UPKIのサーバ証明書のインストール

UPKI のサーバ証明書プロジェクトでは、無償でサーバ証明書が発行してもらえます。ここで発行される証明書を BbLS サーバで使えるようにする方法です。

上記プロジェクトは 2009 年9月現在「証明書自動発行検証」というステージのようです。2009年6月に前プロジェクトから切り替わったのですが、これに伴い以前発行された証明書は 2009年9月末で使えなくなるとのこと。今後もこのような切替があるかもしれませんが、無償でいくつでも発行してもらえるのはとてもありがたいです。インストールや運用で問題があれば、是非機関のプロジェクト担当者経由でフィードバックしましょう。

例によって Linux サーバでの記載です。Windows サーバの場合は、openssl が使える別マシンでファイルを用意すればよいのかな。

(1) 秘密鍵ファイルと証明書要求ファイルの生成

以下で秘密鍵ファイルが生成され、key.pem という名前で保存されます。

# cat /dev/urandom | head -c 200 > randfile1
# cat /dev/urandom | head -c 200 > randfile2
# cat /dev/urandom | head -c 200 > randfile3
# openssl genrsa -des3 -rand randfile1:randfile2:randfile3  1024 > key.pem
Enter pass phrase: (パスフレーズを入力)

以下で、証明書要求(CSR)ファイルが生成され、csr.pem という名前で保存されます。Country Name, State, Locality Name は厳密に以下の通りでなくてはなりません。State は空白(ドットを入れる。何も入れずにエンターでも可?)でなくてはならない事に注意が必要です。

# openssl req -new -sha1 -key key.pem -out csr.pem
Country Name (2 letter code) [GB]:JP 
State or Province Name (full name) [Berkshire]:.
Locality Name (eg, city) [Newbury]:Academe2
Organization Name (eg, company) [My Company Ltd]:(機関名を入力)
Organizational Unit Name (eg, section) []:(部署名を入力)
Common Name (eg, your name or your server's hostname) []:(httpsを使うサーバ名を入力)
Email Address []:.

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

(2) 申請書の送付とサーバ証明書の入手

申請に必要な TSV ファイルを作成します。

  • 前のステップで作成した証明書要求ファイル (CSR ファイル) を、Webブラウザが使えるマシンへ転送します
  • Webブラウザを起動し、以下のページ (TSVツール) を開きます
    https://tsvtool.nii.ac.jp/cgi-bin/tsvtool.cgi
  • 「CSRファイルを選択」で先ほどの証明書要求ファイルを指定し、送信。
  • 必要事項を記入し、完了します

issue-xxxxxx.tsv 等という名前のファイルが作成されるので、これを機関のプロジェクト担当者にメールで送信。

担当者が処理してくれると、UPKIから証明書を取得するためのURLが記載されたメールが送られてきます。

全過程中で「TSV ファイルの送信→機関担当者による処理」の部分だけが待ち時間が必要なところになります。残りはすべて自動処理もしくは自分の処理になります。

(3) WebLogic に読ませるファイルの準備

最終的に必要なファイルは

  • ルートCA証明書
  • サーバ証明書
  • 鍵ファイル の三つです。

ルートCA証明書

以下のURLで配布されています。このURLはインストールマニュアル(Tomcat編など)に記載されていました。

SCRoot1ca.cer という名前でダウンロードできますが、これは DER 形式です。以降の操作のためは PEM 形式な必要がある(多分)ので、以下のコマンドで変換します。-out のところは任意の名前です。

openssl x509 -inform DER -outform PEM -in SCRoot1ca.cer -out rootca.pem

サーバ証明書

WebLogic で UPKI で発行された証明書を使うには、サーバ証明書と中間CA証明書とルートCA証明書をこの順番連結したファイルを用意する必要があります(九州大学井上先生ありがとうございます!)

(2) のステップの最後で送られてくるメールの指示に従い、証明書の発行を受けます。サーバ名.cer という名前で保存されるはずです。

次に 中間CA証明書を取得します。以下で配布されています。

nii-odca2.crt という名称で保存されます。

上記二つとルートCA証明書を連結します。

cat サーバ名.cer nii-odca2.crt rootca.pem > servercert.pem

鍵ファイル

(1) のステップで作成した秘密鍵ファイルから、パスフレーズを抜いたものを作成して使います。WebLogic の設定画面では、パスフレーズを入れる欄もあるので抜かなくてもいいような気もしますがそのままではうまくいきませんでした。

以下のコマンドで、パスフレーズを抜いたもの (nopasskey.pem) が作成できます。

openssl rsa -in key.pem -out nopasskey.pem

(4) WebLogic へインストール

(3) のステップで作成した以下の三つのファイル

  • ルートCA証明書 (rootca.pem)
  • サーバ証明書 (servercert.pem)
  • 鍵ファイル (nopasskey.pem)

を、WebLogic が動作しているサーバの ${WebCTDomain}/userdir へコピーします。WebLogic のシステムコンソール (http://(Bbサーバ)/console) へアクセスし、system アカウントでログインします。

  • 左ペインの Lock & Edit をクリック、その下の Environment を展開し、Servers をクリックします。
    http://sumi.riise.hiroshima-u.ac.jp/skitch//BEA_WebLogic_Server_Administration_Console-20080313-174152.png
  • 右ペインの WebCTServer をクリック
  • SSLのタブをクリック。以下を設定。
    • Private Key File Name: ./userdir/nopasskey.pem
    • Server Certificate File Name: ./userdir/servercert.pem
    • Trusted CA File Name: ./userdir/rootca.pem Save をクリック、左上で更新を Activate 。

以上で、新しい証明書で動き出すはずです。サーバプロセスの再起動は不要です。

http://sumi.riise.hiroshima-u.ac.jp/skitch/Safari-20090920-052739.png


トップ   差分 バックアップ リロード   一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2009-09-20 (日) 05:47:47 (2981d)