利用管理者用
改版履歴 | |||
版数 | 日付 | 内容 | 担当 |
V.1.1 | 2014/12/22 | 初版 | NII |
V.1.2 | 2015/1/14 | 誤植の修正 | NII |
V.1.3 | 2015/4/1 | サーバ証明書の発行・更新機能の修正 | NII |
V.1.4 | 2015/4/9 | 誤植の修正 | NII |
V.1.5 | 2015/12/11 | 全角文字使用可能文字の範囲を追記 | NII |
V.1.6 | 2016/4/7 | 誤植の修正 | NII |
V.1.7 | 2017/2/28 | コード署名用証明書のダウンロード種別P12を削除 | NII |
V.1.8 | 2017/7/27 | 誤植の修正 | NII |
V.2.0 | 2018/2/26 | SHA-1に関する記述削除 | NII |
V.2.1 | 2018/7/9 | 1-3.認証のパスに関する記述の修正 | NII |
V.2.2 | 2018/7/11 | 証明書プロファイルID:11の追加 | NII |
V.2.3 | 2018/8/27 | 5-3-1. サーバ証明書発行申請TSVファイル形式 5-5-2. コード署名用証明書更新申請TSVファイル形式項目番号7:CSRの記述を修正 | NII |
V.2.4 | 2019/4/22 | 5-3-2. サーバ証明書更新申請TSVファイル形式 | NII |
V.2.5 | 2019/6/10 | 2.1.1 DNのルール(Locality Name)の修正 | NII |
V.2.6 | 2019/6/26 | 5-3-1. サーバ証明書発行申請TSVファイル形式 | NII |
V.2.7 | 2020/4/27 | コード署名用証明書の発行・更新・失効の方式について追記および修正 | NII |
V.2.8 | 2020/6/4 | コード署名用証明書の中間CA証明書とリポジトリの変更 | NII |
V.2.9 | 2020/7/15 | DNのルール、TSVファイル形式のSTおよびLの値の説明、リンクの変更 | NII |
V.2.10 | 2020/8/25 | コード署名証明書、発行申請書、失効申請書フォーマットを修正 | NII |
V.2.11 | 2020/12/22 | 中間CA証明書を修正 | NII |
V.2.12 | 2021/5/31 | コード署名用証明書の中間CA証明書を修正 | NII |
V2.13 | 2022/03/10 | 証明書プロファイルID:7:S/MIME証明書 | NII |
V2.14 | 2022/08/02 | 2-1-1. 鍵ペア・CSRの作成 | NII |
V.2.15 | 2023/5/19 | コード署名用証明書のCSR作成に関する手順を削除 | NII |
V.2.16 | 2023/9/5 | S/MIME証明書 BR対応に関する申請TSVファイル形式の修正 | NII |
V.2.17 | 2023/9/14 | クライアント証明書の有効期限変更 | NII |
V.2.18 | 2023/12/14 | クライアント証明書および登録担当者用証明書切り替え | NII |
V.2.19 | 2024/11/20 | 失効理由に注記追加(失効理由として誤って危殆化を選択しないため) | NII |
V.2.20 | 2025/10/16 | ACME作成申請ファイル項目追加 | NII |
目次
- 1 1. はじめに
- 1.1 1-1. 本書の範囲
- 1.2 1-2. CSRとは
- 1.3 1-3. 認証のパス
- 2 2. サーバ証明書管理手順
- 2.1 2-1. サーバ証明書新規発行手続き概要
- 2.1.1 2-1-1. 鍵ペア・CSRの作成
- 2.1.2 2-1-2. サーバ証明書発行申請TSVファイルの作成
- 2.1.3 2-1-3. サーバ証明書発行申請TSVファイルの送付
- 2.1.4 2-1-4. サーバ証明書取得URLの通知
- 2.1.5 2-1-5. サーバ証明書の取得
- 2.1.6 2-1-6. サーバ証明書のインストール
- 2.2 2-2. サーバ証明書更新申請手続き概要
- 2.2.1 2-2-1. 鍵ペア・CSRの作成
- 2.2.2 2-2-2. 更新申請TSVファイルの作成
- 2.2.3 2-2-3. 更新申請TSVファイルの送付
- 2.2.4 2-2-4. サーバ証明書取得URLの通知
- 2.2.5 2-2-5. 新サーバ証明書の取得
- 2.2.6 2-2-6. サーバ証明書のインストール
- 2.2.7 2-2-7. 新サーバ証明書の置き換え完了通知
- 2.2.8 2-2-8. 旧サーバ証明書の失効通知
- 2.2.9 2-2-9. 旧サーバ証明書の失効申請依頼再通知について
- 2.3 2-3. サーバ証明書失効申請手続き概要
- 2.3.1 2-3-1. 失効申請TSVファイルの作成
- 2.3.2 2-3-2. 失効申請TSVファイルの送付
- 2.3.3 2-3-3. 失効完了通知
- 2.1 2-1. サーバ証明書新規発行手続き概要
- 3 3. クライアント証明書管理手順
- 3.1 3-1. 証明書ダウンロード方法ごとの操作手順
- 3.2 3-2. クライアント証明書新規発行手続き概要
- 3.2.1 3-2-1. クライアント証明書新規発行(P12個別)
