ACMEプロトコル対応証明書の申請について

はじめに

　サーバ証明書の最大有効期間が2026年3月から段階的に短縮され、最終的に2029年3月15日以降は47日となります。
　このことにより、証明書の更新作業の頻度が増えるため、順次ACMEプロトコル対応証明書に切り替えを行っていただくこととなります。

　※ 現行の証明書の申請は、引き続き今まで通り申請システムから申請を行ってください。

ACMEプロトコル対応証明書の申請について

　申請内容および証明書発行方法が従来の申請方法から変更になっているため、従来の申請とは別のACME_申請者用アプリで申請を受け付けいたします。 （教職員の UTokyo Account での認証が必要です。）

• 現在UPKIサーバ証明書をご利用いただいている場合でも、ACME対応用の最初の申請時の申請種別は"更新"ではなく"新規"で申請してください。
• 申請時にCSRファイルを作成してお送りいただく必要はなくなりました。
• ACME証明書に移行完了した場合は、現在の証明書について申請システムで失効申請を行ってください。

申請から証明書設定までの流れ

1. 申請者がACME_申請者用アプリ で申請を行う。
2. TLRA担当者またはTRA担当者が申請内容の審査を行い、TRA責任者の承認後にACMEプロトコル認証情報（EAB）を発行し、ACME_申請者用アプリ上でお渡しいたします。
3. 申請者は、以下に掲載している参考資料などをご参照いただき、ACMEクライアントツールを導入。
4. ACMEクライアントツールでEAB情報を送信してACMEアカウントを作成。
5. ACMEクライアントツールを実行し、サーバ証明書を発行。
6. サーバ証明書を配置。

TLRA担当者の方へ

　TLRA担当者の方は、ACME_TLRA担当者用アプリで申請内容の審査・承認を行ってください。 TLRA担当者として登録されている方のみご利用可能です。 TLRA担当者なのにアクセスができない場合は情報基盤センターPKIにご連絡ください。

　現行の申請システムにあった事前審査の流れはご用意しておりません。申請内容に不備があった場合は、TLRA備考欄に不備の内容をご記入いただき差戻しを行ってください。

参考資料

• 【重要】UPKI電子証明書発行サービス、ACMEプロトコル対応のお知らせ
  （NII 国立情報学研究所提供資料）
  
  • 電子証明書発行サービスにおけるACE導入について(NIIサービスキャラバン2025資料)
  • ACMEクライアントツールによるサーバ証明書管理手順（利用管理者向け）
• 参考）UPKI-certbot-HTTP-01チャレンジ対応(設定例)
• 参考）UPKI-certbot-DNS-01チャレンジ対応(設定例)
• ACMEサーバ証明書申請者用アプリ利用マニュアル
• ACMEサーバ証明書TLRA担当者用アプリ利用マニュアル