UPKI_Manual

スペース ショートカット

子ページ
  • 利用管理者用

比較バージョン

古いバージョン 45

changes.mady.by.user Takuma Yamamoto

保存しました

次と比較

新しいバージョン 46

changes.mady.by.user c0117321c5@nii.ac.jp

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

改版履歴

版数

日付

内容

担当

V.1.1

2014/12/22

初版

NII

V.1.2

2015/1/14

誤植の修正
サーバ証明書発行/更新時の制限追記
サーバ証明書発行/更新/失効申請ファイル中の制限追記

NII

V.1.3

2015/4/1

サーバ証明書の発行・更新機能の修正
クライアント証明書の発行・更新・失効機能の追加
コード署名用証明書の発行・更新・失効機能の追加

NII

V.1.4

2015/4/9

誤植の修正

NII

V.1.5

2015/12/11

全角文字使用可能文字の範囲を追記
アクセスPIN/証明書ZIPファイル構成説明追加

NII

V.1.6

2016/4/7

誤植の修正
目次の修正

NII

V.1.7

2017/2/28

コード署名用証明書のダウンロード種別P12を削除
クライアント証明書P12一括発行時の注意事項追記

NII

V.1.8

2017/7/27

誤植の修正

NII

V.2.0

2018/2/26

SHA-1に関する記述削除

NII

V.2.12018/7/9

1-3.認証のパスに関する記述の修正
5-3-1. サーバ証明書発行申請TSVファイル形式
5-3-2. サーバ証明書更新申請TSVファイル形式
 CSRの鍵長の記載を修正、主体者DNの修正とSTの追加
2-1-1. DNのルールの修正
3-2-3. 誤植の修正
 メールテンプレートにおけるLの修正とSTの追加
5-3-3.サーバ証明書失効申請TSVファイル形式
5-4.クライアント証明書申請TSVファイル形式
5-5.コード署名用証明書申請TSVファイル形式
 主体者DNの修正とSTの追加
5-4.クライアント証明書申請TSVファイル形式
 項目番号15:アクセスPINの追加
 項目番号12:P12ダウンロードファイル名、その他の記載内容を修正
5-7-1.証明書情報ファイル構成
 Lの修正とSTの追加

NII
V.2.22018/7/11証明書プロファイルID:11の追加NII
V.2.32018/8/27

5-3-1. サーバ証明書発行申請TSVファイル形式
5-3-2. サーバ証明書更新申請TSVファイル形式
項目番号7:CSRの記述を修正
5-5-1. コード署名用証明書発行申請TSVファイル形式

5-5-2. コード署名用証明書更新申請TSVファイル形式項目番号7:CSRの記述を修正		NII
V.2.42019/4/22

5-3-2. サーバ証明書更新申請TSVファイル形式
5-3-3. サーバ証明書失効申請TSVファイル形式
項目番号4: シリアル番号桁数変更
5-4.クライアント証明書申請TSVファイル形式
証明書プロファイルID:13
証明書プロファイルID:14
証明書プロファイルID:15
証明書プロファイルID:16
の追加
5-4-1. クライアント証明書発行申請TSVファイル形式
5-4-2. クライアント証明書更新申請TSVファイル形式
項目番号15: アクセスPIN指定条件追加

NII
V.2.52019/6/102.1.1 DNのルール(Locality Name)の修正NII
V.2.62019/6/26

5-3-1. サーバ証明書発行申請TSVファイル形式
5-3-2. サーバ証明書更新申請TSVファイル形式
項目番号13: dNSNameの指定可能個数条件追加

NII
V.2.72020/4/27コード署名用証明書の発行・更新・失効の方式について追記および修正NII
V.2.82020/6/4コード署名用証明書の中間CA証明書とリポジトリの変更
tsvファイルを利用したコード署名用証明書の発行・失効方式を削除
コード署名用証明書申請tsvファイル形式削除
IIS7.5に関する記載を削除		NII
V.2.92020/7/15DNのルール、TSVファイル形式のSTおよびLの値の説明、リンクの変更NII
V.2.102020/8/25コード署名証明書、発行申請書、失効申請書フォーマットを修正NII
V.2.112020/12/22