- 3.2.1.1 3-2-1-1. 発行申請TSVファイルの作成
- 3.2.1.2 3-2-1-2. 発行申請TSVファイルの送付
- 3.2.1.3 3-2-1-3. アクセスPIN取得URLの通知
- 3.2.1.4 3-2-1-4. アクセスPINの取得
- 3.2.1.5 3-2-1-5. アクセスPINの通知
- 3.2.1.6 3-2-1-6. ダウンロード完了通知メール受信
- 3.2.2 3-2-2. クライアント証明書新規発行(P12一括)
- 3.2.2.1 3-2-2-1. 発行申請TSVファイルの作成
- 3.2.2.2 3-2-2-2. 発行申請TSVファイルの送付
- 3.2.2.3 3-2-2-3. 証明書取得URLの通知
- 3.2.2.4 3-2-2-4. アクセスPIN取得URLの通知
- 3.2.2.5 3-2-2-5. アクセスPINの取得
- 3.2.2.6 3-2-2-6. クライアント証明書の取得
- 3.2.2.7 3-2-2-7. ダウンロード完了通知メール受信
- 3.2.2.8 3-2-2-8. アクセスPINの引き渡し
- 3.2.3 3-2-3. クライアント証明書新規発行(ブラウザ)
- 3.2.3.1 3-2-3-1. 発行申請TSVファイルの作成
- 3.2.3.2 3-2-3-2. 発行申請TSVファイルの送付
- 3.2.3.3 3-2-3-3. アクセスPIN取得URLの通知
- 3.2.3.4 3-2-3-4. アクセスPINの取得
- 3.2.3.5 3-2-3-5. ダウンロード完了通知メール受信
- 3.2.1 3-2-1. クライアント証明書新規発行(P12個別)
- 3.3 3-3. クライアント証明書更新発行手続き概要
- 3.3.1 3-3-1. クライアント証明書更新発行(P12個別)
- 3.3.1.1 3-3-1-1. 更新申請TSVファイルの作成
- 3.3.1.2 3-3-1-2. 更新申請TSVファイルの送付
- 3.3.1.3 3-3-1-3. アクセスPIN取得URLの通知
- 3.3.1.4 3-3-1-4. アクセスPINの取得
- 3.3.1.5 3-3-1-5. ダウンロード完了通知メール受信
- 3.3.1.6 3-3-1-6. 失効申請TSVファイルの送付
- 3.3.1.7 3-3-1-7. 失効完了通知
- 3.3.2 3-3-2. クライアント証明書更新発行(P12一括)
- 3.3.2.1 3-3-2-1. 更新申請TSVファイルの作成
- 3.3.2.2 3-3-2-2. 更新申請TSVファイルの送付
- 3.3.2.3 3-3-2-3. 証明書取得URLの通知
- 3.3.2.4 3-3-2-4. アクセスPIN取得URLの通知
- 3.3.2.5 3-3-2-5. アクセスPINの取得
- 3.3.2.6 3-3-2-6. クライアント証明書の取得
- 3.3.2.7 3-3-2-7. ダウンロード完了通知メール受信
- 3.3.2.8 3-3-2-8. アクセスPINの引き渡し
- 3.3.2.9 3-3-2-9. 失効申請TSVファイルの送付
- 3.3.2.10 3-3-2-10. 失効完了通知
- 3.3.3 3-3-3. クライアント証明書更新発行(ブラウザ)
- 3.3.3.1 3-3-3-1. 更新申請TSVファイルの作成
- 3.3.3.2 3-3-3-2. 更新申請TSVファイルの送付
- 3.3.3.3 3-3-3-3. アクセスPIN取得URLの通知
- 3.3.3.4 3-3-3-4. アクセスPINの取得
- 3.3.3.5 3-3-3-5. ダウンロード完了通知メール受信
- 3.3.3.6 3-3-3-6. 失効申請TSVファイルの送付
- 3.3.3.7 3-3-3-7. 失効完了通知
- 3.3.1 3-3-1. クライアント証明書更新発行(P12個別)
- 3.4 3-4. クライアント証明書の証明書失効申請手続き概要
- 3.4.1 3-4-1. 失効申請TSVファイルの作成
- 3.4.2 3-4-2. 失効申請TSVファイルの送付
- 3.4.3 3-4-3. 失効完了通知
- 4 4. コード署名用証明書管理手順
- 5 5. 本システムで扱うファイル形式
1. はじめに
1-1. 本書の範囲
本書では以下の(a、b、c、d、e、f、g、h、i、j、k、l)の作業について記述します。
マニュアル名 | 内容 |
証明書自動発行支援システム操作マニュアル(利用管理者用) | a.利用管理者が実施する本システムへのサーバ証明書発行申請・取得について(2-1に記載) b.利用管理者が実施する本システムへのサーバ証明書更新申請・取得について(2-2に記載) c.利用管理者が実施する本システムへのサーバ証明書失効申請について(2-3に記載) d.本システムへの申請アップロードフォーマットについて(5-3に記載) e.利用管理者が実施する本システムへのクライアント証明書発行申請・取得について(3-2に記載) f.利用管理者が実施する本システムへのクライアント証明書更新申請・取得について(3-3に記載) g.利用管理者が実施する本システムへのクライアント証明書失効申請について(3-4に記載) h.本システムへの申請アップロードフォーマットについて(5-4に記載) i.利用管理者が実施する本システムへのコード署名用証明書失効申請について(4-2に記載) j.本システムへの証明書アップロードフォーマットについて(5-5に記載) |
