Globus ホスト証明書／gfsd サービス証明書

2010 年 12 月 17 日
NII LRA サーバ用証明書（Globus ホスト証明書／gfsd サービス証明書）取得手順
本ドキュメントでは、NII LRA におけるサーバ用証明書（Globus ホスト証明書／gfsd サービス証
明書）の取得手順を示します。
1.
単一証明書の取得手順
1.1. シェルスクリプトの実行
サーバ用証明書ファイルを取得するためには、以下のシェルスクリプトを使用します。
用途
シェルスクリプト名
Globus ホスト証明書取得用
nii-certreq-host.sh
gfsd サービス証明書取得用
nii-certreq-gfsd.sh
(1) シェルスクリプトの引数としてホスト名（FQDN 指定）とライセンス ID をこの順に指定し、
実行してください。
(2) 正常に処理が行われると、以下の３つのファイルがカレント・ディレクトリの“ホスト名（FQDN
指定）”ディレクトリ下に作成されますので、これらのファイルを指定の場所に設置してくだ
さい。
※ CA 証明書は“naregica.cer”を“a87d9192.0”にリネームして利用します。
作成される証明書
設置場所
ホスト証明書（hostcert.pem）
/etc/grid-security/hostcert.pem
秘密鍵（hostkey.pem）
/etc/grid-security/hostkey.pem
CA 証明書（naregica.cer）※
/etc/grid-security/certificates/a87d9192.0
以下の例は、Globus ホスト証明書取得用シェルスクリプトの実行例になっておりますが、gfsd サ
ービス証明書取得用シェルスクリプトも同様です。
$ /usr/local/naregi-ca/bin/nii-certreq-host.sh gvm01.example.org NIISRV-123456-7890AB-CDEFGH
nii-certreq-host.sh: gvm01.example.org: directory exists.
------------------------------------------creating a certificate signing request
------------------------------------------generate private key (size 1024 bit)
.......................oo
...................oo
------- input host subject information --------
1
* email can be omitted by putting a char of '.'
input host name :
------- please confirm your inputs -----------GROUP
: Globus host
SUBJECT : CN=host/gvm01.example.org
input SubjectAltName.
select a GeneralName (input number)
(1.EMail, 2.DNS Name, 3.URL, 4.DN, 5.IP Address, 6.Other, 7.Quit)[7]:DNS Name : select a
GeneralName (input number)
(1.EMail, 2.DNS Name, 3.URL, 4.DN, 5.IP Address, 6.Other, 7.Quit)[7]:trying to connect RA
server : nas.naregi.org (11412) ... ok.
request for issuing a new certificate ... ok.
save a CA certificate file : gvm01.example.org/naregica.cer
save a certificate file : gvm01.example.org/hostcert.pem
save a private key file : gvm01.example.org/hostkey.pem
$
1.2. ポリシー設定
サーバ用証明書を取得後、
信用する CA の証明書とともにポリシーの設定をする必要があります。
NAREGI 認証局の場合、
以下の Web サイトより signing_policy ファイルをダウンロードできます。
https://www.naregi.org/ca/signing_J.html
ファイル設置場所：/etc/grid-security/certificates/a87d9192.signing_policy
2.
複数証明書の一括取得手順
サイト内にて取得する証明書の枚数が多い場合は、以下のシェルスクリプトをご利用ください。
2.1. 事前準備
一括取得用のシェルスクリプトを実行する際は２つのファイルを事前に用意する必要があります。
・ホストリスト（証明書を発行したい対象ホストの一覧）
host001.naregi.org
host002.naregi.org
host003.naregi.org
：
2
・ライセンス ID リスト（未発行ライセンス ID の一覧）
NIISRV-xxxxxx-xxxxxx-xxxxxx
NIISRV-yyyyyy-yyyyyy-yyyyyy
NIISRV-zzzzzz-zzzzzz-zzzzzz
：
2.2. シェルスクリプトの実行
サーバ用証明書ファイルを一括取得するためには、以下のシェルスクリプトを使用します。
用途
シェルスクリプト名
Globus ホスト証明書一括取得用
nii-large-certreq-host.sh
gfsd サービス証明書一括取得用
nii-large-certreq-gfsd.sh
上記のシェルスクリプトは、単一証明書取得用シェルスクリプトのラッパー・スクリプトになっ
ています。実行に際しては、単一用・一括用の両方のシェルスクリプトを同じディレクトリに配置
した上で実行してください。
以下の例は、Globus ホスト証明書取得用シェルスクリプトの実行例になっておりますが、gfsd サ
ービス証明書取得用シェルスクリプトも同様です。
$ /usr/local/naregi-ca/bin/ nii-large-certreq-host.sh <ホストリスト> <ライセンス ID リスト>
スクリプトを実行するとホスト毎のディレクトリを作成し、そのディレクトリ配下に証明書を出
力します。合わせて、発行済みライセンス ID とホストの対応一覧をファイルに残します。
作成されるファイル名：issued.<日付>.<時間>
以上
3

Download Report