改版履歴 | |||
版数 | 日付 | 内容 | 担当 |
V.1.1 | 2014/12/22 | 初版 | NII |
V.1.2 | 2015/1/14 | 誤植の修正 | NII |
V.1.3 | 2015/4/1 | サーバ証明書の発行・更新機能の修正 | NII |
V.1.4 | 2015/4/9 | 誤植の修正 | NII |
V.1.5 | 2015/12/11 | 全角文字使用可能文字の範囲を追記 | NII |
V.1.6 | 2016/4/7 | 誤植の修正 | NII |
V.1.7 | 2017/2/28 | コード署名用証明書のダウンロード種別P12を削除 | NII |
V.1.8 | 2017/7/27 | 誤植の修正 | NII |
V.2.0 | 2018/2/26 | SHA-1に関する記述削除 | NII |
| V.2.1 | 2018/7/9 | 1-3.認証のパスに関する記述の修正 | NII |
| V.2.2 | 2018/7/11 | 証明書プロファイルID:11の追加 | NII |
| V.2.3 | 2018/8/27 | 5-3-1. サーバ証明書発行申請TSVファイル形式 | NII |
| V.2.4 | 2019/4/22 | 5-3-2. サーバ証明書更新申請TSVファイル形式 | NII |
| V.2.5 | 2019/6/10 | 2.1.1 DNのルール(Locality Name)の修正 | NII |
| V.2.6 | 2019/6/26 | 5-3-1. サーバ証明書発行申請TSVファイル形式 | NII |
| V2.7 | 2020/4/27 | コード署名用証明書の発行・更新・失効の方式について追記および修正 | NII |
| V2.8 | 2020/6/4 | コード署名用証明書の中間CA証明書とリポジトリの変更 tsvファイルを利用したコード署名用証明書の発行・失効方式を削除 コード署名用証明書申請tsvファイル形式削除 IIS7.5に関する記載を削除 | NII |
| V2.9 | 2020/7/15 | DNのルール、TSVファイル形式のSTおよびLの値の説明、リンクの変更 | NII |
| V2.10 | 2020/8/25 | コード署名証明書、発行申請書、失効申請書フォーマットを修正 | NII |
| V2.11 | 2020/12/22 | 中間CA証明書を修正 | NII |
目次
1. はじめに
1-1. 本書の範囲
1-2. CSRとは
1-3. 認証のパス
2. サーバ証明書管理手順
2-1. サーバ証明書新規発行手続き概要
2-1-1. 鍵ペア・CSRの作成
2-1-2. サーバ証明書発行申請TSVファイルの作成
2-1-3. サーバ証明書発行申請TSVファイルの送付
2-1-4. サーバ証明書取得URLの通知
2-1-5. サーバ証明書の取得
2-1-6. サーバ証明書のインストール
2-2. サーバ証明書更新申請手続き概要
2-2-1. 鍵ペア・CSRの作成
2-2-2. 更新申請TSVファイルの作成
2-2-3. 更新申請TSVファイルの送付
2-2-4. サーバ証明書取得URLの通知
2-2-5. 新サーバ証明書の取得
2-2-6. サーバ証明書のインストール
2-2-7. 新サーバ証明書の置き換え完了通知
2-2-8. 旧サーバ証明書の失効通知
2-2-9. 旧サーバ証明書の失効申請依頼再通知について
2-3. サーバ証明書失効申請手続き概要
2-3-1. 失効申請TSVファイルの作成
2-3-2. 失効申請TSVファイルの送付
2-3-3. 失効完了通知
3. クライアント証明書管理手順
3-1. 証明書ダウンロード方法ごとの操作手順
3-2. クライアント証明書新規発行手続き概要
3-2-1. クライアント証明書新規発行(P12個別)
3-2-1-1. 発行申請TSVファイルの作成
3-2-1-2. 発行申請TSVファイルの送付
3-2-1-3. アクセスPIN取得URLの通知
3-2-1-4. アクセスPINの取得
3-2-1-5. アクセスPINの通知
3-2-1-6. ダウンロード完了通知メール受信
3-2-2. クライアント証明書新規発行(P12一括)
3-2-2-1. 発行申請TSVファイルの作成
3-2-2-2. 発行申請TSVファイルの送付
3-2-2-3. 証明書取得URLの通知
3-2-2-4. アクセスPIN取得URLの通知
3-2-2-5. アクセスPINの取得
3-2-2-6. クライアント証明書の取得
3-2-2-7. ダウンロード完了通知メール受信
3-2-2-8. アクセスPINの引き渡し
3-2-3. クライアント証明書新規発行(ブラウザ)
3-2-3-1. 発行申請TSVファイルの作成
3-2-3-2. 発行申請TSVファイルの送付
3-2-3-3. アクセスPIN取得URLの通知
3-2-3-4. アクセスPINの取得
3-2-3-5. ダウンロード完了通知メール受信
3-3. クライアント証明書更新発行手続き概要
3-3-1. クライアント証明書更新発行(P12個別)
3-3-1-1. 更新申請TSVファイルの作成
3-3-1-2. 更新申請TSVファイルの送付
3-3-1-3. アクセスPIN取得URLの通知
3-3-1-4. アクセスPINの取得
3-3-1-5. ダウンロード完了通知メール受信
3-3-1-6. 失効申請TSVファイルの送付
3-3-1-7. 失効完了通知
3-3-2. クライアント証明書更新発行(P12一括)
3-3-2-1. 更新申請TSVファイルの作成
3-3-2-2. 更新申請TSVファイルの送付
3-3-2-3. 証明書取得URLの通知
3-3-2-4. アクセスPIN取得URLの通知
3-3-2-5. アクセスPINの取得
3-3-2-6. クライアント証明書の取得
3-3-2-7. ダウンロード完了通知メール受信
3-3-2-8. アクセスPINの引き渡し
