大学教育の質の保証・向上ならびに 電子化及びオープンアクセスの推進の観点から 学校教育法第百十三条に基づき、 教育研究活動の状況を公表しています。
第百十三条 大学は、教育研究の成果の普及及び活用の促進に資するため、その教育研究活動の状況を公表するものとする。
GSuite for EducationにNIIのUPKI電子証明書サービスのクライアント証明書を使えるか? 結論から述べると,使えません. 理由は, GsuiteのHosted S/MIME 証明書プロファイルでは, 有効期限は, 「notBefore と notAfter の間隔は 27 か月以内でなくてはなりません。」 と記載されているから,ポリシーを満たさないからである. https://support.google.com/a/answer/7300887?hl=ja
https://certs.nii.ac.jp/ 登録担当者の認証は電話だよ. 【工学部利用方法手引き】 https://a.yamagata-u.ac.jp/amenity/~host/yz/yzcsc/Service/UpkiCert.asp
【資料一覧】 [W4G] UPKI-CSにおけるクライアント証明書プロファイルの詳細と学内での使い方 伊藤智博(山形大学),山地一禎(国立情報学研究所),中村素典(国立情報学研究所) UPKI電子証明書発行サービスの概要とクライアント証明書の活用に向けて 中村素典 / 国立情報学研究所 下記のURLから閲覧できます.↓ https://drive.google.com/folderview?id=0B20d7-5hxImidXY1UkVST0czQkE&usp=sharing
マイクロソフト ルート証明書プログラムでの SHA-1 ハッシュ アルゴリズムの廃止,https://technet.microsoft.com/ja-jp/library/security/2880823.aspx (参照: 2014/09/17) SHA-2移行を2016年末までに完了せよ:シマンテック、ハッシュアルゴリズム「SHA-1」利用停止までのロードマップを解説,http://www.atmarkit.co.jp/ait/articles/1402/05/news117.html (参照: 2014/09/17)
ADFSとADFSプロキシ(proxy)の証明書の更新 ちょっと,作業手順が多いかも. ○ADFSサーバ 証明書インポート ADFSサービス,IISの証明書を更新(設定変更) ○Office365側 証明書の更新がいるかも,とりあえずやった. ○ADFSプロキシサーバ 証明書インポート IISの証明書を更新(設定変更), ADFSプロキシサーバのウィザードによる再設定
Office365でOutlookからのExchange接続を認証連携する場合,ADFSプロキシサービスに,MFG(Microsoft Federation Gateway)が認めているCAから発行されたデジタル証明書が必要である. 現在,下記の認証局のデジタル証明書が利用できるようである. (http://technet.microsoft.com/ja-jp/library/ee332350.aspx) 残念ながら,UPKI ODCERT⇒#2892@講義;のROOT CAは,含まれていない. → 2013-10-17にドキュメントが変更されSECOMもリストに追加されました。 → OCDERTの証明書でも使えるでしょう。 Comodo Certification Authority Digicert Global Root Certification Authority Digicert Global Root Certification Authority Entrust.net Secure Server Certification Authority Entrust.net Secure Server Certification Authority Equifax Secure Certification Authority GlobalSign Certification Authority Go Daddy Class 2 Certification Authority Network Solutions Certification Authority Comodo Certification Authority Comodo Certification Authority Class 3 Public Primary Certification Authority VeriSign Trust Network 【関連ノート】 Office365のためのスキーマの拡張⇒#1976@ノート;
Android端末へのCA証明書のインストール Android端末にeduroam⇒#2485@講義;などの接続するときのCA証明書をインストールするには、sdcardのrootディレクトリに、CA証明書ファイル(拡張子:crt)を置くことで可能であるようである(http://www.eduroam.jp/docs/supplicant/android/sharp.html)。 しかし、Xperia (SO-01B)では、インストールができなかった。 クライアント証明書であるpkcs12形式ファイル(拡張子:p12)はインストールできた。 そこで、いろいろテストしたところ、CA証明書を「Base 64 encoded X.509」ファイル形式に変換したファイルをhttpでダウンロードするとCA証明書をインストールできるようである。 たとえば、Security Communication RootCA1 の場合、https://repository.secomtrust.net/SC-Root1/からCA証明書をダウンロードし、opensslなどで、「Base 64 encoded X.509」ファイルに変換する。さらに、apacheなどのmime/typesを「application/x-x509-ca-cert」になるよう設定する。Androidのブラウザーで接続して、ダウンロードすると証明書の名称を入力するように求めてくるので、「SCrootCA1」などの適当な名称を入力するとCA証明書をインストールできる。 山形大学のeduroamでは,upki-odcertで発行した証明書を利用しているので、下記のURLからAndroid用のCA証明書がダウンロードできる。 http://ftp.yz.yamagata-u.ac.jp/pub/network/certs/SCroot1.crt テスト端末:SONY Xperia (SO-01B), SHARP AQUOS Phone(SH-12C)
