利用管理者(サーバ管理者)の手続き


手続の流れ


【連絡事項】
・Webサイトの信頼性を担保する認証局とブラウザベンダーで構成される「CA/Browser Forum」において、TLSサーバ証明書の最大有効期間を現行の398日から、段階的に47日へと短縮していくことが決定されました 。(本変更は、証明書の不正利用リスクを低減し、ウェブ全体のセキュリティを向上させることを目的としているとのことです。)この変更はすべての認証局が従う必須の要件であり、NIIが提供する証明書発行サービスも例外なく対象となります。

<有効期間短縮スケジュール>
【発行日】           【最大有効期間】
        ~ 2026年3月14日 : 398日(現行)
2026年3月15日 ~ 2027年3月14日 : 200日
2027年3月15日 ~ 2029年3月14日 : 100日
2029年3月15日 ~         : 47日
NIIでは証明書の発行・更新を自動化するACMEプロトコルを利用した仕組みを準備中ですが、既存のTSVファイルによる申請手続きは当面維持するとのことですので、本学UPKI担当から新方法による対応についてのお知らせがあるまでは、従来どおりのTSVファイルによる申請手続きで証明書の手続きを行ってください。
・主体者DNについてはOUの項目は外す方針としています。
・本学の機関名称(英語)の変更に伴い、申請時は新しいO項目(O=The University of Osaka)での申請手続きが必要になります。

  1. TSVファイル作成と部局申請担当者への提出

    時期 申請ケース 作成するTSVファイル
    2024年10月~2024年12月 機関名称変更手続き後の
    証明書修正     		新規用TSV
    2024年9月迄と2025年1月以降 更新
    更新用TSV+失効用TSV
    (同時に提出)

    ※ただし、2024年10月~2024年12月に新機関名への変更対応を行っていない場合は新規用TSVを提出→新機関名への変更が完了した後は、それ以降の更新は更新用TSV+失効用TSVを提出
    2024年9月迄と2025年1月以降 新規 新規用TSV
    2024年9月迄と2025年1月以降 利用終了 失効用TSV


  2. NII(CAサポートセンター)からの通知メールを受領
    新サーバ証明書・中間証明書等を取得

  3. 新サーバ証明書への置き換え作業

  4. 部局申請担当者への置き換え完了報告
    ※NII側のデータ登録状態を修正するため、既に証明書の期限が過ぎている場合でも置き換え完了報告は行ってください。
     また、証明書の利用を終了する際は、失効用TSVを提出してください。

    5. 新しい証明書に置き換える場合は必ず上記1~4までの手続きを進めてください。(4は置き換え後、古い証明書の処理のため必要な作業です。)
    手順を守られない場合は次回より受付出来かねます。


マニュアル・ツール類


「サーバ証明書インストールマニュアル」※事前準備~証明書の申請から取得までの案内
「TSVツール」※TSVの自動作成ツール(更新用TSV、失効用TSV、新規用TSVの作成が可能です。下記の★よくあるエラーに記載の注意点などを確認の上で、ご活用ください。)

TSVファイルについて



TSVファイル作成時の注意点について


  1. 更新用・失効用TSV作成時の証明書シリアル番号については下記の★よくあるエラー1番の「※証明書のシリアル番号がわからない場合」に記載の方法で確認してください。
    (Webサイト等から16進数をコピーした場合などは、16進数のフォーマット誤り、転記ミス・加工ミス、確認箇所の誤りなど問題が生じることが多いため、シリアル番号は極力上記の方法で取得してください。)
  2. 証明書の更新期限は前回更新日により異なります。有効期間は1年+30日のため各自ご確認ください。
  3. DN項目の「OU」については含めない対応となります。手続の流れを確認し適切なTSVを作成してください。提出先は各部局申請担当者(=各部局ネットワーク担当者)※です。
    (※https://www.odins.osaka-u.ac.jp/wp-content/uploads/on-campus/documents/05_member/member.pdf
  4. NIIのチェック時に証明書情報として L=Suita-shi ST=Osaka が固定値として双方必須になっておりますのでご注意ください。機関名称変更手続き以降(2024年10月以降)はO=The University of Osakaです。
  5. 証明書の利用を終了し更新しない場合でも、NII側データベースの登録状態を修正するため、失効申請ファイルの提出は必要です。(対象DNの失効申請TSVのみ提出してください。)
  6. 新証明書への置き換え作業完了後、必ず各部局申請担当者宛にご連絡願います。

★よくあるエラー


  1. 証明書シリアル番号の入力値誤り
    • ※証明書のシリアル番号がわからない場合
      現在ご利用中の証明書をNIIのTSV作成ツールで読み込むことでTSVファイルに反映できます。詳細は以下をご確認ください。
      シリアル番号確認(NIIのFAQサイト)
      →読み込む証明書データの確認方法がわからない場合はこちらの参考資料もご確認ください。

    • ※シリアル番号のフォーマットについて
      • 10進数の場合
        例) 1234567812345678123
      • 16進数の場合
        例) 0x112210E261FEC92B
        半角英字は大文字小文字どちらも使用できます。※16進数の場合は先頭に[0x]が必要ですが、フォーマット誤り、転記ミス・加工ミス、確認箇所誤りなど問題が多いため、極力「シリアル番号確認(NIIのFAQサイト)」の方法で反映させてください。


  2. dNSNameの入力値誤り
    • 必須項目ではありませんが、入力する場合はdNSName=XXXの形式です。(dNSName=という文字列が入力値の最初に必要。
  3. Lの入力値誤り
    • 主体者DNに設定する「L」は、L=Suita-shiです。(※-shiが抜けている場合がある。)
  4. TSVフォーマットの誤り
  5. 過去に発行済みの証明書で使用されていた鍵ペア・CSRの再利用によるエラー
ページトップへ

お問い合わせはこちら

大阪大学 UPKIお問い合わせフォーム

ページトップへ