あなたのIdPまたはSPに「パブリックでない証明書」を設定し利用する場合、学認申請システムにおいて学認技術運用基準(https://www.gakunin.jp/document/80)で定める「7.4) 信頼する証明書」(下記参照)を満たすことを証明するためのURLを入力でき、スムーズに申請を進めることができるようになりました。
「パブリックでない証明書」とは?
いわゆるパブリックな認証局(UPKI電子証明書発行サービスを始めとしたWebTrust for CAに準拠しWebブラウザーに搭載された認証局)から発行されたものではない証明書を「パブリックでない証明書」と位置付けており、典型的には自己署名証明書が該当します。
どの規定をどうやって確認しているの?
学認技術運用基準「7.4)信頼する証明書」の3点目に記載している
- 上掲の要件を満たす別の証明書を利用する Web サイトに配置することによって、当該エンティティとの紐付けが確認できた証明書
を学認事務局側で確認(当該エンティティとの紐付けを確認し信頼性を担保)します。自己署名証明書を含むメタデータもしくは自己署名証明書自体をWebサイトに配置していただき、外部からそれを確認できるようにしていただいた上で、そのURLを学認申請システム上で「パブリックでない証明書のための確認用URL」欄に追加情報として登録してください。
※確認用URLの登録方法は、本ページ内の「学認申請システム上における「パブリックでない証明書」(自己署名証明書)の登録方法」をご参照ください
※パブリックな認証局から発行した証明書をご利用の場合は、確認用URLの登録は不要です
学認申請システム上における「パブリックでない証明書」(自己署名証明書)の登録方法
1. 自己署名証明書を含むメタデータもしくは自己署名証明書自体を、以下(1)~(3)のいずれかのサイトの配下に配置してください。パスやファイル名は任意です。なお、学認事務局側でこのサイトにアクセスして当該証明書を確認し、当該エンティティとの紐付けを確認することで信頼性を担保いたしますので、当該サイトは外部からアクセスできることが必須です。
2. 学認申請システムの「証明書」欄において、「参照」ボタンをクリックし当該自己署名証明書を選択する(あるいはテキスト欄にペーストする)と、「パブリックでない証明書のための確認用URL」の入力欄の下に「証明書の信頼性が確認できませんでした。信頼性を確認できるURLを入力してください。」と赤字で表示されますので、上記1.で配置したサイトのURLを入力してください。
【図例】⇒ https://host.example.ac.jp/cert/self-signed.crt
- 自己署名証明書のファイル名=self-signed.crt
- entityIDのホスト部=host.example.ac.jp
- サイト配下のディレクトリ=任意(図例では「cert」)
3. 以上で、学認申請システム上における自己署名証明書の登録は完了です。問題なければ、ページ下端までスクロールし「申請」ボタンを押下してください。
なお、自己署名証明書で申請した場合、パブリックな認証局から発行した証明書の場合よりも審査にお時間をいただきますのでご了承ください。
※パブリックな認証局から発行した証明書を学認申請システム上で入力した場合は下記のように「確認用URLを入力する必要はありません。」と表示されますので空欄のままで申請してください。(学認申請システムの情報不足により、パブリックな認証局から発行した証明書でも誤認識され上記のように証明書の信頼性が確認できませんでしたとメッセージが表示される場合がありますが、その場合は確認用URLは空欄にして申請してください)