中間CA証明書を修正
サーバー証明書L、STを必須に修正
サーバー証明書OUの利用条件を修正

NII
V.2.122021/5/31コード署名用証明書の中間CA証明書を修正
NII Open DomainCA–G5、G6の削除		NII
V2.132022/03/10証明書プロファイルID:7:S/MIME証明書
の有効期間の変更		NII
V2.142022/08/02

2-1-1. 鍵ペア・CSRの作成 
OU欄の削除

NII



目次
1. はじめに 
1-1. 本書の範囲 
1-2. CSRとは 
1-3. 認証のパス 
2. サーバ証明書管理手順 
2-1. サーバ証明書新規発行手続き概要 
2-1-1. 鍵ペア・CSRの作成 
2-1-2. サーバ証明書発行申請TSVファイルの作成 
2-1-3. サーバ証明書発行申請TSVファイルの送付 
2-1-4. サーバ証明書取得URLの通知 
2-1-5. サーバ証明書の取得 
2-1-6. サーバ証明書のインストール 
2-2. サーバ証明書更新申請手続き概要 
2-2-1. 鍵ペア・CSRの作成 
2-2-2. 更新申請TSVファイルの作成 
2-2-3. 更新申請TSVファイルの送付 
2-2-4. サーバ証明書取得URLの通知 
2-2-5. 新サーバ証明書の取得 
2-2-6. サーバ証明書のインストール 
2-2-7. 新サーバ証明書の置き換え完了通知 
2-2-8. 旧サーバ証明書の失効通知 
2-2-9. 旧サーバ証明書の失効申請依頼再通知について 
2-3. サーバ証明書失効申請手続き概要 
2-3-1. 失効申請TSVファイルの作成 
2-3-2. 失効申請TSVファイルの送付 
2-3-3. 失効完了通知 
3. クライアント証明書管理手順 
3-1. 証明書ダウンロード方法ごとの操作手順 
3-2. クライアント証明書新規発行手続き概要 
3-2-1. クライアント証明書新規発行(P12個別) 
3-2-1-1. 発行申請TSVファイルの作成 
3-2-1-2. 発行申請TSVファイルの送付 
3-2-1-3. アクセスPIN取得URLの通知 
3-2-1-4. アクセスPINの取得 
3-2-1-5. アクセスPINの通知 
3-2-1-6. ダウンロード完了通知メール受信 
3-2-2. クライアント証明書新規発行(P12一括) 
3-2-2-1. 発行申請TSVファイルの作成 
3-2-2-2. 発行申請TSVファイルの送付 
3-2-2-3. 証明書取得URLの通知 
3-2-2-4. アクセスPIN取得URLの通知 
3-2-2-5. アクセスPINの取得 
3-2-2-6. クライアント証明書の取得 
3-2-2-7. ダウンロード完了通知メール受信 
3-2-2-8. アクセスPINの引き渡し 
3-2-3. クライアント証明書新規発行(ブラウザ) 
3-2-3-1. 発行申請TSVファイルの作成 
3-2-3-2. 発行申請TSVファイルの送付 
3-2-3-3. アクセスPIN取得URLの通知 
3-2-3-4. アクセスPINの取得 
3-2-3-5. ダウンロード完了通知メール受信 
