menu

【重要】クライアント証明書の失効について(2020年12月24日以前に発行の方)

お知らせ

 

 2020年12月24日以前に発行した電子証明書は2022年1月17日以降お使いいただけません。
(2020年12月25日以降に発行した証明書が使えない場合はこちらのページをご覧ください。)

 

現在、本学が利用しているUPKI電子証明書発行サービスにて中間認証局の切り替えが行われています。
昨年2020年12月25日以降に発行されたクライアント証明書(新証明書)は新しい中間認証局にて発行されていますが、 それ以前(2020年12月24日以前)に発行されたクライアント証明書(旧証明書)については、 中間認証局が失効されると同時に利用できなくなるため、新証明書に切り替えていただく必要があります。
旧証明書を利用している方は、以下の注意点に留意し、後述の手順に従って新証明書への切り替え作業を行ってください。

※証明書が利用できなくても問題ない場合(修了/異動する、証明書は使わない等)は、対応いただく必要はございません。
 また、ワンタイムパスワード(OTP)を登録済みの場合は、旧証明書の失効後もSSL-VPN接続により学内サービスを利用できます。
 もし学内に来ることが難しく、かつOTPをお持ちでない場合は、できるだけ早くOTP認証デバイスを登録してください。
※(2022/1/14追記) 旧中間認証局の失効予定日は2022年1月17日となります。詳細は以下のUPKIのお知らせをご覧ください。
 旧クライアント証明書中間認証局の失効について(2022年1月17日) | UPKI電子証明書発行サービス (nii.ac.jp)
 新証明書への切り替え作業に数日かかる場合があること、失効予定日直前は申請が集中すると考えられることなどから、早めに作業を行ってください。

[注意]

学内LANに接続、もしくはワンタイムパスワード(OTP)でSSL-VPN接続できることを予めご確認ください

新証明書を発行する前に、旧証明書を「失効」する手続きを行います。 失効後しばらくすると、クライアント証明書を利用するサービス(SSL-VPNや学内Wi-Fiなど)にて 旧証明書が利用できなくなります。特に学外の場合は、OTPやFIDO2でSSL-VPN接続ができることを確認のうえ、作業してください。(OTPについてはこちら

切り替え作業は時間に余裕を持って行ってください

証明書の発行・失効は通常時は30分程度で処理されておりますが、2021年4月頃より処理に数時間から数日かかるケースを確認しています。 処理時間を改善するようUPKI電子証明書発行サービスを提供している国立情報学研究所を通じて、認証局の運営業者に改善を申し入れていますが、 新型コロナ禍の中、改善に時間がかかることも想定されます。旧証明書の失効申請および新証明書の発行申請に相当の時間(数日単位)ががかかっても問題のない時に作業してください。
(2021/09/08追記) 失効処理に時間がかかっている証明書に対しては随時、処理が終わる前に新証明書を発行できるようにする作業を行っています。旧証明書の失効通知メールが届く前でも、新証明書の発行が行える場合がありますので、J-UPKIシステムをご確認ください。この場合、新証明書を取得後に旧証明書の失効通知メールが届く場合があります。

東京サテライトで切り替え作業を行う場合は、開室状況や利用制限などを必ずご確認ください

新型コロナウイルス感染症の感染拡大防止のため、東京サテライトは閉室や利用制限(事前の予約など)を行っている場合があります。
東京サテライトで証明書の切り替え作業を行う場合は、必ず事前に開閉室情報や利用制限をご確認ください。

UPKIサービスのメンテナンス中は証明書の発行・失効が行えません

証明書の失効・発行を行うJ-UPKIシステムは、国立情報学研究所(NII)のUPKIサービスを利用しています。このUPKIサービスがメンテナンスなどで利用できない間は、J-UPKIシステムもご利用いただけません。UPKIサービスのメンテナンス等のお知らせは以下のリンクからご確認ください。
お知らせ | UPKI電子証明書発行サービス (nii.ac.jp)

 

新証明書への切り替え手順

1.旧証明書を失効する

J-UPKIシステム(https://pki.jaist.ac.jp/, SSL-VPN接続又は学内LANが必要)にアクセスし、 失効 / Revoke のボタンから失効申請を行ってください。
失効申請が成功した場合、証明書情報のタブは"状態/Status"が「失効申請中」となります。
※注意に記載したとおり、旧証明書の失効処理には時間がかかる場合があります。

