UPKI電子証明書 | 鳥取大学情報戦略機構ナレッジベース

概要

本学は国立情報学研究所（NII）が提供しているUPKI電子証明書発行サービス（NII公式サイト）に参加しています。
下記申請手続きにより、サーバ証明書、クライアント証明書（準備中）を発行することができます。

お知らせ

Webサイトの信頼性を担保する認証局とブラウザベンダーで構成される「CA/Browser Forum」において、TLSサーバ証明書の最大有効期間を現行の398日から、段階的に47日へと短縮することが決定されました。本サービスで発行するサーバ証明書の最大有効期間も、変更されます。詳細はサーバ証明書有効期間短縮のお知らせをご覧ください。

有効期間の短縮スケジュール

発行日最大有効期間

～ 2026年3月14日 398日

2026年3月15日～ 2027年3月14日 200日

2027年3月15日～ 2029年3月14日 100日

2029年3月15日～ 47日

本学においても、ACMEへの移行を検討中です。決まり次第、連絡します。

発行日	最大有効期間
～ 2026年3月14日	398日
2026年3月15日～ 2027年3月14日	200日
2027年3月15日～ 2029年3月14日	100日
2029年3月15日～	47日

対象

申請者が常勤の教職員である
FQDNが tottori-u.ac.jp で終わる

利用方法

新規、または更新申請の場合

後述の「CSRを作成するコマンド例」などを参考にCSRを作成後、下記ページから申請してください。
新規、更新申請のどちらでも同じ申請ワークフローを用いて同じ手順になります。
更新の場合、秘密鍵、CSRは過去のものを流用せず、新たに作成してください。

発行申請〜インストール

※ 更新申請 の場合、旧証明書の失効申請（下記の「失効申請の場合」の作業）は不要です。
　（実施主体であるNIIに確認し、漏洩などで失効を急ぐ必要がなければ失効処理はせずにそのままでよい旨の回答を得ています。ただし、失効処理しない旧証明書は、有効期限まで通知メールが届く仕様となります。通知メールはそのまま無視してください。）

失効申請の場合

失効申請フォーム

※ 更新申請 の場合、旧証明書の失効申請は不要です。
　（サーバの完全停止、秘密鍵の漏洩等で緊急を要する場合のみ、当該ページより申請してください。）

利用マニュアル

インストールマニュアル

サーバ証明書インストールマニュアル
※中間CA証明書は、RSA鍵で秘密鍵を作成した場合はRSA認証局、ECDSA鍵で秘密鍵を作成した場合はECC認証局のものを利用してください。
CSRの作成方法

CSRを作成するコマンド例（opensslを利用する場合）

秘密鍵、CSR、FQDN、パスフレーズは次のとおりとします。

秘密鍵: example.key
CSR: example.csr
FQDN: example.tottori-u.ac.jp
パスフレーズ: hogehoge

秘密鍵の作成

RSAの場合（2048 bitの RSA 鍵ペア、128 bit の AES 暗号アルゴリズム）

$ openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -aes128 -out example.key

ECDSAの場合（384 bitの ECDSA 鍵ペア、128 bit の暗号アルゴリズム）

$ openssl genpkey -algorithm EC -pkeyopt ec_paramgen_curve:secp384r1 -aes128 -out example.key

作成した秘密鍵の確認

$ openssl pkey -noout -text -in example.key

CSRの作成

RSAの場合（sha256WithRSAEncryption の署名アルゴリズム）

$ openssl req -new -key example.key -sha256 -out example.csr -subj "/C=JP/ST=Tottori/L=Tottori/O=Tottori University/CN=example.tottori-u.ac.jp"

ECDSAの場合（ecdsa-with-SHA384 の署名アルゴリズム）

$ openssl req -new -key example.key -sha384 -out example.csr -subj"/C=JP/ST=Tottori/L=Tottori/O=Tottori University/CN=example.tottori-u.ac.jp"

作成したCSRの確認

$ openssl req -noout -text -in example.csr

CSRに記述するDNのルール

※ Locality Name（L）は「Tottori」、Organizational Unit Name（OU）は「.（ドット）」を入力してください。（2020/12/25より変更となりました。）

CSRに記述するDNのルール

項目	入力文字
Country Name	JP
State of Province Name	Tottori
Locality Name	Tottori
Organization Name	Tottori University
Organization Unit Name	.
Common Name	（サーバ名のFQDN）
Email Address	.
A challenge password	.
An optional company name	.

入力例（情報戦略機構ナレッジベース（kb.oism.tottori-u.ac.jp）の場合）

項目	入力文字
Country Name	JP
State of Province Name	Tottori
Locality Name	Tottori
Organization Name	Tottori University
Organization Unit Name	.
Common Name	kb.oism.tottori-u.ac.jp
Email Address	.
A challenge password	.
An optional company name	.