3-3. クライアント証明書更新発行手続き概要 
3-3-1. クライアント証明書更新発行(P12個別) 
3-3-1-1. 更新申請TSVファイルの作成 
3-3-1-2. 更新申請TSVファイルの送付 
3-3-1-3. アクセスPIN取得URLの通知 
3-3-1-4. アクセスPINの取得 
3-3-1-5. ダウンロード完了通知メール受信 
3-3-1-6. 失効申請TSVファイルの送付 
3-3-1-7. 失効完了通知 
3-3-2. クライアント証明書更新発行(P12一括) 
3-3-2-1. 更新申請TSVファイルの作成 
3-3-2-2. 更新申請TSVファイルの送付 
3-3-2-3. 証明書取得URLの通知 
3-3-2-4. アクセスPIN取得URLの通知 
3-3-2-5. アクセスPINの取得 
3-3-2-6. クライアント証明書の取得 
3-3-2-7. ダウンロード完了通知メール受信 
3-3-2-8. アクセスPINの引き渡し 
3-3-2-9. 失効申請TSVファイルの送付 
3-3-2-10. 失効完了通知 
3-3-3. クライアント証明書更新発行(ブラウザ) 
3-3-3-1. 更新申請TSVファイルの作成 
3-3-3-2. 更新申請TSVファイルの送付 
3-3-3-3. アクセスPIN取得URLの通知 
3-3-3-4. アクセスPINの取得 
3-3-3-5. ダウンロード完了通知メール受信 
3-3-3-6. 失効申請TSVファイルの送付 
3-3-3-7. 失効完了通知 
3-4. クライアント証明書の証明書失効申請手続き概要 
3-4-1. 失効申請TSVファイルの作成 
3-4-2. 失効申請TSVファイルの送付 
3-4-3. 失効完了通知 
4. コード署名用証明書管理手順 
4-1. コード署名用証明書新規発行手続き概要 
4-1-1. 鍵ペア・CSRの作成
4-1-2. 発行申請書(Excel)の作成
4-1-3. CSRと発行申請書(Excel)の送付
4-1-4. コード署名用証明書取の受信
4-2. コード署名用証明書更新発行手続き概要  
4-3-1. 利用管理者による失効申請書(Excel)の作成
4-3-2. 失効申請書(Excel)の送付
4-3-3. 失効完了メール受信
5. 本システムで扱うファイル形式 
5-1. TSVファイル形式 
5-2. ファイル制約事項 
5-3. サーバ証明書申請TSVファイル形式 
5-3-1. サーバ証明書発行申請TSVファイル形式 
5-3-2. サーバ証明書更新申請TSVファイル形式 
5-3-3. サーバ証明書失効申請TSVファイル形式 
5-4. クライアント証明書申請TSVファイル形式 
5-4-1. クライアント証明書発行申請TSVファイル形式 
5-4-2. クライアント証明書更新申請TSVファイル形式 
5-4-3. クライアント証明書失効申請TSVファイル形式 
5-5. アクセスPINファイル構成 
5-5-1. クライアント証明書アクセスPINファイル構成 
5-6. 証明書ZIPファイル構成 
5-6-1. 証明書情報ファイル構成

