クライアント証明書の発行サービスについて
JAISTは国立情報学研究所 (以下 NII) のUPKIサービスに加入し、クライアント証明書発行サービスを提供しています。
このクライアント証明書を使用することによって、学外からのVPN接続やユーザアカウントのパスワードの変更などの高いセキュリティが必要なサービスを利用することができるようになります。
クライアント証明書の利用を希望する本学の教職員/学生は、以下の手順でクライアント証明書の発行/更新/失効を行うことができます。それと同時に、発行されたクライアント証明書を適切に管理する義務を負います。
クライアント証明書で利用できるサービス
クライアント証明書をWEBブラウザやメールソフト等にインポートすることによって、以下のようなものを利用できるようになります。
- SSL-VPNの利用
- 無線LAN (JAIST, eduroam) の利用
- 電子署名付きメール、暗号化メールの利用(S/MIME)
- JAIST内で使用するパスワードの変更
クライアント証明書の取り扱いについて
クライアント証明書は、対となる秘密鍵と共に、アプリ(Webブラウザ、メールソフト等) にインポートして使用され、ユーザ自身を証明する目的で利用されます。そのため、秘密鍵を含んだ証明書が他人の手に渡ることのないよう、取り扱いには十分注意してください。秘密鍵が盗まれると、本人に成りすまされ、情報の漏洩、改ざん等の発生へとつながります。万が一、他人に渡ってしまった場合、またはその可能性がある場合等には、速やかに電子証明書の失効手続きを行ってください。
- 他人への譲渡、共通のアカウントで使用されているような共用PC、素性のよく分からないPC等へのインポートを行わない。
インポートされた証明書等に他人がアクセスできてしまう環境下では、簡単に秘密鍵を盗み取られてしまいます。本人以外がアクセスできない信用のおけるPC等でのみクライアント証明書を利用するようにしてください。 - クライアント証明書をエクスポートする際は、適切なパスワードで保護する。
Webブラウザやメールソフト等にインポートされている証明書をエクスポートして取り出す際には、必ず適切なパスワードをつけて保存してください。パスワード無し、簡単、単純なパスワードで保存した場合、簡単に秘密鍵が奪われてしまいますので、適切なパスワードで保護してください。 - 他人から見えるようなフォルダ(場所) に証明書を置かない。
エクスポートされた秘密鍵を含んだファイルは、他人がアクセスできない場所に保管してください。パスワードで保護されていたとしても、パスワードが破られる可能性はありますので十分気をつけてください。
クライアント証明書のダウンロードに使用できるWebブラウザ
UPKIサイトから証明書をダウンロードする際に使用可能なWebブラウザは次の通りです。
証明書のダウンロードはPC(Windows, macOS)で行うことを推奨します。
【Windows】
- Google Chrome 84以降
- Microsoft Edge Chromium
- Firefox
- Microsoft Internet Explorer 11 (事前にIEの設定変更が必要となります) (2020年8月末頃より問題が発生し、利用不可の状況です)
【macOS】
- Google Chrome 84以降
- Firefox
- Apple Safari
クライアント証明書の発行手順
【証明書を発行する前に】
クライアント証明書には申請者のメールアドレス情報が含まれています。メールアドレスの変更を行う予定がある場合は、発行前に変更してください。証明書発行後にメールアドレスを変更した場合、速やかに証明書の再取得(失効→発行) を行ってください。
クライアント証明書は、以下の操作を行うことで取得できます。
- J-UPKIシステム(SSL-VPNを含む学内LANからのみアクセス可)より発行申請を行う
- J-UPKIシステムからUPKIのWebサイトにアクセスし、証明書をダウンロードする
- ダウンロードした証明書を端末/アプリにインポートする
詳しくは証明書の発行手順のページをご覧ください。
| OS種別 | アプリ等 | インポートされた証明書の保管場所 (各アプリの参照先) |
|---|---|---|
| Windows | Windows OS (無線LAN(JAIST, eduroam)の設定等で使用) | Windows証明書ストア (Windowsのコントロールパネル → インターネットオプション → コンテンツ → 証明書) |
| Microsoft Edge | ||
| Google Chrome | ||
| Internet Explorer | ||
| Firefox | Firefox内の証明書マネージャ (オプション → プライバシーとセキュリティ → 証明書を表示) | |
| macOS | macOS (無線LAN(JAIST, eduroam)の設定等で使用) | キーチェーンアクセス.app (アプリケーションフォルダ → ユーティリティ → キーチェーンアクセス.appを起動) |
| Safari | ||
| Google Chrome | ||
| Firefox | Firefox内の証明書マネージャ (設定 → プライバシーとセキュリティ → 証明書を表示) |
クライアント証明書の失効手順
電子証明書(クライアント証明書)を失効すると、現在お使いの証明書はご利用いただけなくなります。
再度発行する予定の場合は、再びJ-UPKIシステムにアクセスできる環境を整えてから失効作業を行ってください。
学内の場合
失効後しばらくすると、証明書を認証に利用している学内Wi-Fi(SSID:JAIST/eduroam)が使えなくなります。速やかに再発行の作業を行うか、有線LANやJAISTALLなど証明書を使わない学内ネットワークが利用できる環境をご準備のうえ、失効作業を行ってください。
学外の場合
電子証明書を失効すると、その電子証明書をJAIST-SSOの認証要素として使えなくなるため、SSL-VPN接続ができなくなる恐れがあります。ワンタイムパスワード(OTP)やFIDO2認証などでSSL-VPN接続を行える環境をご準備の上、失効作業を行ってください。
発行済みのクライアント証明書の失効手続きを行えます。クライアント証明書の鍵やp12ファイルが他人に渡ってしまった場合等には速やかに失効手続きを行ってください。
- J-UPKIシステムにアクセスし、ログインする。
※J-UPKIシステムへは学内ネットワーク(もしくはSSL-VPNサービスを利用して)からのみアクセス可能です。 - 失効 / Revoke をクリックする。
- 失効理由を選択し、失効を実行([OK]をクリック)する。
失効処理には30分程度かかるかもしれません。
長時間待っても失効処理が終わらない場合は、情報社会基盤研究センターまでご連絡ください。
※失効した証明書は、メールの暗号化などに利用している場合を除き、OS/ブラウザ等から削除することをお薦めします。
クライアント証明書の更新手順
この操作は、有効な発行済み証明書の有効期限の約30日前になると行えるようになります。
- J-UPKIシステムにアクセスし、ログインする
※J-UPKIシステムへは学内ネットワーク(もしくはSSL-VPNサービスを利用して)からのみアクセス可能です。 - [ 更新 ] をクリックする。
- 以降、証明書の発行手順 の5(アクセスPINの確認と証明書のダウンロード)以降をご覧ください。
各種操作手順
- 証明書の発行手順
- 証明書の有効/失効確認方法
- 証明書のインポート・エクスポート手順
- 各種Webブラウザへの証明書インポートマニュアル (NII提供マニュアル)
- 各種メールソフトへの証明書インポートマニュアル (NII提供マニュアル)