by
学術認証フェデレーション(Gakunin;学認)用IdPの証明書の更新作業
UPKIサーバ証明書によるEAP-TLSによるeduroamへの接続 UPKIサーバ証明書をRadiusサーバのサーバ証明書に使用し、プライベートCAから発行したクライアント証明書を使用して、EAP-TLSによるeduroamへの接続ができましたので、ご報告申し上げます。Xperiaは、PEAPやTTLSには対応していませんので、TLSでのみ、接続できます(Android OSを2.1にバージョンアップしたら、PEAP,TTLSにも対応になりました⇒#1447@ノート;。)。 また、検証端末は、NTT DocomoのスマートフォンであるXperiaを使用しました。 ◎端末環境 仕様機種: ソニー・エリクソン SO-01B (Xperia; android 1.6) 認証方式: EAP-TLS 暗号方式: WPA2-AES クライアント証明書: プライベートCA発行-証明書 ※Xperiaは、PEAPやTTLSに対応していないので、TLSによる認証となっています。 ◎Radius サーバ OS: CentOS 5.3 ソフト:freeradius-server-2.1.6 サーバ証明書: UPKI-オープンドメイン証明書⇒#2892@講義; ◎Xperiaへの証明書のインストールの仕方 microSDカードのルートディレクトリに、PEM形式のファイルを置けばよいようである。CA証明書、クライアント証明書、プライベートキーの3つファイルをPEM形式に変換し、かつ、拡張子をpemにすることで、利用できる。 pfxの拡張子も証明書として選択できるが、なぜか、pfxからは、読み込んでも正常に動作しないので、断念した。 CA証明書ファイルには、サーバ証明書の認証局の情報とクライアント証明書の認証局の情報を書き込んでおいた。おそらく、サーバ証明書の証明局だけの情報で十分であろう。 #XperiaのWi-Fiの設定について、説明書を読んでも、詳しく書いてなくて、残念でした。証明書の仕様などが分かりましたら、加筆していきますので、参考程度にお願いします。(参考:http://github.com/android/platform_external_wpa_supplicant) ◎Radiusサーバへの信頼CAの登録 Radiusの信頼CAファイ
Xperiaの証明書関係の対応状況 NTTドコモから発売されているスマートフォン(Xperia; SO-01B)のUPKIサーバー証明書(UPKI-odcert)⇒#2892@講義;への対応状況について、簡単にまとめます。 ・ウェブブラウザー: 対応済み ・Moxier(Exchangeサーバ同期接続): 対応済み ・EAP-TLS: CA証明書ファイルを準備すればOK⇒#1286@ノート; (信頼証明書なので当たり前といえば、それまで) ・PEAP, TTLSに対応(Xperia, Android OS 2.1)⇒#1447@ノート; 【関連URL】 http://github.com/android/platform_external_wpa_supplicant
UPKIサーバー証明書によるPDAのActive Syncのための設定 ○証明書および器機 デジタル証明書⇒#2048@講義;の種類:UPKIサーバ証明書⇒#2187@講義;⇒#2891@講義; < NII⇒#2083@講義; PDA器機:W-ZERO3[es](Willcom, WS007SH) Active Sync設定PC: Windows Vista Bussiness ○設定および方法 PDAは、Microsoft Exchanger Server 2007とExchange Active Sync(EAS)を行うときは、httpsによる通信で同期をとる。しかし、W-ZERO3には、UPKIで行っているサーバ証明書のルート証明書がインストールされていない。そのため、ルート証明書が無効なエラーが発生し、EASによる同期が取れない。そのため、UPKIのサーバ証明書のルート証明書である"ValiCert Class 1 Policy Validation Authority"をインストールする必要ある。 インストールは、SPCertAdd.exeというツールを使うことできる。 SPCertAdd.exeは、SmartPhoneAddCert.exe の中に圧縮されている。また、PDAは、拡張子がcerの証明書ファイルのみインポートできるので、ルート証明書は、IEの証明書ストアからエクスポートすることを推奨する。 関連URL: http://support.microsoft.com/kb/915840/ja http://www.eco-rent.com/fswiki/wiki.cgi/WZERO3?page=%BE%DA%CC%C0%BD%F1
Vistaへの独自ルート証明書のインストール Windows VistaのIEの証明書のエラーは、以前よりセキュリティが強化されている。 独自のルート証明書をインストールすることによって、そのルート証明機関のCA、 または、中間証明機関より証明書を発行することによって問題なさそうだぁ。 by
大学教育の質の保証・向上ならびに 電子化及びオープンアクセスの推進の観点から 学校教育法第百十三条に基づき、 教育研究活動の状況を公表しています。
第百十三条 大学は、教育研究の成果の普及及び活用の促進に資するため、その教育研究活動の状況を公表するものとする。