...

DNのルール

項目

指定内容の説明と注意

必須

文字数および注意点

Country(C)

本認証局では必ず「JP」と設定してください。
例)C=JP

JP固定

State or Province Name(ST)

「都道府県」(ST)は利用管理者及び利用者が所属する組織の所在地の都道府県名とし、原則としてサービス窓口に事前に届出したとおりの所在地の都道府県名をローマ字表記で指定してください。
例)ST=Tokyo

STとして指定できる値は下記リンクを参照してください。機関ごとに固定となります。
UPKI証明書 主体者DNにおける ST および L の値一覧

※STおよびLが必須。(2020年12月22日以降)

Locality Name(L)

「場所」(L)は利用管理者及び利用者が所属する組織の所在地の市区町村名とし、原則としてサービス窓口に事前に届出したとおりの所在地の市区町村名をローマ字表記で指定してください。
例)L=Chiyoda-ku

Lとして指定できる値は下記リンクを参照してください。機関ごとに固定となります。
UPKI証明書 主体者DNにおける ST および L の値一覧

※STおよびLが必須。(2020年12月22日以降)

Organization Name(O)

サービス参加申請時の機関名英語表記を設定してください。この情報は各所属機関の登録担当者にお問い合わせください。
例)O=National Institute of Informatics

半角の英数字64文字以内
(記号は「'(),-./:=」と半角スペースのみ使用可能)

Organizational Unit Name(OU)

証明書を使用する部局等の名前を設定してください。
(この値は省略可能です)
(この値は複数設定することが可能です。複数指定する方法につきましては、CSR作成時ご使用のアプリケーションのマニュアルをご確認ください。)
例)OU=Cyber Science Infrastructure Development Department

2022年7月26日以降に新規発行・更新する証明書については、OUが廃止となります。詳細はこちら

・半角の英数字64文字以内
(記号は「'(),-./:=」と半角スペースのみ使用可能)
・複数OUを指定する場合は、全体で64文字以内
・OUは5つまで指定可能
UPKI証明書 主体者DNにおける OU の値一覧

Common Name(CN)

証明書をインストールするウェブ・サーバの名前をFQDNで設定してください。例えばSSL/TLSを行うサイトがhttps://www.nii.ac.jp/の場合には、

「www.nii.ac.jp」となります。FQDNにはサービス利用申請時に登録いただいた対象ドメイン名を含むFQDNのみ、証明書発行が可能となります。
例)CN=www.nii.ac.jp

証明書をインストールする対象サーバのFQDNで64文字以内
半角英数字、"."、"-"のみ使用可能。また、先頭と末尾に"."と"-"は使用不可

Email本認証局では使用しないでください。×
鍵長

RSA 2048bit
ECDSA 384bit

...

項目 番号


項目名称


必須


文字


サイズ

その他


(文字数)

1









主体者DN

















半角英数字記号









250









CSR作成時に設定したDNを"CN,OU,O,L,ST,C"の順序で記述してください。
※CSRに記述されたDNと異なる場合はエラーとなります。

例)
CN=www.nii.ac.jp
,O=National Institute of Informatics
,L=Chiyoda-ku
,ST=Tokyo
,C=JP

2

証明書プロファイルID

半角数字

2

3:sha256WithRSAEncryption

11:ecdsa-with-SHA384

3





・・・・・・・・・・No3~No6まで空白

4





・・・・・・・・・・No3~No6まで空白

5





・・・・・・・・・・No3~No6まで空白

6





・・・・・・・・・・No3~No6まで空白

7




CSR







半角英数字




2048




「サーバ証明書インストールマニュアル」に従って作成したCSRを記述してください。
----BEGIN CERTIFICATE REQUEST----行と
----END CERTIFICATE REQUEST----行を削除し、一行で記述してください。

※項目番号2の証明書プロファイルIDを"3"(sha256WithRSAEncryption)に指定した場合    鍵長は2048にしてください。    署名アルゴリズムは以下のいずれかを指定してください。     ・sha1WithRSAEncryption     ・sha256WithRSAEncryption
     ・sha384WithRSAEncryption
     ・sha512WithRSAEncryption
     ・md5WithRSAEncryption

※項目番号2の証明書プロファイルIDを"11"(ecdsa-with-SHA384)に指定した場合
 曲線名は"secp384r1" を指定してください。
 署名アルゴリズムは以下のいずれかを指定してください。
    ・ecdsa-with-SHA256
    ・ecdsa-with-SHA384

8


利用管理者氏名



全角、半角


64


利用管理者の氏名を記述してください。
例)国立 太郎

9


利用管理者所属



全角、半角


64


利用管理者の所属部署を記述してください。
例)学術基盤推進部基盤企画課

10



利用管理者mail





半角英数字



78



利用管理者のEmailアドレスを記述してください。
証明書取得URLの送信先となります。
例)xxxxx@example.com

11


利用管理者FQDN



半角英数字記号


64


CSRで設定したCNを記述してください。
例)www.nii.ac.jp

12


利用管理者ソフトウェア名・バージョン



全角、半角

128


証明書をインストールするソフトウェアの名前・バージョン番号を記述してください。
例)apache2.0

13



dNSName





半角英数字記号



250



同一証明書に複数ホスト名を記載する場合に利用します。
利用管理者FQDN値が含まれていない場合、自動付与されます。
自動付与されるサーバFQDN値含め250文字以内としてください。
dNSNameは8つまで指定可能です。
ホスト名を「dNSName=XXX,dNSName=ZZZ」の形式で記載してください。
※半角英数字、"."、"-"のみ使用可能です。また、先頭と末尾に"."と"-"は使用できません。
※また末尾に "," を記載しないでください。
ここで指定した値は、証明書の拡張領域 SANs(Subject Alternative Names)に記載されます。

...

