東京大学情報基盤センターPKI

クライアント証明書の申請手続きについて

はじめに

 国立情報学研究所(NII)によるUPKI電子証明書発行サービスが発行するクライアント証明書(クライアント証明書用、S/MIME証明書用)は 普及啓蒙を目的として無料にて提供されるため、当面は負担金無しで発行申請が可能です。

運用規則(CP/CPS)

以下の文書には証明書申請者、TLRA責任者を含む利用者が遵守すべき規則が書かれています。

国立情報学研究所クライアント証明書サービスのための東京大学登録局の運用ポリシーおよび運用規則

注意事項

クライアント証明書は組織および個人を認証して発行する証明書です。特に 個人用のクライアント証明書とインストールするためのアクセスPINの両セット は必ず、利用者本人のみが知り得る情報として管理してください。例えば管理者が クライアント証明書とアクセスPINを取得するような運用は原則として避けてください。

クライアント証明書、S/MIME証明書は現在 部局登録局(TLRA) からの申請のみ受け付けております。 あなたが証明書を利用したいユーザーの場合は、まず所属のTLRAにご相談ください。以下の申請手順は、TLRAが行うことを想定されています。

発行されるクライアント証明書の概要

SECOM Security Communication RootCA2 をルートとし、国立情報学研究所オープンドメインSHA2認証局CA証明書 を中間証明書とするものになります。

クライアント証明書用の中間証明書はこちら→「国立情報学研究所 オープンドメイン SHA2認証局 CA証明書 」になります。

S/MIME証明書用の中間証明書はこちら→「国立情報学研究所 オープンドメイン S/MIME用 SHA-2認証局 」になります。

他の中間証明書の取得はこちらから→ 「国立情報学研究所オープンドメイン認証局リポジトリ」

新規・更新申請手順

1

本人確認方法や発行枚数、PINの受渡方法について事前確認を行うため、 申請前に東京大学情報基盤センターPKIまで必ずご相談ください。

2

クライアント証明書発行申請書(こちらからダウンロードしてください)に必要な記載をして東京大学情報基盤センターPKI プロジェクトに申請します。 なお、添付資料の「p12_一括フォーマット」(クライアント証明書用S/MIME証明書用)には以下の内容を記載してください。
※複数の証明書が必要な場合は以下の内容を複数行追加してください
 「p12_一括フォーマット」はクライアント証明書用とS/MIME証明書用の2種類あります

    <添付資料 p12_一括フォーマット(クライアント証明書用)>
  • CN …共通IDの下10桁を記入してください(学生証、職員証の右下に記載があります)
  • OU …TLRAのOUを記入してください。
  • 利用者氏名 …証明書の利用者本人の氏名を記入してください
  • P12ダウンロードファイル名 …「p12-download-file-name」と記入してください
  • 利用者所属 …「東京大学」と記入してください
  • 利用者mail …利用者個人のメールアドレスを記入してください。※メーリングリストなどは記入しないでください
  • 利用管理者氏名 …申請者の氏名を記入してください。※申請者がダウンロードした証明書を利用者各々に配付します
  • 利用管理者所属 …「東京大学」と記入してください
  • 利用管理者mail …証明書のダウンロードURLを通知するため、申請者のメールアドレスを記入してください。
    <添付資料 p12_一括フォーマット(S/MIME証明書用)>
  • CN …メールアドレスのみを入力してください。CNに入力するメールアドレスは、利用者メールアドレスと一致させてください(2023/8/30変更)
  • OU …TLRAのOUを記入してください。※部署内で同姓同名の方がいる場合は、係名英字を含め識別してください
  • 利用者氏名 …証明書の利用者本人の氏名を記入してください
  • P12ダウンロードファイル名 …「p12-download-file-name」と記入してください
  • 利用者所属 …「東京大学」と記入してください
  • 利用者mail …利用者もしくは部門用のメールアドレスで、TLRAで届け出たドメインもしくはu-tokyo.ac.jpドメイン配下の全学メールアドレスを記入してください
  • 利用管理者氏名 …申請者(TLRA担当者)の氏名を記入してください。※申請者がダウンロードした証明書を利用者各々に配付します
  • 利用管理者所属 …「東京大学」と記入してください
  • 利用管理者mail …証明書のダウンロードURLを通知するため、申請者(TLRA担当者)のメールアドレスを記入してください。

3

クライアント証明書発行申請書を印刷して署名したもの、添付資料「p12_一括フォーマット」は印刷をしたものと電子媒体をUSB等にコピーしたものの3点を学内便で東京大学情報基盤センターPKIプロジェクトに提出してください。 申請書の確認とTRA承認後にクライアント証明書の発行作業をPKIプロジェクトが実施します。

    <申請時に学内便で提出するもの>
  • クライアント証明書発行申請書を印刷して申請者が署名をしたもの
  • 添付資料「p12_一括フォーマット」を印刷したもの
  • 添付資料「p12_一括フォーマット」の電子媒体をUSBメモリ等に格納したもの

4

クライアント証明書の発行作業が完了すると利用管理者mail(申請者メールアドレス)宛に証明書のダウンロード URLが通知されますので、ダウンロードしてください。

5

申請者はダウンロードしたクライアント証明書を各利用者に配付してください。

6

東京大学情報基盤センターとTLRAで事前に取り決めを行った方法で、 アクセスPINの受渡しを行います。

7

利用者は申請者から受領したクライアント証明書とアクセスPINを利用して、ブラウザやその他アプリケーションに証明書をインストールしてください。証明書とアクセスPINは必ず他の人がアクセスできないように個人で保管してください。
※詳細なインストール方法についてはUPKIのマニュアルを参照してください。 利用者の手順はこれで終了します

8

申請完了後は申請書原本を申請者に返却しますので、監査時などに確認できるように保管をしてください。

注意

クライアント証明書を紛失したり、誤って他人に渡すなど流出した場合は、すみやかに失効申請をしてください。

失効申請手順

  • クライアント電子証明書失効申請書(こちらからダウンロードしてください)に必要な記載をして、TLRAから東京大学情報基盤センターPKI プロジェクトに申請してください。
  • 申請する証明書の数が多数の場合は、失効申請する証明書のシリアル番号またはCommonName(CN)のいずれかを箇条書きにした別紙を用意し、申請書と一緒に送付ください。
  •