Skip to end of metadata
Go to start of metadata

NIIドメイン電子証明書発行所(NIIRA)

下記につきまして、4月27日に失効という期日が示されました。4月26日までに再発行および入れ替えを行っていただけますようお願いいたします。
https://certs.nii.ac.jp/news/20210416


すでに
https://certs.nii.ac.jp/news/20210312
等でご案内しておりご存知の方もいらっしゃるかと思いますが、UPKI電子証明書発行サービスの旧中間認証局の早期の失効可能性が示されました。3月16日時点で期限が示されているわけではありませんが、指摘があった場合猶予は最短7日間ということなので、特に重要なサーバにつきましてはできるだけ早く再発行と入れ替えを行っていただけますようお願いいたします。

去年12月25日以降発行のサーバ証明書ですでに入れ替え済みの場合は対象外です。

サーバ管理者の方々には多大なご負担をお願いすることとなり大変恐縮ですが、何卒よろしくお願いいたします。

2020年12月25日より新中間CAよりサーバ証明書が発行されるようになっております。TSVの書式に変更はございません。証明書入れ替えの際には中間CA証明書の入れ替え(典型的にはnii-odca4g7rsa.cerに)を行っていただく必要がありますのでご注意ください。

なお、STとLがどちらも必須になっておりますので ST=Tokyo,L=Chiyoda-ku でお願いします。また、OUが登録制になっており以前使ったことのあるものであれば問題ありませんが新規のものであれば登録しなければなりません。
また、新規申請・更新申請の条件は以下の通りです。中間CAによらずまた失効の有無によらずUPKIで既発行の証明書のうち、CNとOUが一致しているものがある場合、STとLが異なっていても更新発行申請を行ってください。

  1. CNとOUが完全に一致する場合は、更新発行申請を行ってください
  2. CNとOUが一致しない場合は、新規発行申請を行ってください

詳細: 中間認証局変更に伴う変更点一覧

再掲となりますが、旧中間CAから発行されたサーバ証明書は来年(2021年)5月24日以降に信頼されない状態になりますので、5月23日までに更新申請(CNとOUが既発行のものと一致しない場合は新規申請)し中間CA証明書ともども入れ替えていただく必要がございます。サーバ管理者の方々には多大なご負担をお願いすることとなり大変恐縮ですが、何卒ご了承ください。

2020年10月29日にUPKIの現行旧中間CAが使えなくなる旨アナウンスがありました。サーバ証明書は来年(2021年)5月24日以降に信頼されない状態になりますので、5月23日までに更新申請し中間CA証明書ともども入れ替えていただく必要がございます。さらに、今更新申請しても12月25日に新中間CAが構築されてから再度更新申請していただく必要がございますので、内容をご確認の上更新申請・新規申請のタイミングをご検討いただければと思います。
【重要・要対応】UPKI電子証明書発行サービス 中間認証局の切り替えについて(2020/12/2更新)

サーバ管理者の方々には多大なご負担をお願いすることとなり大変恐縮ですが、何卒ご了承ください。

2020年7月以降、仕様変更があり従来新規申請扱いだったものを更新申請にする必要があります。具体的には、LやSTの違いを無視して、CNとOUが既に発行したものと一致していれば更新申請として申請してください。詳細は以下のページをご参照ください。
UPKI電子証明書発行サービス FAQ > サーバ証明書の新規発行申請時にエラーコード 212 「主体者DN,指定したDNはすでに存在しています。」が表示される

2018年7月9日以降主体者DNの仕様が変更となりました。NIIの場合は L=Academe と指定していた部分が、 ST=Tokyo,L=Chiyoda-ku となります。
2018年7月9日以前に証明書発行したことがあるFQDNに改めて証明書を発行する場合も、主体者DNが一致しませんので、更新発行ではなく新規発行申請にて証明書を取得し、既存のものと置き換えてください。詳細は以下のページをご参照ください。
UPKI電子証明書発行サービス 2018アップデート情報

2020年7月以降発行されるものについては、システムによる強制が徹底され大文字小文字を越えた表記揺れが許容されなくなりますので、STおよびLの値が上記の値となっているかご確認をお願いします。なお、どちらか一方のみの記載は従前通り許容され、両方記載しないことは従前通り許容されません。
UPKI証明書 主体者DNにおける ST および L の値一覧

準備中

  1. サーバ証明書インストールマニュアルApache(mod_ssl)編
    に鍵生成やCSR生成の手順がありますので、CSR生成まで行ってください。
  2. 次に
    https://certs.nii.ac.jp/tsv-tool/

    にてサーバ証明書新規発行申請のTSVを作成してください。
  3. できましたら、登録担当者にメール添付にてお送りいただけましたら、
    確認の上次の手順を説明します。


注意事項

楕円曲線暗号(ECC/ECDSA)の鍵に対してサーバ証明書を発行することも可能です(証明書プロファイルは11を選択してください)が、以下にあります通りFirefoxや一部のOSで検証できません(2021年1月現在も変化ありません)。検証環境が限定できる場合のみご利用ください。
https://certs.nii.ac.jp/etc/upki_update_2018

主体者DNに記載するOUは、以下の組織図に記載のものを用いるようにしてください。もしくはOUを省略してください。
https://www.nii.ac.jp/en/about/overview/organization/

サブドメインと主体者DNに記載するOUの対応表:

サブドメインOUに記載すべき値
ecloud.nii.ac.jp

OU=Advanced ICT Center

cb.ecloud.nii.ac.jpOU=GRACE Center
hpci.nii.ac.jpOU=HPCI
gakunin.nii.ac.jpOU=Cyber Science Infrastructure Development Department
nsi.nii.ac.jpOU=Center for Cloud Research and Development
vcloud.nii.ac.jpOU=Cloud Promotion Office
rcos.nii.ac.jp
rdm.nii.ac.jp
at.nii.ac.jp
dmr.nii.ac.jp
s3.nii.ac.jp
lms.nii.ac.jp
OU=Research Center for Open Science and Data Platform

※上記サブドメイン配下のサーバについては、必ずOUには上記の値を用いてください。もしくはOUを省略してください。

  • No labels