旧プロジェクト 事例集

※こちらは旧プロジェクトの資料となりますので、参考としてご利用ください。

下記の他に,情報交換メーリングリストの過去ログにも情報がある場合がございますのでご参照ください。


製品名バージョン動作結果特記事項関連URL機関名(任意)
Mirapoint  情報交換ML:8
富士通 IPCOM S2000  情報交換ML:21
Postfix2.5.2SMTPSとSTARTTLSの両方情報交換ML:27
Courier-IMAP4.4.1POP3S,IMAPS,IMAP STARTTLS情報交換ML:27
Exchange Server2007Windows Server 2003 R2 上
POP,IMAP,SMTP
参考
Ferec720Ferec Version 2.3 上参考
Shibboleth IdP2.1.xLinux 2.3 上参考
Shibboleth SP2.2.1Windows Serer 2003 + IIS 6.0参考
FirePass 12006.0.x下記コメント参照
Oracle Wallet 下記コメント参照  
Proself 下記コメント参照
NetScaler 詳細は準備中  
Sun Java Directory Server 詳細は準備中  
IBM HTTP Server6.0およびそれ以前鍵長に1024bitを指定した場合,1023bit鍵が生成されることがあるので、その場合何度も生成し直してみること。ibm.com 
OpenLDAP 下記コメント参照
Usermin1.260中間CA証明書の設定が必要情報交換ML:32
FreeRADIUS2.1.6 情報交換ML:35
Dovecot  情報交換ML:63
Cisco ASA 55208.3"fqdn none"を実行するのがポイントcisco.com
Courier IMAP  情報交換ML:64
Qpopper  情報交換ML:65
Array APV 2200 OpenSSLでCSR作成
Oracle Internet Application Server(iAS)10.1.3.1 
 

Oracle Wallet

以下の手順でインストールしてください。

  1. サーバ証明書取得
    Oracle WalletでCSR(証明書要求)を作成し,所属機関の手順に従ってサーバ証明書を取得してください。
    CSR作成時には,「都道府県」には何も入力せず,「市町村」に「Academe2」を入力してください。
    他の部分については所属機関からの指示に従ってください。

  2. 中間CA証明書およびルートCA証明書をインストール
    以下のリンクから2つのCA証明書をダウンロードし,Oracle Walletで「信頼できる証明書」にインポートしてください。
  3. 1.で取得したサーバ証明書をインポートしてください。

 

Proself

Proselfという,Tomcat6.0ベースのオンラインストレージ構築パッケージへのサーバ証明書の発行方法:


システムの管理画面からCSRを生成しようとすると,鍵長が1024bitとなり,"ST="が削除できない。
そのため,インストールマニュアルの「Tomcat(JavaKeytool)編」に従ってkeytoolを使ってCSRを生成する必要がある。

 

OpenLDAP

※下記の記述はslapdがGnuTLSとリンクしている場合にあてはまります。
何とリンクしているかはOSおよびディストリビューションにより異なり,OpenSSLとリンクしている場合(例えばRHEL(Red Hat Enterprise Linux)やCentOS)はあてはまりません。
情報交換MLの[upki-odcert:56]以降も参照してください。



Ubuntu 8.04 LTSにて

  1. /etc/ldap/slapd.confに以下を追加
    TLSCertificateFile /etc/ssl/certs/server-chain.crt
    TLSCertificateKeyFile /etc/ssl/private/server.key        

  2. /etc/default/slapdに以下のどちらかを追加
    SLAPD_SERVICES="ldap://127.0.0.1:389/ ldaps:///"        
    もしくは
    SLAPD_SERVICES="ldap:/// ldaps:///"        

  3. server-chain.crtの作成
    • 改行はLFのみでなければならない。
      • ダウンロードしたサーバ証明書は大丈夫
      • nii-odca2.crtはCRLF
      • ルートもOK
    • サーバ証明書 → nii-odca2.crt → ルート の順に格納
    • ルートは
      /etc/ssl/certs/Security_Communication_Root_CA.pem
      にある

  4. 鍵ファイル(server.key)はopenldapから読めるように, パスフレーズは外しておくこと
 

F5ネットワークス FirePass 1200

GUI(管理画面)からCSRを生成しようとすると,都道府県(ST)と連絡先Eメールが必須なので,うまくいかない。
(生成されたように見えるがZIPの中にCSRが入っていない)
そのため,別途OpenSSL等でCSRを生成し証明書を取得し,以下の手順でインポートする。


  1. [デバイス管理] → [設定] → [ネットワーク設定] → [ウェブサービス] →「SSL証明書の設定 >>」→ [証明書のインストール] を選択する。

  2. 「PEMフォーマット(Apache + mod_ssl用)で、新しい証明書をここに貼り付けてください:」欄に証明書(*.crt)を貼り付ける。
    (メモ帳などで*.crtファイルを読み込んで表示させコピペ)

    図1

  3. 「PEMフォーマットで、対応する暗号キーを貼り付けてください:」欄に鍵ペア(*.key)を貼り付ける。
    (ワードパッドなどで*.keyファイルを読み込んで表示させコピペ)

  4. 引き続き,パスワードを入力する。

    図2

  5. 「オプションとして、中間証明書チェイン(PEMフォーマット)をここに貼り付けてください:」欄にオープンドメイン認証局2リポジトリにあるnii-odca2.crtを貼り付ける。

  6. 5. の上側にある [Go!] をクリックすると,次のようになる。

    図3

  7. 「証明書チェインは、完全には確認できません。」という警告が出るが,問題はないので [証明書保存] をクリックする。

  8. 一覧の「Common Name」から,今回インストールした「Filenames」(例:cert5.pem, key5.pemchain5.pem)を確認する。

  9. 上の [ウェブサービス] タブをクリックする。

  10. 該当するホストの [設定] をクリックする。

  11. 「SSLの使用:」にチェックを入れる。

  12. 「証明書:」でさきほど確認したファイル名を選択する。

  13. [更新] をクリックする。

  14. [設定の確定] タブをクリックする。

  15. 変更点を確認し,[変更の確定] ボタンをクリックする。

  16. ページ下の [変更を適用して再起動] をクリックする。

  17. [Restart] ボタンをクリックし、しばらく待つ。

  18. ログアウトし,アクセスしているページのサーバ証明書をブラウザで確認して,有効期限が更新されていれば完了です。