UPKI_Manual

スペース ショートカット

子ページ
  • 利用管理者用

比較バージョン

古いバージョン 54

changes.mady.by.user Takuma Yamamoto

保存しました

次と比較

新しいバージョン 現在

changes.mady.by.user Takuma Yamamoto

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

改版履歴

版数

日付

内容

担当

V.1.1

2014/12/22

初版

NII

V.1.2

2015/1/14

誤植の修正
サーバ証明書発行/更新時の制限追記
サーバ証明書発行/更新/失効申請ファイル中の制限追記

NII

V.1.3

2015/4/1

サーバ証明書の発行・更新機能の修正
クライアント証明書の発行・更新・失効機能の追加
コード署名用証明書の発行・更新・失効機能の追加

NII

V.1.4

2015/4/9

誤植の修正

NII

V.1.5

2015/12/11

全角文字使用可能文字の範囲を追記
アクセスPIN/証明書ZIPファイル構成説明追加

NII

V.1.6

2016/4/7

誤植の修正
目次の修正

NII

V.1.7

2017/2/28

コード署名用証明書のダウンロード種別P12を削除
クライアント証明書P12一括発行時の注意事項追記

NII

V.1.8

2017/7/27

誤植の修正

NII

V.2.0

2018/2/26

SHA-1に関する記述削除

NII

V.2.12018/7/9

1-3.認証のパスに関する記述の修正
5-3-1. サーバ証明書発行申請TSVファイル形式
5-3-2. サーバ証明書更新申請TSVファイル形式
 CSRの鍵長の記載を修正、主体者DNの修正とSTの追加
2-1-1. DNのルールの修正
3-2-3. 誤植の修正
 メールテンプレートにおけるLの修正とSTの追加
5-3-3.サーバ証明書失効申請TSVファイル形式
5-4.クライアント証明書申請TSVファイル形式
5-5.コード署名用証明書申請TSVファイル形式
 主体者DNの修正とSTの追加
5-4.クライアント証明書申請TSVファイル形式
 項目番号15:アクセスPINの追加
 項目番号12:P12ダウンロードファイル名、その他の記載内容を修正
5-7-1.証明書情報ファイル構成
 Lの修正とSTの追加

NII
V.2.22018/7/11証明書プロファイルID:11の追加NII
V.2.32018/8/27

5-3-1. サーバ証明書発行申請TSVファイル形式
5-3-2. サーバ証明書更新申請TSVファイル形式
項目番号7:CSRの記述を修正
5-5-1. コード署名用証明書発行申請TSVファイル形式

5-5-2. コード署名用証明書更新申請TSVファイル形式項目番号7:CSRの記述を修正		NII
V.2.42019/4/22

5-3-2. サーバ証明書更新申請TSVファイル形式
5-3-3. サーバ証明書失効申請TSVファイル形式
項目番号4: シリアル番号桁数変更
5-4.クライアント証明書申請TSVファイル形式
証明書プロファイルID:13
証明書プロファイルID:14
証明書プロファイルID:15
証明書プロファイルID:16
の追加
5-4-1. クライアント証明書発行申請TSVファイル形式
5-4-2. クライアント証明書更新申請TSVファイル形式
項目番号15: アクセスPIN指定条件追加

NII
V.2.52019/6/102.1.1 DNのルール(Locality Name)の修正NII
V.2.62019/6/26

5-3-1. サーバ証明書発行申請TSVファイル形式
5-3-2. サーバ証明書更新申請TSVファイル形式
項目番号13: dNSNameの指定可能個数条件追加

NII
V.2.72020/4/27コード署名用証明書の発行・更新・失効の方式について追記および修正NII
V.2.82020/6/4コード署名用証明書の中間CA証明書とリポジトリの変更
tsvファイルを利用したコード署名用証明書の発行・失効方式を削除
コード署名用証明書申請tsvファイル形式削除
IIS7.5に関する記載を削除		NII
V.2.92020/7/15DNのルール、TSVファイル形式のSTおよびLの値の説明、リンクの変更NII
V.2.102020/8/25コード署名証明書、発行申請書、失効申請書フォーマットを修正NII
V.2.112020/12/22

中間CA証明書を修正
サーバー証明書L、STを必須に修正
サーバー証明書OUの利用条件を修正

NII
V.2.122021/5/31コード署名用証明書の中間CA証明書を修正
NII Open DomainCA–G5、G6の削除		NII
V2.132022/03/10証明書プロファイルID:7:S/MIME証明書
の有効期間の変更		NII
V2.142022/08/02

2-1-1. 鍵ペア・CSRの作成 
OU欄の削除

NII
V.2.152023/5/19コード署名用証明書のCSR作成に関する手順を削除NII
V.2.162023/9/5S/MIME証明書 BR対応に関する申請TSVファイル形式の修正NII
V.2.172023/9/14クライアント証明書の有効期限変更NII
V.2.182023/12/14クライアント証明書および登録担当者用証明書切り替えNII



目次

目次

アンカー
_Toc505804493
_Toc505804493
1. はじめに

...