項目 番号


項目名称


必須


文字


サイズ

その他


(文字数)

1









主体者DN

















半角英数字記号









250









CSR作成時に設定したDNを"CN,OU,O,L,ST,C"の順序で記述してください。
※CSRに記述されたDNと異なる場合、また更新対象のDNと異なる場合はエラーとなります。
例)
CN=www.nii.ac.jp
,O=National Institute of Informatics
,L=Chiyoda-ku
,ST=Tokyo
,C=JP

2

証明書プロファイルID

半角数字

1

3:sha256WithRSAEncryption
11:ecdsa-with-SHA384

3





・・・・・・・・・・No3は空白

4







失効対象証明書シリアル番号













半角英数字







50







旧証明書のシリアル番号を10進数または16進数で記述してください。
10進数の場合
例) 1234567812345678123
16進数の場合
例) 0x112210E261FEC92B
※16進数の場合は先頭に[0x]をつけてください。半角英字は大文字小文字どちらも使用できます。

5





・・・・・・・・・・No5~No6まで空白

6





・・・・・・・・・・No5~No6まで空白

7





CSR









半角英数字





2048





「サーバ証明書インストールマニュアル」に従って作成したCSRを記述してください。
----BEGIN CERTIFICATE REQUEST----行と
----END CERTIFICATE REQUEST----行を削除し、一行で記述してください。
※以前使用した鍵ペアの再利用はできません。
※項目番号2の証明書プロファイルIDを"3"(sha256WithRSAEncryption)に指定した場合
    鍵長は2048にしてください。
    署名アルゴリズムは以下のいずれかを指定してください。
     ・sha1WithRSAEncryption
     ・sha256WithRSAEncryption
     ・sha384WithRSAEncryption
     ・sha512WithRSAEncryption
     ・md5WithRSAEncryption

※項目番号2の証明書プロファイルIDを"11"(ecdsa-with-SHA384)に指定した場合
 曲線名は"secp384r1" を指定してください。
 署名アルゴリズムは以下のいずれかを指定してください。
    ・ecdsa-with-SHA256
    ・ecdsa-with-SHA384

8


利用管理者氏名



全角、半角


64


利用管理者の氏名を記述してください。
例)国立 太郎

9


利用管理者所属



全角、半角


64


利用管理者の所属部署を記述してください。
例)学術基盤推進部基盤企画課

10



利用管理者mail





半角英数字



78



利用管理者のEmailアドレスを記述してください。
証明書取得URLの送信先となります。
例)xxxxx@example.com

11


利用管理者FQDN



半角英数字記号


64


CSRで設定したCNを記述してください。
例)www.nii.ac.jp

12


利用管理者ソフトウェア名・バージョン



全角、半角

128


証明書をインストールするソフトウェアの名前・バージョン番号を記述してください。
例)apache2.0

13



dNSName





半角英数字記号



250



同一証明書に複数ホスト名を記載する場合に利用します。
利用管理者FQDN値が含まれていない場合、自動付与されます。
自動付与されるサーバFQDN値含め250文字以内としてください。
dNSNameは8つまで指定可能です。
ホスト名を「dNSName=XXX,dNSName=ZZZ」の形式で記載してください。
※半角英数字、"."、""のみ使用可能です。また、先頭と末尾に"."と""は使用できません。
※また末尾に "," を記載しないでください。
ここで指定した値は、証明書の拡張領域 SANs(Subject Alternative Names)に記載されます。


...