学習教育用, や実験室の実験用Webサーバで「httpsを可能にする」SSLホスト証明書を, これまでは業者から買っていたが, 2015年から, NIIのUPKI電子証明書発行サービスの申請を情報メディアセンター に取り次いでもらえるようになったというので初めて使用させていただいた. 部署のその時期のお忙しさにも依存するだろうが, 申請書を学内便で送ってから, 2日間くらいで利用可能になった*1. 有効期間は発行日から25か月で固定*2.
- http://rjwww.fks.ryukoku.ac.jp/~rtnoc/apply/ の「UPKI…サーバー証明書」(学内からのみアクセス可能)
申請書内に基本的な説明は載っている. NII側のマニュアルはこれ
情報を仕様に沿った TSV=tab separated values 形式のファイルにまとめて申請しなければいけないが, CSRファイルからTSVの基本形を作ってくれるツールが公開されている.
秘密鍵の作り方は普通.
openssl genrsa -des3 -rand randomfile1:randomfile2:randomfile3 2048 > el.math.ryukoku.ac.jp.key
CSRファイル作成の際には注意が必要.
openssl req -new -key el.math.ryukoku.ac.jp.key -sha1 -out el.math.ryukoku.ac.jp.csr
説明にダイアログの応答方法が書かれているが, Locality Name とかは見慣れないものを指定しないといけない他, STやE-MAILを空にしないといけない. E-MAILはenterだけ押すとデフォルト値の空になるが, STはenter だとデフォルト値の Some-State になってしまう. "." (dot) enter で空であることを明示的に示さないといけない.
Country Name (2 letter code) [AU]:JP State or Province Name (full name) [Some-State]:. Locality Name (eg, city) []:Academe Organization Name (eg, company) [Internet Widgits Pty Ltd]:Ryukoku University Organizational Unit Name (eg, section) []:Faculty of Science and Technology Common Name (e.g. server FQDN or YOUR name) []:el.math.ryukoku.ac.jp Email Address []:. # # Please enter the following 'extra' attributes # to be sent with your certificate request # A challenge password []:. # An optional company name []:.
最終的に得られた証明書は, ブラウザの機能(鍵マークで右クリックなど)を使って, ここで確認できる https://el.math.ryukoku.ac.jp/
2018-08-05更新
有効期限の1か月前=前回申請の1年後になると, NIIの委託先の企業から, 期限の通知メールが来る. そこから期限までまだ1か月の猶予がある.
2018-08-03更新
2018-07-0911:00からは, DNの書き方の仕様が変わったそう.
Country Name (2 letter code) [AU]:JP State or Province Name (full name) [Some-State]:Kyoto Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]:Ryukoku University Organizational Unit Name (eg, section) []:Faculty of Science and Technology Common Name (e.g. server FQDN or YOUR name) []:el.math.ryukoku.ac.jp Email Address []: # # Please enter the following 'extra' attributes # to be sent with your certificate request # A challenge password []: # An optional company name []:
このため, 2018-07-0911:00以前に発行された証明書を, それ以降に更新することはできず, 再度新規発行が必要だとのこと.