[初回公開] 2020年05月29日
ブラウザとウェブサイト間の通信を暗号化するために https と呼ばれる通信方式が一般的に利用されており、その通信が問題無いことを示すために SSL 証明書が用いられているが民間が発行する証明書ではなく大学など学術機関向けに利用できるサービス「UPKI電子証明書」の申請とサーバへの設定方法について紹介する。
1.UPKI 電子証明書とは
UPKI(University Public Key Infrastructure)電子証明書とは、国立情報学研究所(NII)が運用提供する SSL 証明書で、NII に参加する大学や短期大学、そして高等専門学校等で利用できる。
条件を満たせば研究機関や法人も NII に参加が可能となっている。
大学等であれば無償で利用することができ、証明書の有効期間は 1 年 1 ヶ月となっており、仮に 3 月 10 日に証明書が発行されれば、有効期限は翌年の 04 月 10 日までとなる。
また、NII に参加する学術機関以外の組織に対しては有償で証明書が発行される。
2.UPKI 証明書と民間の証明書の違い
UPKI 証明書と民間の証明書の違いとしては、発行者と認証組織が異なるだけで SHA-2 (SHA-256) 署名アルゴリズムとなっている。
発行の流れは CSR を送付して後日証明書を受け取る点については変わりない。
ホスティングサービスでは無償で利用できる Let’s Encrypt も SHA-2 を採用しているが、ホスティング事業者が証明書の期限を迎える前に更新してくれるので利用者は特に手続きや作業は必要ない。
それに対して UPKI 証明書は有効期限を迎える前に NII に更新発行申請を行い、ウェブサーバに証明書の入れ替え作業が必要となる。
SSL 証明書を導入することでブラウザとウェブサイト間の通信が暗号化されるため改ざんと盗聴を防ぐことができる。
個人情報やクレジットカードの入力の際には通信を暗号化することが常識となってきている中、個人情報を含んでいなくても常時暗号化通信する風潮が高まってきており、ウェブサイトだけでなくスマートフォンのアプリがサーバと通信する際も暗号化を義務付ける動きにある。
3.UPKI 電子証明書の申請方法
UPKI 電子証明書の申請方法としては、証明書生成に必要な CSR と TSV と呼ばれる申請書式が必要となる。
CSR と TSV をもって NII に発行申請すると当日はまたは翌営業日には新しい SSL 証明書のダウンロード URL が通知される。
申請に際しては大学の情報システム担当部門から NII へ連絡するのが一般的となり、もし委託業者が事前準備を行う場合は CSR の作成と TSV 作成ツールを利用して用意することが多く、次の流れとなる。
- CSR 生成時に入力する組織情報(DN情報)を手元に用意する。
- SSL 証明書を設置するサーバに乱数生成用ファイルを3つ用意する。
- 上記(2)を利用して鍵ペアを生成する。
- 上記(3)を利用して CSR を生成する。
- 下記の TSV 生成ツールより TSV を生成する。
https://certs.nii.ac.jp/tsv-tool/ - CSR と TSV を NII の窓口となっている部署課から発行申請する。
TSV 生成ツールはインターネット上に公開されており、下図の画面よりボタン「作成開始」をクリックし、組織名など必要な項目を入力すると TSV をダウンロードすることができる。
4.UPKI 電子証明書をサーバへ設定する方法
UPKI 電子証明書をサーバへ設定する方法としては、一般的に用いられている SSL 証明書の設置・更新手順とほぼ変わらない。
証明書の発行申請を行うと早ければ当日または後日に証明書と中間 CA 証明書のダウンロード URL が送付され、サーバには次の手順で証明書の設置を行う。
- UPKI 電子証明書をダウンロードする。
- 中間 CA 証明書をダウンロードする。
- 上記(1)と(2)をサーバにアップロードする。(アップロード先は /etc/httpd/conf.d/ssl.conf で指定する)
- ウェブサーバの再起動を行う。
- ブラウザでウェブサイトにアクセスして証明書の内容が表示されるか確認する。
証明書の有効期限は約 1 年となっているため、ブラウザで証明書の内容を表示して有効期限が 1 年後になっていれば問題無くサーバに設置されていることになる。
関連記事
jcode.pl でエラー「defined(%hash) is deprecated」の対応方法
CGI の Perl は最近ではあまり利用されなくなったプログラム言語だが、今でもウェブサイトやシステムでは稼働中のところがあるものの新しいサーバで動作させるとブラウザに「500 Internal Server Error」が表示…
Word や Excel を電子書籍ファイルフォーマットの EPUB へ変換する方法
書籍が電子化されてパソコンやスマートフォンで読むことができる時代になり、書籍を出版する側としても電子化されることで印刷と製本といったコストが大幅に削減できるメリットがある反面、電子書籍の仕組…
Postfix で Illegal address syntax from unknown のエラーが出る場合の対応方法
メールサーバの Postfix は正常に通信できた場合でも何らかの問題で配信できない場合もログ(maillog)に痕跡が残るようになっているが、そのログの中に「Illegal address syntax from unknown」とあり…