この記事は過去のUPKIイニシアティブに掲載されていたものです
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-odcert:8] Re: MirapointでCSR発行できません(+CSRの制限についての要望)
- Subject: [upki-odcert:8] Re: MirapointでCSR発行できません(+CSRの制限についての要望)
- Date: Wed, 09 Dec 2009 11:33:05 +0900
- From: Namiki Tomiyuki <xxxxxx@xxxxxxxxx>
清泉女子大学 河内様
国立情報学研究所の並木です。
サーバ証明書プロジェクトの事務を担当させていただいております。
Mirapointでのサーバ証明書インストール手順について、他大学にて成功した
例がありましたので、ご参考になればと思い、手順についてご連絡させて
いただきます。
--
<Mirapoint Message Server環境におけるサーバ証明書インストール手順>
Mirapoint Message Serverでは、外部で作成した鍵をインポートする
事が可能です。
OpenSSL等のコマンドで作成した鍵で、CSRを作成し、登録担当者を経
由して発行申請後、支援システムからサーバー証明書が取得できます。
※OpenSSLの使い方については下記サーバ証明書インストールマニュア
ルの「Apache 2 + mod_ssl 編」をご参照ください。
https://upki-portal.nii.ac.jp/docs/odcert/document/install
※証明書発行申請の方法は機関により異なります。各機関の登録担当
者にご確認ください。
『私有鍵』および『サーバ証明書』が用意できたら、後述する『中間
CA証明書』ファイルも含めて、以下の手順でMirapoint Message
Serverのサーバー証明書を登録する画面から取り込んで頂きます。
【手順】
手順1.私有鍵のパスフレーズの解除
生成した私有鍵にパスフレーズが設定されている場合は以下のコマンド
にてパスフレーズを解除する。パスフレーズを聞かれるので入力するこ
と。
# openssl rsa -in server.key -out server.key
※パスフレーズが設定されているかどうかは私有鍵ファイルの2行目
以降に
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-...
のようなヘッダが存在するかどうかで確認できます。
手順2.アップロードファイルの準備
証明書ファイル、私有鍵ファイルを以下のフォーマットで
作成し、保存。
------BEGIN CERTIFICATE--------
・・・
<受領したサーバ証明書
・・・
------END CERTIFICATE --------
------BEGIN RSA PRIVATE KEY--------
・・・
<OPENSSL等外部ツールで生成した私有鍵
(手順1によってパスフレーズが解除されていること)
・・・
------END RSA PRIVATE KEY--------
手順3.サーバ証明書のインストール
セキュリティ >> 証明書
から、手順2で作成したファイルをアップロード
手順4.中間認証局(CA)証明書の準備
以下のURLより、中間CA証明書(国立情報学研究所 オープン
ドメイン認証局2 CA証明書(nii-odca2))を取得
https://repo1.secomtrust.net/sppca/nii/odca2/
手順5.中間CA証明書のアップロード
セキュリティ >> 中間CA証明書
から、手順4で取得した中間CA証明書のファイルをアップロード
-- =============================================== 国立情報学研究所 学術
基盤推進部 基盤企画課 総括・連携システムチーム 並木 TEL:03-4212-
2218 E-Mail:xxxxxx@xxxxxxxxx
===============================================
Kazunori Kawauchi さんは書きました:
> 皆様よろしくお願いいたします。
> 清泉女子大学の河内と申します。
>
> 現在、(動作確認のとれていないことを承知で)Mirapointへ証明書を導入しようと画策
> しております。導入した証明書を使ってWebメールへの通信を暗号化する予定です。
>
> ただ、Mirapointは、a)Webベースの管理サイト b)独自OSのコマンドラインの2つがあるの
> ですが、どちらの場合も発行されたCSRの署名アルゴリズムがsha1ではなくmd5になってし
> まいます。
>
> 1. Mirapointに対してSSL証明書を発行できる(できそうな)手順をご存じの方はいらっ
> しゃらないでしょうか?
>
> なお、Mirapoint には別のマシンで作成した秘密鍵をインストールまたはインポートする
> 機能は無いようです。
> # 以前、Windows上のIISに証明書をインストールしたときには、
> # Opensslのインストールが面倒だったために、
> # Linuxで作成した秘密鍵をPKCS#12形式に変換してインポートしました。
>
> 2. CSRの制限が「キツイ」と感じることがあるのですが、セキュリティ上の脆弱性などの
> 根拠を示して我々を諭していただくか、ユーザの利便性をかんがみて制限をゆるめていた
> だけないでしょうか?
>
> 要望と言うよりもほとんど愚痴に近いのですが…、「STを省略する必要がなければ、IISの
> CSR発行ウィザードが使えたのに」「md5でも良ければMirapointでも問題なくCSRが生成で
> きたのに」という思いがあります。
> # 特に前者は必要のある制限なのかよく理解できていません。
>
> ご返答いただければ幸いです。
> よろしくお願いいたします。
>
>
--
===============================================
国立情報学研究所 学術基盤推進部 基盤企画課
総括・連携システムチーム 並木
TEL:03-4212-2218 E-Mail:xxxxxx@xxxxxxxxx
===============================================