サーバ証明書インストールマニュアル※1 | k.CSRと鍵ペアの作成方法について l.サーバ証明書のインストール方法について |
証明書インストールマニュアル※2 | m.Webブラウザへの証明書のインストール方法について n.メーラーへの証明書のインストール方法について |
コード署名用証明書利用マニュアル※3 | o.CSRと鍵ペアの作成方法について p.コード署名用証明書のインストール方法について |
※1 以下のマニュアルを総称して「サーバ証明書インストールマニュアル」と呼びます。
・証明書自動発行支援システムサーバ証明書インストールマニュアル はじめに -サーバ証明書インストールマニュアルについて-
・証明書自動発行支援システムサーバ証明書インストールマニュアル Apache(mod_ssl)編
・証明書自動発行支援システムサーバ証明書インストールマニュアル IBM HTTPServer編
・証明書自動発行支援システムサーバ証明書インストールマニュアル IIS8.0・IIS8.5編
・証明書自動発行支援システムサーバ証明書インストールマニュアル IIS10.0編
・証明書自動発行支援システムサーバ証明書インストールマニュアル OpenLDAP編
・証明書自動発行支援システムサーバ証明書インストールマニュアル Tomcat編
・証明書自動発行支援システムサーバ証明書インストールマニュアル Nginx編
※2 以下のマニュアルを総称して「証明書インストールマニュアル」と呼びます。
・Webブラウザへのインストールマニュアル はじめに -Webブラウザへのインストールマニュアルについて-
・Webブラウザへのインストールマニュアル Internet Explorer・Edge・Chrome・Opera編 (Windows)
・Webブラウザへのインストールマニュアル Safari・Chrome・Opera編 (macOS)
・Webブラウザへのインストールマニュアル Firefox編 (Windows・macOS)
・Webブラウザへのインストールマニュアル Android編
・Webブラウザへのインストールマニュアル iOS編
・メーラーへのSMIME証明書インストールマニュアル はじめに -メーラーへのS/MIME証明書インストールマニュアルについて-
・メーラーへのSMIME証明書インストールマニュアル Microsoft Office Outlook編
・メーラーへのSMIME証明書インストールマニュアル Mozilla Thunderbird編
・メーラーへのSMIME証明書インストールマニュアル Apple Mail編
※3 以下のマニュアルを総称して「コード署名用証明書利用マニュアル」と呼びます。
・コード署名用証明書利用マニュアル はじめに -コード署名用証明書利用マニュアルについて-
・コード署名用証明書利用マニュアル 鍵ペアの生成とCSRの作成~ 証明書の申請から取得まで
・コード署名用証明書利用マニュアル Windows用(.exe,.cab,.dll)形式編
・コード署名用証明書利用マニュアル Windows PowerShell用スクリプト形式編
・コード署名用証明書利用マニュアル JAVA .jar形式編
・コード署名用証明書利用マニュアル Adobe AIR形式編
・コード署名用証明書利用マニュアル VBAマクロ形式編
・コード署名用証明書利用マニュアル Android用 .apk形式編
1-2. CSRとは
CSR(証明書発行要求:Certificate Signing Request)は証明書を作成するための元となる情報で、
その内容には、利用管理者が管理するSSL/TLS サーバの組織名、Common Name(サーバのFQDN)、公開鍵などの情報が含まれています。
NII では、利用管理者に作成いただいたCSR の内容を元に、証明書を作成します。CSRファイルは通常PEM形式で表示されます。
CSRをPEM形式で表示したフォーマットは以下のようなものとなります。
CSRの例 |
----BEGIN CERTIFICATE REQUEST---- |
1-3. 認証のパス
サービスでは、Web Trust for CAを取得した認証局(以下RootCAという)の下位CAとして、
・SECOM Passport for Member PUB CA8(個人認証用証明書、S/MIME用証明書の発行日時が2020年12月25日0時以降の場合)
・NII Open Domain CA - G7 RSA(サーバ証明書の発行日時が2020年12月25日0時以降の場合)
・NII Open Domain CA - G7 ECC(サーバ証明書の発行日時が2020年12月25日0時以降の場合)
・SECOM Passport for CodeSigning CA G2(コード署名証明書の発行日時が2021年5月31日0時以前の場合)および(コード署名証明書の発行日時が2021年5月31日0時以降の場合)
・NII Open Domain S/MIME CA(S/MIME用証明書の発行日時が2020年12月25日0時以前の場合)
・NII Open DomainCA–G4(サーバ証明書の発行日時が2018年3月26日14時以前の場合、個人認証用証明書の発行日時が2020年12月25日0時以前の場合)
