事例集

UPKIオープンドメイン証明書自動発行検証プロジェクト


このプロジェクトに関するお知らせはNEWS、イベント等での資料は公開資料、よくあるご質問は左メニューのFAQをご覧ください。

 
     

サーバ動作報告事例


下記の他に、情報交換メーリングリストにも情報がある場合がございますのでご参照ください。
情報交換MLアーカイブ

まだ情報が寄せられていないソフトウェアで動作確認を行なった場合は、ぜひとも情報交換メーリングリストまでご報告いただければと思います。⇒情報交換MLのご案内

 
製品名 バージョン 動作
結果
特記事項 関連URL 機関名
(任意)
Mirapoint     情報交換ML:8 -
富士通 IPCOM S2000     情報交換ML:21 -
Postfix 2.5.2 SMTPSとSTARTTLSの両方 情報交換ML:27 -
Courier-IMAP 4.4.1 POP3S, IMAPS, IMAP STARTTLS 情報交換ML:27 -
Exchange Server 2007

Windows Server 2003 R2上
POP, IMAP, SMTP

参考 -
Ferec 720 Ferec Version 2.3上 参考 -
Shibboleth IdP 2.1.x Linux上 参考 -
Shibboleth SP 2.2.1 Windows Serer 2003 + IIS 6.0 参考 -
FirePass 1200 6.0.x コメントあり - -
Oracle Wallet   コメントあり    
Proself   コメントあり - -
NetScaler   詳細は準備中    
Sun Java Directory Server   詳細は準備中    
IBM HTTP Server 6.0およびそれ以前 鍵長に1024bitを指定した場合、1023bit鍵が生成されることがあるので、その場合何度も生成し直してみること。 ibm.com -
OpenLDAP   コメントあり - -
Usermin 1.260 中間CA証明書の設定が必要 情報交換ML:32 -
FreeRADIUS 2.1.6   情報交換ML:35 -
Dovecot     情報交換ML:63 -
Cisco ASA 5520 8.3 "fqdn none"を実行するのがポイント cisco.com -
Courier IMAP     情報交換ML:64 -
Qpopper     情報交換ML:65 -
Array APV 2200   OpenSSLでCSR作成 - -
Oracle Internet Application Server(iAS) 10.1.3.1   - -

Oracle Wallet


以下の手順でインストールしてください。
  1. サーバ証明書取得
    Oracle WalletでCSR(証明書要求)を作成し、所属機関の手順に従ってサーバ証明書を取得してください。
    CSR作成時には、「都道府県」には何も入力せず、「市町村」に「Academe2」を入力してください。他の部分については所属機関からの指示に従ってください。

  2. 中間CA証明書およびルートCA証明書をインストール
    以下のリンクから2つのCA証明書をダウンロードし、Oracle Walletで「信頼できる証明書」にインポートしてください。

  3. 1.で取得したサーバ証明書をインポートしてください。

Proself


Proselfという、Tomcat6.0ベースのオンラインストレージ構築パッケージへのサーバ証明書の発行方法:

システムの管理画面からCSRを生成しようとすると、鍵長が1024bitとなり"ST="が削除できない。そのため、インストールマニュアルの「Tomcat(JavaKeytool)編」に従ってkeytoolを使ってCSRを生成する必要がある。

OpenLDAP


※下記の記述はslapdがGnuTLSとリンクしている場合にあてはまります。何とリンクしているかはOSおよびディストリビューションにより異なり、OpenSSLとリンクしている場合(例えばRHEL(Red Hat Enterprise Linux)やCentOS)はあてはまりません。
情報交換MLの[upki-odcert:56]以降も参照のこと。

Ubuntu 8.04 LTSにて

1. /etc/ldap/slapd.confに以下追加
 
TLSCertificateFile /etc/ssl/certs/server-chain.crt
TLSCertificateKeyFile /etc/ssl/private/server.key          

2. /etc/default/slapdに以下追加
 
SLAPD_SERVICES="ldap://127.0.0.1:389/ ldaps:///"          

 もしくは
 
SLAPD_SERVICES="ldap:/// ldaps:///"                  

3. server-chain.crtの作成:
  • 改行はLFのみでなければならない。
    • ダウンロードしたサーバ証明書は大丈夫
    • nii-odca2.crtはCRLF
    • ルートもOK
  • サーバ証明書→nii-odca2.crt→ルートの順に格納
  • ルートは
  • /etc/ssl/certs/Security_Communication_Root_CA.pemにある

4. 鍵ファイル(server.key)はopenldapから読めるように, パスフレーズは外しておくこと

F5ネットワークス FirePass 1200


GUI(管理画面)からCSRを生成しようとすると、都道府県(ST)と連絡先Eメールが必須なのでだめ。(生成されたように見えるがZIPの中にCSRが入っていない)
別途OpenSSL等でCSRを生成し、証明書を取得。以下の手順でインポートする。

 

  1. [デバイス管理]→[設定]→[ネットワーク設定]→[ウェブサービス]→「SSL証明書の設定 >>」→[証明書のインストール]を選択
  2. (図1)「PEMフォーマット(Apache + mod_ssl用)で、新しい証明書をここに貼り付けてください:」
    に証明書(*.crt)を貼り付ける。(メモ帳などで*.crtファイルを読み込んで表示させコピペ)
  3. (図1)「PEMフォーマットで、対応する暗号キーを貼り付けてください:」
    に鍵ペア(*.key)を貼り付ける。(ワードパッドなどで)
  4. (図2)パスワードを入力する。
  5. (図2)「オプションとして、中間証明書チェイン(PEMフォーマット)をここに貼り付けてください:」
    オープンドメイン認証局2リポジトリにある  nii-odca2.crt  を貼り付ける。
  6. (図2)5の上側にある[Go!]をクリック
  7. (図3)「証明書チェインは、完全には確認できません。」という警告が出るが問題ないので[証明書保存]をクリック
  8. 一覧の「Common Name」から今回インストールした「Filenames」(例:cert5.pem, key5.pemchain5.pem)を確認
  9. 上の[ウェブサービス]タブをクリック
  10. 該当するホストの[設定]をクリック
  11. 「SSLの使用:」にチェックを入れる
  12. 「証明書:」でさきほど確認したファイル名を選択
  13. [更新]をクリック
  14. [設定の確定]タブをクリック
  15. 変更点を確認し[変更の確定]ボタンをクリック。
  16. ページ下の[変更を適用して再起動]をクリック。
  17. [Restart]ボタンをクリックし、しばらく待つ。
  18. ログアウトし、アクセスしているページのサーバ証明書をブラウザで確認して、有効期限が更新されていれば完了です。
FirePass
FirePass
FirePass