3-3-2-9. 失効申請TSVファイルの送付
3-3-2-10. 失効完了通知
3-3-3. クライアント証明書更新発行(ブラウザ)
3-3-3-1. 更新申請TSVファイルの作成
3-3-3-2. 更新申請TSVファイルの送付
3-3-3-3. アクセスPIN取得URLの通知
3-3-3-4. アクセスPINの取得
3-3-3-5. ダウンロード完了通知メール受信
3-3-3-6. 失効申請TSVファイルの送付
3-3-3-7. 失効完了通知
3-4. クライアント証明書の証明書失効申請手続き概要
3-4-1. 失効申請TSVファイルの作成
3-4-2. 失効申請TSVファイルの送付
3-4-3. 失効完了通知
4. コード署名用証明書管理手順
4-1. コード署名用証明書新規発行手続き概要
4-1-1. 鍵ペア・CSRの作成
4-1-2. 発行申請書(Excel)の作成
4-1-3. CSRと発行申請書(Excel)の送付
4-1-4. コード署名用証明書取の受信
4-2. コード署名用証明書更新発行手続き概要
4-3-1. 利用管理者による失効申請書(Excel)の作成
4-3-2. 失効申請書(Excel)の送付
4-3-3. 失効完了メール受信
5. 本システムで扱うファイル形式
5-1. TSVファイル形式
5-2. ファイル制約事項
5-3. サーバ証明書申請TSVファイル形式
5-3-1. サーバ証明書発行申請TSVファイル形式
5-3-2. サーバ証明書更新申請TSVファイル形式
5-3-3. サーバ証明書失効申請TSVファイル形式
5-4. クライアント証明書申請TSVファイル形式
5-4-1. クライアント証明書発行申請TSVファイル形式
5-4-2. クライアント証明書更新申請TSVファイル形式
5-4-3. クライアント証明書失効申請TSVファイル形式
5-5. アクセスPINファイル構成
5-5-1. クライアント証明書アクセスPINファイル構成
5-6. 証明書ZIPファイル構成
5-6-1. 証明書情報ファイル構成
...
| アンカー | ||||
|---|---|---|---|---|
|
サービスでは、Web Trust for CAを取得した認証局(以下RootCAという)の下位CAとして、CAを取得した認証局(以下RootCAという)の下位CAとして、
・SECOM Passport for Member PUB CA8(個人認証用証明書、S/MIME用証明書の発行日時が2020年12月25日0時以降の場合)
・NII Open Domain CA - G7 RSA(サーバ証明書の発行日時が2020年12月25日0時以降の場合)
・NII Open Domain CA - G7 ECC(サーバ証明書の発行日時が2020年12月25日0時以降の場合)
・SECOM Passport for CodeSigning CA G2(コード署名証明書の発行日時が2020年8月25日0時以降の場合)
・NII Open Domain S/MIME CA(S/MIME用証明書の発行日時が2020年12月25日0時以前の場合)
・NII Open DomainCA–G4(サーバ証明書の発行日時が2018年3月26日14時以前の場合サーバ証明書の発行日時が2018年3月26日14時以前の場合、個人認証用証明書の発行日時が2020年12月25日0時以前の場合)
・NII Open DomainCA–G5(サーバ証明書の発行日時が2018年3月26日19時以降の場合サーバ証明書の発行日時が2018年3月26日19時~2020年12月25日0時の場合)
・NII Open DomainCA–G6(サーバ証明書の発行日時が2020年12月25日0時以前の場合)
を運用し、サービス参加機関に対して証明書の発行を行います。 より、サービス参加機関に対して証明書の発行を行います。
サービスで必要となる証明書の種類は以下の通りです。
役割 | 名称 | 解説 |
RootCA証明書 | Security Communication RootCA2 証明書 | Web Trust for CA基準の認定を取得したRootCA。主要なブラウザ、携帯電話、スマートフォンに登録されています。 |
中間CA証明書
RootCA証明書 | Security Communication ECC RootCA1 証明書 |
| Web Trust for |
この証明書は電子メールへの電子署名時に使用します。
| CA基準の認定を取得したRootCA。Microsoft Windowsに登録されています。 |
| リポジトリ:https:// |
| repository.secomtrust.net/ |
| SC-ECC-Root1/ | ||
中間CA証明書 | SECOM Passport for Member PUB CA8 【2020年12月25日00:00以後の発行証明書が対象】 | Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。 |
| リポジトリ:https://repo1.secomtrust.net/spcpp/pfm20pub/index.html | ||
| 中間CA証明書 | NII Open Domain CA - G7 RSA 【2020年12月25日00:00以後の発行証明書が対象】 | Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。 この中間CA証明書およびこの中間CAから発行される証明書はSSL/TLS通信を行うサーバに登録する必要があります。 |
| リポジトリ:https://repo1.secomtrust.net/sppca/nii/odca4/index.html | ||