役割

名称

解説

RootCA証明書


Security Communication RootCA2 証明書

Web Trust for CA基準の認定を取得したRootCA。主要なブラウザ、携帯電話、スマートフォンに登録されています。


リポジトリ:https://repository.secomtrust.net/SC-Root2/

RootCA証明書Security Communication RootCA3 証明書Web Trust for CA基準の認定を取得したRootCA。Microsoft Windowsに登録されています。

リポジトリ:https://repository.secomtrust.net/SC-Root3/

RootCA証明書

Security Communication ECC RootCA1 証明書Web Trust for CA基準の認定を取得したRootCA。Microsoft Windowsに登録されています。
リポジトリ:https://repository.secomtrust.net/SC-ECC-Root1/

RootCA証明書



SECOM Passport for Member RSA CA16
【2023年12月14日00:00以後の発行証明書が対象】		既存の中間CA証明書(PUB CA8)の有効期限切れに伴い、プライベートCA移行を目的として発行されたRootCA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。
このRootCAから発行される証明書はクライアント認証時に使用します。
リポジトリ:https://repo1.secomtrust.net/spcpp/pfm20/index.html

中間CA証明書

SECOM Passport for Member PUB CA8
【2020年12月25日00:00以後の発行証明書が対象】

Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。
この中間CAから発行される証明書は電子メールへの電子署名時、クライアント認証時に使用します。

リポジトリ:https://repo1.secomtrust.net/spcpp/pfm20pub/index.html

中間CA証明書

SECOM Passport for PublicID SMIME RSA CA 2023
【2023年8月30日00:00以後の発行証明書が対象】

S/MIME証明書のBR有効化に伴い、BR要件を満たした中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。
この中間CAから発行される証明書は電子メールへの電子署名時に使用します。

リポジトリ:https://repo1.secomtrust.net/spcpp/pfm20pub/index.html
中間CA証明書NII Open Domain CA - G7 RSA
【2020年12月25日00:00以後の発行証明書が対象】		Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。
この中間CA証明書およびこの中間CAから発行される証明書はSSL/TLS通信を行うサーバに登録する必要があります。
リポジトリ:https://repo1.secomtrust.net/sppca/nii/odca4/index.html
中間CA証明書NII Open Domain CA - G7 ECC
【2020年12月25日00:00以後の発行証明書が対象】		Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。
この中間CA証明書およびこの中間CAから発行される証明書はSSL/TLS通信を行うサーバに登録する必要があります。
リポジトリ:https://repo1.secomtrust.net/sppca/nii/odca4/index.html
中間CA証明書SECOM Passport for CodeSigning CA G2
【2021年5月31日00:00以前の発行証明書が対象】
【2021年5月31日00:00以後の発行証明書が対象】		Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。
この中間CAから発行される証明書はプログラムファイルへの電子署名時に使用します。
リポジトリ:https://repo1.secomtrust.net/spcpp/pfm20pub/index.html

中間CA証明書


NII Open DomainCA –S/MIME証明書(SHA-2認証局)
【2020年12月25日00:00以前の発行証明書が対象】

Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。
この中間CAから発行される証明書は電子メールへの電子署名時に使用します。

リポジトリ:https://repo1.secomtrust.net/sppca/nii/odca3/index.html
中間CA証明書


NII Open DomainCA –G4証明書(SHA-2認証局)
【2020年12月25日00:00以前の発行証明書が対象】

Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。
この中間CAから発行される証明書はクライアント認証時に使用します。
また、この中間CA証明書およびこの中間CAから発行される証明書はSSL/TLS通信を行うサーバに登録する必要があります。

リポジトリ:https://repo1.secomtrust.net/sppca/nii/odca3/index.html

...

STとして指定できる値は下記リンクを参照してください。機関ごとに固定となります。
UPKI証明書 主体者DNにおける ST および L の値一覧

...

