UPKI Server Certificate Issuance Service

Basic Information

This is a service to issue a server certificate that can be used at uec.ac.jp through the UPKI digital certificate issuing service of the National Institute of Informatics.The issued server certificate can be used for general applications that use TLS (SSL), such as HTTPS.

証明書の新規発行・更新手順

  1. 申請書の提出

Hint

証明書の新規発行と更新の手続きは同じです. 更新時にも FQDNの存在やドメイン管理者の確認が義務付けられています. 申請書の提出 をお願いいたします.

Fill out the UPKI SSL サーバ証明書申請書 in the 情報基盤センター申請書一覧 , and submit it to the Information Technology Center Office (4th floor, East Bldg. 3).Please remember to bring your identification card as we will verify your identity.

For use in research and education:

Both the certificate manager and the application manager on the application form should be .full-time faculty members.

For use in student circle activities, etc.:

The certificate manager’ on the application form can be a student. The `application manager should be a full-time faculty member (advisor or administrative staff) who is in a position to supervise the organization.

Based on the application form, the Information Technology Center will confirm the existence of the FQDN (server name) with the domain administrator of the FQDN.After confirming the existence of the certificate, the application will be reviewed and the result will be sent to the UEC account of the certificate manager and the applicant in charge by e-mail.

  1. CSR (Certificate Signing Request, 証明書署名要求) の作成

管理責任者は 事前準備〜証明書の申請から取得まで に沿って 鍵長が2048bitsの鍵ペア を作成してください.

Caution

証明書 更新時 も,必ず 新しい鍵ペア(秘密鍵,公開鍵) を作成してください.

作成した鍵ペアを使って CSR を作成してください. CSR を作成する際は 主体者 DN の入力が必要です.以下を入力してください.

Attribute Name

What to enter

C

JP

ST

tokyo

L

chofu

O

The University of Electro-Communications

CN

Server’s FQDN (host name)

Email

Blank (Specify in the next step.)

Hint

  • 2022年7月26日より,主体者DNのOU属性は廃止 されました.主体者DNにOU属性があるCSRは受理されませんので,OU属性はつけないでください

  • To enter a blank field in OpenSSL, enter 「.」 (half-width period).

  1. TSV の作成

Create a TSV file based on the CSR that you have just created, following the procedure described in 2.2.1.サーバ証明書 in the TSV作成ツール操作マニュアル.

  1. Access the TSVツール and click 作成開始.

  2. TSVファイルの種別 を次の場合に応じて選択し,この内容で作成開始 を押してください.

Hint

新規発行申請用TSV

  • サーバ証明書を 新規発行 する場合

  • 2022年7月26日以前 に発行され,かつ 主体者DNにOU属性を含む サーバ証明書を 更新 する場合

更新申請用TSV

  • 2022年7月27日以降 に発行されたサーバ証明書を 更新 する場合

  • 2022年7月26日以前 に発行され,かつ 主体者DNにOU属性を含まない サーバ証明書を 更新 する場合

Hint

サーバ証明書の更新時に入力する 失効対象証明書シリアル番号 は, 10進数値 もしくは, 頭に「0x」を付加した16進数値 で入力してください. 詳しくは UPKI-FAQ サーバ証明書のシリアル番号を確認したい をご覧ください.

  1. Load the CSR file. In addition, please enter the missing information as follows to create the TSV.

    • The required fields are 利用管理者 Email and Webサーバソフトウェア名等.

    • Although 利用管理者氏名 and 利用管理者所属r are not required, they will be embedded in the body of the mail as the address of the mail sent from the application system, so please enter them as much as possible.

    • Please enter only one-byte characters for 利用管理者 Email.

    • 利用管理者氏名, 利用管理者所属, Webサーバソフトウェア名等 can be entered in both single-byte and double-byte characters.

    • You will receive an email notification of the issue to the email address you entered in the 利用管理者 Email field. Please make sure to enter an e-mail address that can be received.

    • Enter the name of the HTTP server or other software that uses the server certificate in Webサーバソフトウェア名等.

    • (オプション) 同一計算機・同一 OS でホスト名が異なる複数のサーバで一つの証明書を利用する 場合, dNSName の項目を以下の例のように指定してください. dNSName=aaa.example.ac.jp,dNSName=bbb.example.ac.jp

  1. TSVファイルの送付

前の手順で生成した TSV ファイルを,情報基盤センターにメールでお送りください. 送付先は, 手順 1. のメールでお知らせします.

提出された TSV ファイルに基づいて,情報基盤センターの担当者が証明書の発行組織(認証局)に 発行申請を行います.TSV ファイルに誤りがあった場合は,適宜,修正を依頼します.

  1. サーバ証明書と中間CA証明書のダウンロード

認証局にて申請が受理され,処理が完了すると, 手順 3. で TSV ファイルに入力した 利用管理者 Email に 通知が送られます.通知本文に,サーバ証明書中間CA証明書 のダウンロード リンクが埋め込まれていますので保存してください.

Caution

The valid intermediate CA certificate differs depending on whether the server certificate is issued after 19:00 on March 26, 2018 or before 14:00 on March 26, 2018.Please check carefully before use.

  1. Install the server certificate (User)

Please follow the サーバー証明書インストールマニュアル to install the server certificate and intermediate CA certificate on your server.After installation, check the expiration date of the server certificate using a browser.

7 (更新時のみ) 古い証明書の失効

サーバ証明書のインストールが完了したら,作業が完了したサーバのFQDNを 情報基盤センターにご連絡ください.TSVファイルの作成は不要です.

注意事項

証明書の更新について

証明書の更新時にも,新規申請同様にFQDNの存在やドメイン管理者の確認が義務付けられています. 証明書の新規発行・更新手順 に沿って,申請書の提出をお願いいたします.

After setting up the updated certificate on the server, you need to revoke the old certificate.Please contact the Information Technology Center after completing the replacement of the certificate. It is not necessary to create a TSV file.

Note

When renewing or revoking a server certificate, the 失効対象証明書シリアル番号 should be a decimal value.If the value is a hexadecimal number, an error will occur.

About the replacement of certificates

The Information Technology Center does not provide support for key pair generation or installation of server certificates.Please refer to the web pages of the National Institute of Informatics (NII) and the texts available on the Internet and do the work by yourself.In particular, please be sure to check UPKI電子証明書発行サービス(国立情報学研究所).

If you want to use an SSL server certificate on a virtual domain server,

  • The SSL server certificate issued this time

  • The private key (server private key) used to create the TSV file

  • Intermediate certificate

Warning

Make sure to delete (cancel) the passphrase of the private key.

の 3 点を UEC Disk2 のチケットリンク または,電通大 Google Workspaceの Google ドライブにて共有し, URL を support@cc.uec.ac.jp にご連絡ください.

Certificate Expiration Date

The validity period of the server certificate is determined by the UPKI digital certificate issuing service of the National Institute of Informatics.Please note that the Information Technology Center will not be able to adjust the deadline.

Delay or Denial of Certificate Issuance

If you set a server name that could be used for phishing as the value of CN or SAN when creating a CSR,the issuance of the certificate will be delayed for legitimacy verification or, in some cases, disallowed.

The audit is conducted by a third-party certification authority.Please note that the Information Technology Center will not be able to provide reasons for delays or denials.

Although the CA does not disclose its criteria, it may delay or deny access to services that may be confused with widely used services such as Google, Microsoft, and Amazon.

FAQ