| 中間CA証明書 | NII Open Domain CA - G7 ECC 【2020年12月25日00:00以後の発行証明書が対象】 | Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。 この中間CA証明書およびこの中間CAから発行される証明書はSSL/TLS通信を行うサーバに登録する必要があります。 |
| リポジトリ:https://repo1.secomtrust.net/sppca/nii/odca4/index.html | ||
| 中間CA証明書 | SECOM Passport for CodeSigning CA G2 【2020年8月25日00:00以後の発行証明書が対象】 | Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。 この中間CAから発行される証明書はプログラムファイルへの電子署名時に使用します。 |
| リポジトリ:https://repo1.secomtrust.net/spcpp/pfm20pub/index.html | ||
中間CA証明書 | NII Open DomainCA |
–S/MIME証明書(SHA-2認証局) | Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。 |
この中間CAから発行される証明書は電子メールへの電子署名時に使用します。 | |
| リポジトリ:https://repo1.secomtrust.net/sppca/nii/odca3/index.html | |
| 中間CA証明書 | NII Open DomainCA |
| –G4証明書(SHA-2認証局) 【2020年12月25日00:00以前の発行証明書が対象】 | Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。 |
また、この中間CA証明書およびこの中間CAから発行される証明書はSSL/TLS通信を行うサーバに登録する必要があります。 |
| 中間CA証明書 | NII Open DomainCA |
| –G5証明書(SHA-2認証局 CT対応) 【2020年12月25日00:00以前の発行証明書が対象】 | Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。 |
この中間CA証明書およびこの中間CAから発行される証明書はSSL/TLS通信を行うサーバに登録する必要があります。 |
| リポジトリ:https://repo1.secomtrust.net/sppca/nii/odca3/index. |
| htm |
中間CA証明書 |
NII Open DomainCA –G6証明書(ECC認証局) | Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。 |
この中間CA証明書およびこの中間CAから発行される証明書はSSL/TLS通信を行うサーバに登録する必要があります。 |
| リポジトリ:https://repo1.secomtrust.net/sppca/ |
| nii/ |
| odca3/index.html |
| アンカー | ||||
|---|---|---|---|---|
|
...
「サーバ証明書インストールマニュアル」または、ご使用のサーバのマニュアルに従い、鍵ペア・CSRを作成してください。鍵長、DNのルールは以下の通りです。
DNのルール | |||
項目 | 指定内容の説明と注意 | 必須 | 文字数および注意点 |
Country(C) | 本認証局では必ず「JP」と設定してください。 | ○ | JP固定 |
State or Province Name(ST) | 「都道府県」(ST)は利用管理者及び利用者が所属する組織の所在地の都道府県名とし、原則としてサービス窓口に事前に届出したとおりの所在地の都道府県名をローマ字表記で指定してください。 | ||
○ |
STとして指定できる値は下記リンクを参照してください。機関ごとに固定となります。 |
※STおよびLが必須。(2020年12月22日以降) | |
Locality Name(L) | 「場所」(L)は利用管理者及び利用者が所属する組織の所在地の市区町村名とし、原則としてサービス窓口に事前に届出したとおりの所在地の市区町村名をローマ字表記で指定してください。 |
※
○ | Lとして指定できる値は下記リンクを参照してください。機関ごとに固定となります。 |
※STおよびLが必須。(2020年12月22日以降) | |||
Organization Name(O) | サービス参加申請時の機関名英語表記を設定してください。この情報は各所属機関の登録担当者にお問い合わせください。 | ○ | 半角の英数字64文字以内 |
Organizational Unit Name(OU) | 証明書を使用する部局等の名前を設定してください。 | △ | ・半角の英数字64文字以内 |
Common Name(CN) | 証明書をインストールするウェブ・サーバの名前をFQDNで設定してください。例えばSSL/TLSを行うサイトがhttps://www.nii.ac.jp/の場合には、 |
| 「www.nii.ac. |
| jp」となります。FQDNにはサービス利用申請時に登録いただいた対象ドメイン名を含むFQDNのみ、証明書発行が可能となります。 |
例)CN=www.nii.ac.jp | ○ | 証明書をインストールする対象サーバのFQDNで64文字以内 | |
| 本認証局では使用しないでください。 | × | ||
| 鍵長 | |||
RSA 2048bit | |||
○・・・必須 ×・・・入力不可 △・・・省略可
| 情報 | ||
|---|---|---|
| ||
主体者DNの各項目について,CSR中に現れる順序が C=…… → ST=…… →L=…… → O=…… → (OU=……) → CN=…… もしくはその逆順となるようにCSRを生成してください。 |
...