能にする」SSLホスト証明書を, これまでは業者から買っていたが, 2015年から, NIIUPKI電子証明書発行サービスの申請を情報メディアセンター に取り次いでもらえるようになったというので初めて使用させていただいた. 部署のその時期のお忙しさにも依存するだろうが, 申請書を学内便で送ってから, 2日間くらいで利用可能になった*1. 有効期間は発行日から25か月で固定*2.

申請書内に基本的な説明は載っている. NII側のマニュアルはこれ

情報を仕様に沿った TSV=tab separated values 形式のファイルにまとめて申請しなければいけないが, CSRファイルからTSVの基本形を作ってくれるツールが公開されている.

秘密鍵の作り方は普通.

openssl genrsa -des3 -rand randomfile1:randomfile2:randomfile3 2048 > el.math.ryukoku.ac.jp.key

CSRファイル作成の際には注意が必要.

openssl req -new -key el.math.ryukoku.ac.jp.key -sha1 -out el.math.ryukoku.ac.jp.csr

説明にダイアログの応答方法が書かれているが, Locality Name とかは見慣れないものを指定しないといけない他, STやE-MAILを空にしないといけない. E-MAILはenterだけ押すとデフォルト値の空になるが, STはenter だとデフォルト値の Some-State になってしまう. "." (dot) enter で空であることを明示的に示さないといけない.

Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:.
Locality Name (eg, city) []:Academe
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Ryukoku University
Organizational Unit Name (eg, section) []:Faculty of Science and Technology
Common Name (e.g. server FQDN or YOUR name) []:el.math.ryukoku.ac.jp
Email Address []:.
# 
# Please enter the following 'extra' attributes
# to be sent with your certificate request
# A challenge password []:.
# An optional company name []:.

最終的に得られた証明書は, ブラウザの機能(鍵マークで右クリックなど)を使って, ここで確認できる https://el.math.ryukoku.ac.jp/

2018-08-05更新

有効期限の1か月前=前回申請の1年後になると, NIIの委託先の企業から, 期限の通知メールが来る. そこから期限までまだ1か月の猶予がある.

2018-08-03更新

2018-07-0911:00からは, DNの書き方の仕様が変わったそう.

Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:Kyoto
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Ryukoku University
Organizational Unit Name (eg, section) []:Faculty of Science and Technology
Common Name (e.g. server FQDN or YOUR name) []:el.math.ryukoku.ac.jp
Email Address []:
# 
# Please enter the following 'extra' attributes
# to be sent with your certificate request
# A challenge password []:
# An optional company name []:

このため, 2018-07-0911:00以前に発行された証明書を, それ以降に更新することはできず, 再度新規発行が必要だとのこと.

*1:みんながフル利用しはじめたら担当者の方はたいへんだと思う

*2:2年に1か月の余裕があると, 毎年同じ時期に更新すればよいので作業フローの整理上とても助かる