Lとして指定できる値は下記リンクを参照してください。機関ごとに固定となります。
UPKI証明書 主体者DNにおける ST および L の値一覧

...

項目番号


項目名称


必須


文字


サイズ

その他


(文字数)

1












主体者DN























半角英数字記号












250












発行するクライアント証明書のDNを"CN,OU,O,L,ST,C"の順序で記述してください。
学生番号等を記載しているのは、同姓同名を考慮しているためです。
CNに使用できる文字は、半角英数字、空白「 」、アポストロフィ「'」、括弧「()」、カンマ「,」、ハイフン「-」、ピリオド「.」、スラッシュ「/」、コロン「:」、イコール「=」、アットマーク「@」、アンダースコア「_」です。
O、OUおよびLに使用できる文字は、半角英数字、空白「 」、アポストロフィ「'」、括弧「()」、カンマ「,」、ハイフン「-」、ピリオド「.」、スラッシュ「/」、コロン「:」、イコール「=」です。OUは64文字以内で記述してください。
Lは利用管理者及び利用者が所属する組織の所在地の市区町村名とし、原則としてサービス窓口に事前に届出したとおりの所在地の市区町村名をローマ字表記で指定してください。Lは64文字以内で記述してください。
STは利用管理者及び利用者が所属する組織の所在地の都道府県名とし、原則としてサービス窓口に事前に届出したとおりの所在地の都道府県名をローマ字表記で指定してください。
LおよびSTとして指定できる値は「UPKI証明書 主体者DNにおける ST および L の値一覧を参照してください。機関ごとに固定となります。
LとSTのいずれかは記述してください。

例)
CN=KOKURITSU HANAKO
,OU=XXXXXX(学生番号等)
,OU=Cyber Science Infrastructure Development Department
,O=National Institute of Informatics
,L=Chiyoda-ku
,ST=Tokyo
,C=JP


◆S/MIME証明書の注意点

証明書プロファイルIDが7, 15, 16の場合、CNの値が利用者メールの値と一致している必要があります。
発行される証明書はCNの値のみが設定されますが、CN以外の値(O, L, ST, C)も記載が必要です。
UPKIアプリ上ではCN以外も表示されます。
以下の例の場合、発行される証明書の主体者DNは、「CN=xxxxx@example.com」のみです。
例)
CN=xxxxx@example.com
,O=National Institute of Informatics
,L=Chiyoda-ku
,ST=Tokyo
,C=JP

2


証明書プロファイルID



半角数字


2


5:クライアント証明書(sha256WithRSAEncryption)(2023年9月8日21:00以降は証明書有効期間:48ヶ月。それ以前は証明書有効期間:52ヶ月)
7:S/MIME証明書(sha256WithRSAEncryption)(2022年3月22日以降は証明書有効期間:823日。それ以前は証明書有効期間:52ヶ月)
13:クライアント証明書(sha256WithRSAEncryption)(証明書有効期間:13ヶ月)
14:クライアント証明書(sha256WithRSAEncryption)(証明書有効期間:25ヶ月)
15:S/MIME証明書(sha256WithRSAEncryption)(証明書有効期間:13ヶ月)
16:S/MIME証明書(sha256WithRSAEncryption)(証明書有効期間:25ヶ月)

3

ダウンロード方法

半角数字

1

1:P12個別
2:P12一括
3:ブラウザ個別

4





・・・・・・・・・・No4~No7まで空白

5





・・・・・・・・・・No4~No7まで空白

6





・・・・・・・・・・No4~No7まで空白

7





・・・・・・・・・・No4~No7まで空白

8


利用管理者氏名



全角、半角


64


利用管理者の氏名を記述してください。
例)国立 太郎

9


利用管理者所属



全角、半角


64


利用管理者の所属部署を記述してください。
例)学術基盤推進部基盤企画課

10



利用管理者mail





半角英数字



78



利用管理者のEmailアドレスを記述してください。
証明書の発行をP12一括ダウンロード方法で行った場合の証明書取得URLの送信先となります。それ以外に場合はアクセスPIN取得URLの送信先となります。
例)xxxxx@example.com

