Child pages
  • 中間認証局変更に伴う変更点一覧

本ページでは、2020年12月25日より開始する新中間認証局提供に伴う変更点をまとめます。

※2021年1月12日 DNS CAAレコード 設定値を追記しました。


メンテナンスは終了しました。ご協力ありがとうございました。

通知メールにてリポジトリのURLが更新されていない問題がございましたが、1月7日の午後、修正を実施しました。現在は正しいURLが記載されております。

本件に関するアプリケーションアップデートおよび設定変更のため、下記日程でメンテナンスを実施いたします。

  • 2020年12月22日(火)13:00 ~ 19:00
  • 2020年12月24日(木)22:00 ~12月25日(金) 06:00

証明書発行処理:申請・照会機能ともにご利用いただけません。
登録担当者用証明書の取得,およびクライアント証明書の取得が行えません。

※発行済みの証明書につきましてはメンテナンス中も有効です。


サーバ証明書

項目新中間認証局(2020年12月25日0:00から)旧中間認証局(2020年12月24日まで)備考
中間認証局の名称

RSA:
NII Open Domain CA - G7 RSA

ECDSA:
NII Open Domain CA - G7 ECC

RSA:
NII Open Domain CA - G5

ECDSA:
NII Open Domain CA - G6


中間認証局証明書の主体者DN

RSA:
CN=NII Open Domain CA - G7 RSA
O=SECOM Trust Systems CO.,LTD.
C=JP

ECDSA:
CN=NII Open Domain CA - G7 ECC
O=SECOM Trust Systems CO.,LTD.
C=JP

RSA:
CN=NII Open Domain CA - G5
O=National Institute of Informatics
C=JP

ECDSA:
CN=NII Open Domain CA - G6
O=National Institute of Informatics
C=JP


リポジトリURLhttps://repo1.secomtrust.net/sppca/nii/odca4/https://repo1.secomtrust.net/sppca/nii/odca3/それぞれ別のページとなります

証明書ポリシ(CP)

https://repo1.secomtrust.net/sppca/cp/ovcp.pdfhttps://repo1.secomtrust.net/sppca/nii/odca3/NIIODCA3.pdf
発行する証明書のCRL

RSA:
http://repo1.secomtrust.net/sppca/nii/odca4/fullcrlg7rsa.crl

ECDSA:
http://repo1.secomtrust.net/sppca/nii/odca4/fullcrlg7ecc.crl

RSA:
http://repo1.secomtrust.net/sppca/nii/odca3/fullcrlg5.crl

ECDSA:
http://repo1.secomtrust.net/sppca/nii/odca3/fullcrlg6.crl


発行する証明書のOCSPレスポンダ

RSA:
http://niig7rsa.ocsp.secom-cert.jp

ECDSA:
http://niig7ecc.ocsp.secom-cert.jp

RSA:
http://niig5.ocsp.secomtrust.net

ECDSA:
http://niig6.ocsp.secomtrust.net


発行するサーバ証明書の主体者DN
(OUの値)
  • 任意
  • 2020年12月22日のメンテナンス後より有効
    • 12月25日0:00までは、旧(現行)中間認証局から発行されますので留意ください
発行するサーバ証明書の主体者DN
(ST/Lの値)
  • ST と L のいずれか、または双方を記入
  • 2020年12月22日のメンテナンス後より有効
    • 12月25日0:00までは、旧(現行)中間認証局から発行されますので留意ください
DNS CAAレコード設定値

設定値:
secomtrust.net

設定例:
xxx.ac.jp. CAA 0 issue "secomtrust.net"



設定値:
certs.nii.ac.jp

設定例:
xxx.ac.jp. CAA 0 issue "certs.nii.ac.jp"

例は利用機関のドメインが「xxx.ac.jp」で、UPKI電子証明書発行サービスより発行される認証局を指定する場合です。

CAA レコード設定 の解説もあわせてご参照ください。

CAAレコードは、設定必須ではありません。

新規または更新発行申請の判断基準

既存の証明書※1で使用している主体者DNのうち、

  1. CNとOUが完全に一致する場合は、更新発行申請を行ってください
  2. CNとOUが一致しない場合は、新規発行申請を行ってください

既存の証明書のうち、CNとOUが一致しているものがある場合、STとLが異なっていても更新発行申請を行ってください

※1: これまでUPKI電子証明書発行サービスで発行したサーバ証明書全てを指します。「国立情報学研究所電子証明書自動発行支援システム」から取得できる履歴で確認できます。

取得手順: サーバ証明書情報取得

変更はありませんが、再掲します

クライアント証明書(個人認証用、S/MIME用)

項目新中間認証局(2020年12月25日0:00から)旧中間認証局(2020年12月24日まで)備考
中間認証局の名称

個人認証用・S/MIME用:
SECOM Passport for Member PUB CA8

個人認証用:
NII Open Domain CA - G4

S/MIME用:
NII Open Domain S/MIME CA

個人認証用とS/MIME用の中間認証局を統合します
中間認証局証明書の主体者DN

個人認証用・S/MIME用:
CN=SECOM Passport for Member PUB CA8
OU=SECOM Passport for Member 2.0 PUB
O=SECOM Trust Systems CO.,LTD.
C=JP

個人認証用:
CN=NII Open Domain CA - G4
O=National Institute of Informatics
C=JP

S/MIME用:
CN=NII Open Domain S/MIME CA
O=National Institute of Informatics
C=JP

個人認証用とS/MIME用の中間認証局を統合します
リポジトリURLhttps://repo1.secomtrust.net/sppca/nii/odca4/https://repo1.secomtrust.net/sppca/nii/odca3/それぞれ別のページとなります

証明書ポリシ(CP)

https://repo1.secomtrust.net/spcpp/pfm20pub/PfM20PUB-CP.pdfhttps://repo1.secomtrust.net/sppca/nii/odca3/NIIODCA3.pdf
発行する証明書のCRLhttp://repo1.secomtrust.net/spcpp/pfm20pub/ca8/fullCRL.crl

個人認証用:
http://repo1.secomtrust.net/sppca/nii/odca3/fullcrlg4.crl

S/MIME用:
http://repo1.secomtrust.net/sppca/nii/odca3/fullcrlsmime.crl


クライアント証明書の主体者DN(OUの値)
  • 任意
サーバ証明書と異なり、事前登録は不要です
クライアント証明書の主体者DN(ST/Lの値)
  • ST と L のいずれか、または双方を記入
サーバ証明書と異なり、STとLのいずれかが必須です
新規または更新発行申請の判断基準

既存の証明書※2 で使用している主体者DNのうち、

  1. CNとOUが完全に一致する場合は、更新発行申請を行ってください
  2. CNとOUが一致しない場合は、新規発行申請を行ってください

既存の証明書のうち、CNとOUが一致しているものがある場合、STとLが異なっていても更新発行申請を行ってください

※2: これまでUPKI電子証明書発行サービスで発行したクライアント証明書全てを指します。「国立情報学研究所電子証明書自動発行支援システム」から取得できる履歴で確認できます。

取得手順: クライアント証明書取得

変更はありませんが、再掲します

※なお、本ページの記述と各CPの記述が矛盾する場合、CPの記述が優先されます。


  • No labels