2.新証明書を発行する (画像付きの発行手順はこちら

失効が完了すると、J-UPKIシステムで発行申請が行えるようになります。 発行 / Issue のボタンをクリックし、発行申請を行ってください。
発行処理が終わると、J-UPKIシステム上に 証明書をダウンロード / Download certificate のボタンが表示されるので、これをクリックして国立情報学研究所の証明書発行サイトにアクセスします。
"クライアント証明書 ダウウンロード画面 【STEP2】"で  発行 を一度だけクリックし、p12ファイルをダウンロードします。
※発行のボタンは1度のみクリックしてください。クリック後、時間がかかる場合がありますが何もせずお待ちください。
※もしNIIの証明書発行サイトで"【STEP1】認証情報パスワードを入力"の画面が表示された場合はお問い合わせください。

3.新証明書をインポートする

旧証明書を利用していた全てのPC/タブレット端末/スマートフォンやWebブラウザ、アプリなどに新証明書をインポートしてください。
新証明書インポート時に必要なアクセスPIN(初期パスワード)はJ-UPKIシステムでご確認いただけます。
具体的なインポート手順については電子証明書のインポートのページから各マニュアルをご覧ください。
※旧証明書についてはメールの暗号化に使っている場合の除き、削除することを推奨します。

 

作業が難しい/不安がある場合は、ヘルプデスクスタッフがサポートします。
ヘルプデスクスタッフが在室の時間(カレンダーはこちら)に、情報社会基盤研究センター受付までお越しください。

 

【証明書切り替えに関するFAQ】
Q. 学外からでも切り替え作業はできますか?
A. 中間CA失効前(2022/1/17以前)は可能です。上記切り替え手順を行う前に、ワンタイムパスワード(OTP)を設定・利用し、SSL-VPN接続を行ってください。
 失効後(2022/1/17以前)はOTPを設定済みの場合は可能です。未設定の場合は学内にお越しいただく必要があります。

Q. 「パスワード」を求められます。何を入力すればいいですか?
A. FAQ「証明書を発行/インポートする際の「パスワード」とは何ですか?」をご覧ください。

Q. 失効処理が数日経っても完了しません。このまま待てばいいですか?
A. まず、J-UPKIシステムにアクセスし、"状態/Status"をご確認ください。
 「失効申請中 / Revoke Processing」ではなく「有効 / Valid」のままの場合は、失効申請が行われていません。再度上記手順1を行ってください。
 青い「発行 / Issue」ボタンがクリックできる場合は、上記手順2にお進みください。
 3営業日以上経っても「失効申請中 / Revoke Processing」の状態のままの場合は、センターまでお問い合わせください。

Q. 証明書更新後、JAIST-SSOでの認証(Webmail,SSL-VPNなど)に失敗します
A. 新証明書を認証に利用できていない可能性があります。「JAIST-SSOでログインに失敗する場合は」ページをご覧ください。

Q. 証明書更新後、学内Wi-Fi(SSID:JAIST,eduroam)に接続できません
A. 旧証明書を学内Wi-Fiの認証に利用していると考えられます。
  まず、「クライアント証明書の有効/失効確認方法」を参考に、証明書がOSにインポートされていることをご確認ください。
 その後、「Wi-Fi接続のための電子証明書の置き換え方法」を参考に、古いWi-Fiの設定を削除し、新しく設定し直した上で接続をお試しください。

Q. 証明書の有効期限はまだ先ですが、切り替え作業は必要ですか?
A. はい、必要です。2020年12月24日以前に発行した証明書は、有効期限に関わらずご利用いただけなくなります。

Q. 証明書の失効/発行処理中に学内ネットワークに接続したい場合、どうすればいいですか?
A. 学内の場合→有線LAN接続や、JAIST-ALLをご利用ください。
  学外の場合→OTPを使い、SSL-VPN接続を行ってください。

中間認証局の切り替えについての詳細は、以下の電子証明書発行サービス(UPKI)のWebページをご覧ください。
【重要・要対応】UPKI電子証明書発行サービス 中間認証局の切り替えについて
【重要・要対応】UPKI電子証明書発行サービス 中間認証局の切り替えについて(続報)
クライアント証明書中間認証局の切り替えについて(続報)
旧クライアント証明書中間認証局の失効について(2022年1月17日)

 

 

本件に関するご質問は情報社会基盤研究センターまで、お問い合わせフォームまたはメール(isc-query(at)ml.jaist.ac.jp)にてお願いいたします。

Back