11


利用者氏名



全角、半角


64


利用者の氏名を記述してください。
例)国立 花子

12


P12ダウンロードファイル名



半角英数字


64


本項目は証明書ダウンロード時のファイル名です。主体者DN(#1)中のCNと一致する必要はありません。
使用可能文字は、半角英数字、空白「 」、アポストロフィ「'」、括弧「()」、カンマ「,」、ハイフン「-」、ピリオド「.」、イコール「=」です。
未指定の場合、ダウンロード方法「2:P12一括申請」以外だとP12ダウンロードファイル名は、主体者DN(#1)中のCNとなります。
※証明書プロファイルIDが6,7かつダウンロード方法「2:P12一括申請」以外の場合、必須項目となります。
例)KOKURITSU HANAKO

◆ブラウザ個別発行の注意点
ダウンロード方法が3でP12ダウンロードファイル名に「'」が含まれている場合、現在証明書取得ができません。
P12個別またはP12一括でのご申請お願いいたします。対応は3月上旬を予定しております。

13


利用者所属



全角、半角


64


利用者の所属部署を記述してください。
例)学術基盤推進部基盤企画課

14



利用者mail



○※



半角英数字



78



利用者のEmailアドレスを記述してください。
例)xxxxx@example.com
※証明書プロファイルIDが5かつダウンロード方法が2の時のみ、任意項目です。

15アクセスPIN半角英数記号36

PKCS#12のアクセスPINを記述してください。
※6桁以上36桁以下が申請可能です
ダウンロード方法「2:P12一括申請」の場合のみ、パスワード指定可能です。
未指定の場合、システムで生成したアクセスPINを使用します。
パスワード指定使用可能文字は、
半角英数字、感嘆符「!」、シャープ「#」、ドルマーク「$」、パーセント「%」、アンパサンド「&」、アスタリスク「*」、プラス「+」、カンマ「,」、ハイフン「-」、ピリオド「.」、スラッシュ「/」、コロン「:」、セミコロン「;」、イコール「=」、疑問符「?」、アットマーク「@」、カレット「^」、アンダースコア「_」、バッククォート「`」、パイプ「|」、チルダ「~」、括弧「( ) { } [ ] < >」である。
※以下の文字は使用できません。
・半角空白「 」
・円マーク「\」
・アポストロフィ「’」
・ダブルクォーテーション「”」

◆S/MIME証明書の注意点

証明書プロファイルIDが7, 15, 16の場合、アクセスPINはシステム生成のみで指定不可

...

項目番号


項目名称


必須


文字


サイズ

その他


(文字数)

1











主体者DN





















半角英数字記号











250











発行済の証明書のDNを"CN,OU,O,L,ST,C"の順序で記述してください。
CNに使用できる文字は、半角英数字、空白「 」、アポストロフィ「'」、括弧「()」、カンマ「,」、ハイフン「-」、ピリオド「.」、スラッシュ「/」、コロン「:」、イコール「=」、アットマーク「@」、アンダースコア「_」です。
O、OUおよびLに使用できる文字は、半角英数字、空白「 」、アポストロフィ「'」、括弧「()」、カンマ「,」、ハイフン「-」、ピリオド「.」、スラッシュ「/」、コロン「:」、イコール「=」です。OUは64文字以内で記述してください。
Lは利用管理者及び利用者が所属する組織の所在地の市区町村名とし、原則としてサービス窓口に事前に届出したとおりの所在地の市区町村名をローマ字表記で指定してください。Lは64文字以内で記述してください。
STは利用管理者及び利用者が所属する組織の所在地の都道府県名とし、原則としてサービス窓口に事前に届出したとおりの所在地の都道府県名をローマ字表記で指定してください。
LおよびSTとして指定できる値は「UPKI証明書 主体者DNにおける ST および L の値一覧」を参照してください。機関ごとに固定となります。
LとSTのいずれかは記述してください。

例)
CN=KOKURITSU HANAKO
,OU=XXXXXX(学籍番号等)
,OU=Cyber Science Infrastructure Development Department
,O=National Institute of Informatics
,L=Chiyoda-ku
ST=Tokyo
,C=JP


◆S/MIME証明書の注意点

証明書プロファイルIDが7, 15, 16の場合、CNの値が利用者メールの値と一致している必要があります。
発行される証明書はCNの値のみが設定されますが、CN以外の値(O, L, ST, C)も記載が必要です。
もし、更新元の証明書にOUが含まれている場合は、OUも記載が必要です。
UPKIアプリ上ではCN以外も表示されます。
以下の例の場合、発行される証明書の主体者DNは、「CN=xxxxx@example.com」のみです。
例)
CN=xxxxx@example.com
,O=National Institute of Informatics
,L=Chiyoda-ku
,ST=Tokyo
,C=JP