より、サービス参加機関に対して証明書の発行を行います。
サービスで必要となる証明書の種類は以下の通りです。
役割 | 名称 | 解説 |
RootCA証明書
| Security Communication RootCA2 証明書 | Web Trust for CA基準の認定を取得したRootCA。主要なブラウザ、携帯電話、スマートフォンに登録されています。
|
RootCA証明書 | Security Communication RootCA3 証明書 | Web Trust for CA基準の認定を取得したRootCA。Microsoft Windowsに登録されています。 |
RootCA証明書 | Security Communication ECC RootCA1 証明書 | Web Trust for CA基準の認定を取得したRootCA。Microsoft Windowsに登録されています。 |
RootCA証明書
| SECOM Passport for Member RSA CA16 | 既存の中間CA証明書(PUB CA8)の有効期限切れに伴い、プライベートCA移行を目的として発行されたRootCA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。 |
中間CA証明書 | SECOM Passport for Member PUB CA8 | Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。 |
リポジトリ:https://repo1.secomtrust.net/spcpp/pfm20pub/index.html | ||
中間CA証明書 | SECOM Passport for PublicID SMIME RSA CA 2023 | S/MIME証明書のBR有効化に伴い、BR要件を満たした中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。 |
リポジトリ:https://repo1.secomtrust.net/spcpp/pfm20pub/index.html | ||
中間CA証明書 | NII Open Domain CA - G7 RSA | Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。 |
リポジトリ:https://repo1.secomtrust.net/sppca/nii/odca4/index.html | ||
中間CA証明書 | NII Open Domain CA - G7 ECC | Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。 |
リポジトリ:https://repo1.secomtrust.net/sppca/nii/odca4/index.html | ||
中間CA証明書 | SECOM Passport for CodeSigning CA G2 | Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。 |
リポジトリ:https://repo1.secomtrust.net/spcpp/pfm20pub/index.html | ||
中間CA証明書
| NII Open DomainCA –S/MIME証明書(SHA-2認証局) | Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。 |
リポジトリ:https://repo1.secomtrust.net/sppca/nii/odca3/index.html | ||
中間CA証明書
| NII Open DomainCA –G4証明書(SHA-2認証局) | Web Trust for CA基準の認定を受けた認証局から発行された中間CA証明書。この証明書を持つ認証局から、サービス参加機関への証明書発行を行います。 |
リポジトリ:https://repo1.secomtrust.net/sppca/nii/odca3/index.html |
2. サーバ証明書管理手順
本章では利用管理者のサーバ証明書の各種手続きの流れについて記述します。
サーバ証明書の新規発行が必要な場合は「証明書新規発行」を行ってください。
既にサーバ証明書を本システムから発行していて、サーバ証明書の更新、失効された証明書の再発行を行う場合は「証明書更新発行」を行ってください。
サーバ証明書の失効を行う場合は「証明書失効」を行ってください。
手続きの種別 | 手続きを行う主な機会 |
証明書新規発行
| 新規にサーバ証明書の発行を必要とする場合。 |
サーバ証明書の記載内容(主体者DN)を変更する場合。 | |
証明書更新発行
| サーバ証明書の(主体者DN以外の)記載内容を変更する場合。 |
有効期限内の証明書を継続利用したい場合。 | |
有効期限の切れた証明書を継続利用したい場合。 | |
失効されたサーバ証明書の再発行を行う場合。 | |
証明書失効 | サーバ証明書が不要になった場合や秘密鍵が危殆化した場合。 |
2-1. サーバ証明書新規発行手続き概要
本章では利用管理者のサーバ証明書新規発行手続きの流れについて記述します。
利用管理者は以下の手続きにより証明書の新規申請・取得を行います。
サーバ証明書新規発行手続き概要 |