menu

クライアント証明書の発行サービスについて

JAISTは国立情報学研究所 (以下 NII) のUPKIサービスに加入し、クライアント証明書発行サービスを提供しています。

このクライアント証明書を使用することによって、学外からのVPN接続やユーザアカウントのパスワードの変更などの高いセキュリティが必要なサービスを利用することができるようになります。

 

クライアント証明書の利用を希望する本学の教職員/学生は、以下の手順でクライアント証明書の発行/更新/失効を行うことができます。それと同時に、発行されたクライアント証明書を適切に管理する義務を負います。

 

 

クライアント証明書で利用できるサービス

クライアント証明書をWEBブラウザやメールソフト等にインポートすることによって、以下のようなものを利用できるようになります。

 

 

クライアント証明書の取り扱いについて

クライアント証明書は、対となる秘密鍵と共に、アプリ(Webブラウザ、メールソフト等) にインポートして使用され、ユーザ自身を証明する目的で利用されます。そのため、秘密鍵を含んだ証明書が他人の手に渡ることのないよう、取り扱いには十分注意してください。秘密鍵が盗まれると、本人に成りすまされ、情報の漏洩、改ざん等の発生へとつながります。万が一、他人に渡ってしまった場合、またはその可能性がある場合等には、速やかに電子証明書の失効手続きを行ってください。

 

  1. 他人への譲渡、共通のアカウントで使用されているような共用PC、素性のよく分からないPC等へのインポートを行わない。
    インポートされた証明書等に他人がアクセスできてしまう環境下では、簡単に秘密鍵を盗み取られてしまいます。本人以外がアクセスできない信用のおけるPC等でのみクライアント証明書を利用するようにしてください。
  2. クライアント証明書をエクスポートする際は、適切なパスワードで保護する。
    Webブラウザやメールソフト等にインポートされている証明書をエクスポートして取り出す際には、必ず適切なパスワードをつけて保存してください。パスワード無し、簡単、単純なパスワードで保存した場合、簡単に秘密鍵が奪われてしまいますので、適切なパスワードで保護してください。
  3. 他人から見えるようなフォルダ(場所) に証明書を置かない。
    エクスポートされた秘密鍵を含んだファイルは、他人がアクセスできない場所に保管してください。パスワードで保護されていたとしても、パスワードが破られる可能性はありますので十分気をつけてください。

 

 

 

クライアント証明書のダウンロードに使用できるWebブラウザ

UPKIサイトから証明書をダウンロードする際に使用可能なWebブラウザは次の通りです。

証明書のダウンロードはPC(Windows, macOS)で行うことを推奨します。

 

【Windows】

  • Google Chrome 84以降
  • Microsoft Edge Chromium
  • Firefox
  • Microsoft Internet Explorer 11 (事前にIEの設定変更が必要となります) (2020年8月末頃より問題が発生し、利用不可の状況です)

【macOS】

  • Google Chrome 84以降
  • Firefox
  • Apple Safari

 

 

クライアント証明書の発行手順

【証明書を発行する前に】
クライアント証明書には申請者のメールアドレス情報が含まれています。メールアドレスの変更を行う予定がある場合は、証明書の発行前にメールアドレスを変更してください。証明書発行後にメールアドレスを変更した場合、速やかに証明書の再取得(失効→発行) を行ってください。

 

クライアント証明書は以下の操作を行うことで取得できます。

  1. J-UPKIシステム(SSL-VPN接続を含む学内LANからのみアクセス可)より発行申請を行う
  2. J-UPKIシステムからUPKIのWebサイトにアクセスし、証明書をダウンロードする
  3. ダウンロードした証明書を端末/アプリにインポートする

 

詳しくは証明書の発行手順のページをご覧ください。

証明書の発行手順

 

 

【参考】アプリ毎の電子証明書保管先
OS種別アプリ等インポートされた証明書の保管場所 (各アプリの参照先)
Windows




Windows OS (無線LAN(JAIST, eduroam)の設定等で使用)Windows証明書ストア (Windowsのコントロールパネル → インターネットオプション → コンテンツ → 証明書)



Microsoft Edge
Google Chrome
Internet Explorer
FirefoxFirefox内の証明書マネージャ (オプション → プライバシーとセキュリティ → 証明書を表示)
macOS



macOS (無線LAN(JAIST, eduroam)の設定等で使用)キーチェーンアクセス.app (アプリケーションフォルダ → ユーティリティ → キーチェーンアクセス.appを起動)


Safari
Google Chrome
FirefoxFirefox内の証明書マネージャ (設定 → プライバシーとセキュリティ → 証明書を表示)

 

 

クライアント証明書の失効手順

※電子証明書を失効後、再度発行する予定の場合は、再びJ-UPKIシステムにアクセスできる環境を整えてから失効作業を行ってください。
学内の場合…失効後しばらくすると、証明書を認証に利用している学内Wi-Fi(SSID:JAIST/eduroam)が使えなくなります。速やかに再発行を行うか、有線LANやJAISTALLなどの利用を準備のうえ、失効作業を行ってください。
学外の場合…電子証明書を失効すると、その電子証明書を認証要素としてのSSL-VPN接続ができなくなります。ワンタイムパスワード(OTP)FIDO2認証などでSSL-VPN接続を行えることを確認してください。

発行済みのクライアント証明書の失効手続きを行えます。クライアント証明書の鍵やp12ファイルが他人に渡ってしまった場合等には速やかに失効手続きを行ってください。


  1. J-UPKIシステムにアクセスし、ログインする。※J-UPKIシステムへは学内ネットワーク(もしくはSSL-VPNサービスを利用して)からのみアクセス可能です。
  2. [ 失効 ] をクリックする。
  3. 失効理由を選択し、失効を実行([OK]をクリック)する。

失効処理には30分程度かかるかもしれません。

長時間待っても失効処理が終わらない場合は、情報社会基盤研究センターまでご連絡ください。

 

 

クライアント証明書の更新手順

この操作は、有効な発行済み証明書の有効期限の約30日前になると行えるようになります。

  1. J-UPKIシステムにアクセスし、ログインする (IEを使用する場合は要事前設定)。※J-UPKIシステムへは学内ネットワーク(もしくはSSL-VPNサービスを利用して)からのみアクセス可能です。
  2. [ 更新 ] をクリックする。
  3. 以降、【発行手順】 の手順3以降と同じ手順です。