2


証明書プロファイルID



半角数字


2


5:クライアント証明書(sha256WithRSAEncryption)(2023年9月8日21:00以降は証明書有効期間:48ヶ月。それ以前は証明書有効期間:52ヶ月)
7:S/MIME証明書(sha256WithRSAEncryption)(2022年3月22日以降は証明書有効期間:823日。それ以前は証明書有効期間:52ヶ月)
13:クライアント証明書(sha256WithRSAEncryption)(証明書有効期間:13ヶ月)
14:クライアント証明書(sha256WithRSAEncryption)(証明書有効期間:25ヶ月)
15:S/MIME証明書(sha256WithRSAEncryption)(証明書有効期間:13ヶ月)
16:S/MIME証明書(sha256WithRSAEncryption)(証明書有効期間:25ヶ月)

3

ダウンロード方法

半角数字

1

1:P12個別
2:P12一括
3:ブラウザ個別

4






更新対象証明書シリアル番号











半角英数字






32






旧証明書のシリアル番号を10進数または16進数で記述してください。
10進数の場合
例) 1234567812345678123
16進数の場合
例) 0x112210E261FEC92B
※16進数の場合は先頭に[0x]をつけてください。半角英字は大文字小文字どちらも使用できます。

5





・・・・・・・・・・No5~No7まで空白

6





・・・・・・・・・・No5~No7まで空白

7





・・・・・・・・・・No5~No7まで空白

8


利用管理者氏名



全角、半角


64


利用管理者の氏名を記述してください。
例)国立 太郎

9


利用管理者所属



全角、半角


64.


利用管理者の所属部署を記述してください。
例)学術基盤推進部基盤企画課

10




利用管理者mail







半角英数字




78




利用管理者のEmailアドレスを記述してください。
証明書の発行をP12一括ダウンロード方法で行った場合の証明書取得URLの送信先となります。それ以外に場合はアクセスPIN取得URLの送信先となります。
例)xxxxx@example.com

11


利用者氏名



全角、半角


64


利用者の氏名を記述してください。
例)国立 花子

12


P12ダウンロードファイル名



半角英数字


64


本項目は証明書ダウンロード時のファイル名です。主体者DN(#1)中のCNと一致する必要はありません。
使用可能文字は、半角英数字、空白「 」、アポストロフィ「'」、括弧「()」、カンマ「,」、ハイフン「-」、ピリオド「.」、イコール「=」です。
未指定の場合、ダウンロード方法「2:P12一括申請」以外だとP12ダウンロードファイル名は、主体者DN(#1)中のCNとなります。※証明書プロファイルIDが6,7かつダウンロード方法「2:P12一括申請」以外の場合、必須項目となる
例)KOKURITSU HANAKO

◆ブラウザ個別発行の注意点
ダウンロード方法が3でP12ダウンロードファイル名に「'」が含まれている場合、現在証明書取得ができません。
P12個別またはP12一括でのご申請お願いいたします。対応は3月上旬を予定しております。

13


利用者所属



全角、半角


64


利用者の所属部署を記述してください。
例)学術基盤推進部基盤企画課

14


利用者mail


○※


半角英数字


78


利用者のEmailアドレスを記述してください。
例)xxxxx@example.com
※証明書プロファイルIDが5かつダウンロード方法が2の時のみ、任意項目です。

15アクセスPIN半角英数記号36

PKCS#12のアクセスPINを記述してください。
※6桁以上36桁以下が申請可能です
ダウンロード方法「2:P12一括申請」の場合のみ、パスワード指定可能です。
未指定の場合、システムで生成したアクセスPINを使用します。
パスワード指定使用可能文字は、
半角英数字、感嘆符「!」、シャープ「#」、ドルマーク「$」、パーセント「%」、アンパサンド「&」、アスタリスク「*」、プラス「+」、カンマ「,」、ハイフン「-」、ピリオド「.」、スラッシュ「/」、コロン「:」、セミコロン「;」、イコール「=」、疑問符「?」、アットマーク「@」、カレット「^」、アンダースコア「_」、バッククォート「`」、パイプ「|」、チルダ「~」、括弧「( ) { } [ ] < >」である。
※以下の文字は使用できません。
・半角空白「 」
・円マーク「\」
・アポストロフィ「’」
・ダブルクォーテーション「”」

◆S/MIME証明書の注意点

証明書プロファイルIDが7, 15, 16の場合、アクセスPINはシステム生成のみで指定不可

...