メニュー

アーカイブ

この記事は過去のUPKIイニシアティブに掲載されていたものです
 

事例集

UPKIオープンドメイン証明書自動発行検証プロジェクト


このプロジェクトに関するお知らせはNEWS、イベント等での資料は公開資料、よくあるご質問は左メニューのFAQをご覧ください。
 

サーバ動作報告事例


下記の他に、情報交換メーリングリストにも情報がある場合がございますのでご参照ください。
情報交換MLアーカイブ

まだ情報が寄せられていないソフトウェアで動作確認を行なった場合は、ぜひとも情報交換メーリングリストまでご報告いただければと思います。⇒情報交換MLのご案内


製品名バージョン動作
結果
特記事項関連URL機関名
(任意)
Mirapoint  情報交換ML:8-
富士通 IPCOM S2000  情報交換ML:21-
Postfix2.5.2SMTPSとSTARTTLSの両方情報交換ML:27-
Courier-IMAP4.4.1POP3S, IMAPS, IMAP STARTTLS情報交換ML:27-
Exchange Server2007

Windows Server 2003 R2上
POP, IMAP, SMTP

参考-
Ferec720Ferec Version 2.3上参考-
Shibboleth IdP2.1.xLinux上参考-
Shibboleth SP2.2.1Windows Serer 2003 + IIS 6.0参考-
FirePass 12006.0.xコメントあり--
Oracle Wallet コメントあり  
Proself コメントあり--
NetScaler 詳細は準備中  
Sun Java Directory Server 詳細は準備中  
IBM HTTP Server6.0およびそれ以前鍵長に1024bitを指定した場合、1023bit鍵が生成されることがあるので、その場合何度も生成し直してみること。ibm.com-
OpenLDAP コメントあり--
Usermin1.260中間CA証明書の設定が必要情報交換ML:32-
FreeRADIUS2.1.6 情報交換ML:35-
Dovecot  情報交換ML:63-
Cisco ASA 55208.3"fqdn none"を実行するのがポイントcisco.com-
Courier IMAP  情報交換ML:64-
Qpopper  情報交換ML:65-
Array APV 2200 OpenSSLでCSR作成--
Oracle Internet Application Server(iAS)10.1.3.1 --
 

Oracle Wallet


以下の手順でインストールしてください。
  1. サーバ証明書取得
    Oracle WalletでCSR(証明書要求)を作成し、所属機関の手順に従ってサーバ証明書を取得してください。
    CSR作成時には、「都道府県」には何も入力せず、「市町村」に「Academe2」を入力してください。他の部分については所属機関からの指示に従ってください。

  2. 中間CA証明書およびルートCA証明書をインストール
    以下のリンクから2つのCA証明書をダウンロードし、Oracle Walletで「信頼できる証明書」にインポートしてください。

  3. 1.で取得したサーバ証明書をインポートしてください。
 

Proself


絵文字:別ウィンドウProselfという、Tomcat6.0ベースのオンラインストレージ構築パッケージへのサーバ証明書の発行方法:

システムの管理画面からCSRを生成しようとすると、鍵長が1024bitとなり"ST="が削除できない。そのため、インストールマニュアルの「Tomcat(JavaKeytool)編」に従ってkeytoolを使ってCSRを生成する必要がある。
 

OpenLDAP


※下記の記述はslapdがGnuTLSとリンクしている場合にあてはまります。何とリンクしているかはOSおよびディストリビューションにより異なり、OpenSSLとリンクしている場合(例えばRHEL(Red Hat Enterprise Linux)やCentOS)はあてはまりません。
情報交換MLの[upki-odcert:56]以降も参照のこと。

Ubuntu 8.04 LTSにて

1. /etc/ldap/slapd.confに以下追加

TLSCertificateFile /etc/ssl/certs/server-chain.crt
TLSCertificateKeyFile /etc/ssl/private/server.key 

2. /etc/default/slapdに以下追加

SLAPD_SERVICES="ldap://127.0.0.1:389/ ldaps:///"

 もしくは

SLAPD_SERVICES="ldap:/// ldaps:///" 

3. server-chain.crtの作成:
  • 改行はLFのみでなければならない。
    • ダウンロードしたサーバ証明書は大丈夫
    • nii-odca2.crtはCRLF
    • ルートもOK
  • サーバ証明書→nii-odca2.crt→ルートの順に格納
  • ルートは
  • /etc/ssl/certs/Security_Communication_Root_CA.pemにある

4. 鍵ファイル(server.key)はopenldapから読めるように, パスフレーズは外しておくこと
 

F5ネットワークス FirePass 1200


GUI(管理画面)からCSRを生成しようとすると、都道府県(ST)と連絡先Eメールが必須なのでだめ。(生成されたように見えるがZIPの中にCSRが入っていない)
別途OpenSSL等でCSRを生成し、証明書を取得。以下の手順でインポートする。
 
図1
図2
図3
  1. [デバイス管理]→[設定]→[ネットワーク設定]→[ウェブサービス]→「SSL証明書の設定 >>」→[証明書のインストール]を選択
  2. (図1)「PEMフォーマット(Apache + mod_ssl用)で、新しい証明書をここに貼り付けてください:」
    に証明書(*.crt)を貼り付ける。(メモ帳などで*.crtファイルを読み込んで表示させコピペ)
  3. (図1)「PEMフォーマットで、対応する暗号キーを貼り付けてください:」
    に鍵ペア(*.key)を貼り付ける。(ワードパッドなどで)
  4. (図2)パスワードを入力する。
  5. (図2)「オプションとして、中間証明書チェイン(PEMフォーマット)をここに貼り付けてください:」
    絵文字:別ウィンドウオープンドメイン認証局2リポジトリにある  nii-odca2.crt  を貼り付ける。
  6. (図2)5の上側にある[Go!]をクリック
  7. (図3)「証明書チェインは、完全には確認できません。」という警告が出るが問題ないので[証明書保存]をクリック
  8. 一覧の「Common Name」から今回インストールした「Filenames」(例:cert5.pem, key5.pemchain5.pem)を確認
  9. 上の[ウェブサービス]タブをクリック
  10. 該当するホストの[設定]をクリック
  11. 「SSLの使用:」にチェックを入れる
  12. 「証明書:」でさきほど確認したファイル名を選択
  13. [更新]をクリック
  14. [設定の確定]タブをクリック
  15. 変更点を確認し[変更の確定]ボタンをクリック。
  16. ページ下の[変更を適用して再起動]をクリック。
  17. [Restart]ボタンをクリックし、しばらく待つ。
  18. ログアウトし、アクセスしているページのサーバ証明書をブラウザで確認して、有効期限が更新されていれば完了です。