UPKIを利用してサーバ証明書を取得する手順

この記事ではUPKI電子証明書発行サービスを利用してサーバ証明書を取得する手順について説明します。^[1]

はじめに

UPKI電子証明書発行サービス は 国立情報学研究所 の提供する証明書発行サービスです。

UPKIに参加している組織は、UPKIを利用してサーバ証明書やクライアント証明書を取得することができます。参加組織は サービス利用機関一覧 で確認することができ、国立大学をはじめとして多くの学術機関等に利用されていることがわかります。

それではサーバ証明書の取得に関して、新規発行・更新・失効の順で説明していきます。

新規発行

まず新規発行について説明します。サーバ管理者がやることは次の二つです。

1. 新規発行申請用TSVファイルを作る
2. 新規発行申請用TSVファイルを申請担当者に渡す

TSVファイルを作るまでには三つ手順があり、それは下図のようになります。はじめに鍵を作り、次にCSRを作り、さらにTSVファイルを作るという流れですね。

具体的なコマンドはマニュアル 事前準備 ～ 証明書の申請から取得まで を参考にしています。

鍵を作る

はじめに鍵を作ります。証明書を設置したいサーバにログインし、適当なディレクトリを作ってそこへ移動しましょう。コマンドとしては次のような感じです。

mkdir -p ~/work/upki/2025-11
chmod -R 700 ~/work/upki/
cd ~/work/upki/2025-11/

RSA鍵とECDSA鍵のどちらかを生成します。ここでは RSA鍵 を生成することにしました。コマンドは次のようになります。コマンド中の servername.key は適当に置き換えてください。^[2]

openssl genpkey -algorithm rsa -aes128 -pkeyopt rsa_keygen_bits:2048 -out servername.key

パスフレーズの入力を求められるので適当に2回入力します。

CSRを作る

続いてCSRを作ります。コマンドは次のようになります。先ほどの servername.key と同じように servername.csr も適当に置き換えましょう。

openssl req -new -key servername.key -sha256 -out servername.csr -subj "/C=国/ST=都道府県/L=市町村/O=組織名称/CN=サーバのFQDN"

ここでもパスフレーズの入力を求められます。先ほどと同じパスフレーズを入力してください。

コマンドの最後にある -subj オプションの引数は組織ごとに異なります。念のため UPKI証明書 主体者DNにおけるSTおよびLの値一覧 で確認しておくと安心だと思います。より具体的に書き下すと次のような感じです。

openssl req -new -key sv1.key -sha256 -out sv1.csr -subj "/C=JP/ST=Tokyo/L=Chiyoda-ku/O=Example University/CN=sv1.example-u.ac.jp"

CSRが作れたら、次のコマンドで確認しておきましょう。

openssl req -noout -text -in servername.csr

新規発行申請用TSVファイルを作る

いよいよ新規発行申請用TSVファイルを作ります。ここからはWebブラウザでの作業です。

TSVツール にアクセスし、【作成開始】をクリックします。

上表のようにドロップダウンリストを設定し、【この内容で作成を開始】をクリックします。^[3]

CSRファイル読込欄の右端にある【ファイル選択】をクリックしてCSRファイルを選択し、【読込】をクリックします。

CSR、主体者DN、サーバFQDNの欄が自動的に埋まります。

残りの利用管理者E-mail、利用管理者氏名、利用管理者所属、Webサーバソフトウェア名等、dNSNameの欄も入力しましょう。イメージとしては下表のようになります。なお、dNSNameは別のFQDNとしても利用する場合に入力する欄で、特に必要なければ空欄でもOKです。

最後に【完了】をクリックするとダウンロードページに切り替わります。【ダウンロード】をクリックして新規発行申請用TSVファイルを取得してください。

新規発行申請用TSVファイルを申請担当者に渡す

新規発行申請用TSVファイルを申請担当者に渡します。大抵の場合、メールで提出することになると思います。

しばらくすると証明書発行サイトからメールが届きますので、そのメールに記載されているリンクを踏んでサーバ証明書のダウンロードページへ飛び、サーバ証明書をダウンロードすればサーバ証明書の取得は完了です。

更新

UPKIで取得するサーバ証明書の有効期間は398日なので、取得して1年たつと「そろそろ有効期限が切れますよ」とお知らせしてくれるリマインドメールが届きます。

証明書を更新する場合、サーバ管理者がやることは次の二つです。

1. 更新申請用と失効申請用のTSVファイルを作る
2. 更新申請用と失効申請用のTSVファイルを申請担当者に渡す

更新申請用TSVファイルの作り方は新規発行とかなり似ています。はじめに鍵を作り、次にCSRを作り、そしてTSVファイルを作ります。新規発行のときと違うのは、TSVファイルを作る際、現行の証明書が必要になるところです。

更新申請用TSVファイルを作る

新しいCSRと現行の証明書を用意して TSVツール にアクセスし、【作成開始】をクリックします。

上表のようにドロップダウンリストを設定し、【この内容で作成を開始】をクリックします。^[4]

まずCSRファイル読込欄の右端にある【ファイル選択】をクリックしてCSRファイルを選択し、【読込】をクリックします。さらに証明書ファイル読込欄の右端にある【ファイル選択】をクリックして証明書ファイルを選択し、【読込】をクリックします。

CSR、主体者DN、失効対象証明書シリアル番号、サーバFQDNの欄が自動的に埋まります。

残りの利用管理者E-mail、利用管理者氏名、利用管理者所属、Webサーバソフトウェア名等、dNSNameの欄も入力しましょう。

最後に【完了】をクリックするとダウンロードページに切り替わります。【ダウンロード】をクリックして更新申請用TSVファイルを取得してください。

失効申請用TSVファイルを作る

現行の証明書を用意して TSVツール にアクセスし、【作成開始】をクリックします。

上表のようにドロップダウンリストを設定し、【この内容で作成を開始】をクリックします。

証明書ファイル読込欄の右端にある【ファイル選択】をクリックして証明書ファイルを選択し、【読込】をクリックします。

主体者DN、失効対象証明書シリアル番号の欄が自動的に埋まります。

残りの利用管理者E-mail、失効理由、失効理由コメントの欄も入力しましょう。イメージとしては下表のようになります。

最後に【完了】をクリックするとダウンロードページに切り替わります。【ダウンロード】をクリックして失効申請用TSVファイルを取得してください。

更新申請用と失効申請用のTSVファイルを申請担当者に渡す

更新申請用と失効申請用のTSVファイルを申請担当者に渡します。

しばらくすると証明書発行サイトからメールが届きますので、そのメールに記載されているリンクを踏んでサーバ証明書のダウンロードページへ飛び、サーバ証明書をダウンロードすればサーバ証明書の取得は完了です。

サーバに設置してある現行の証明書を新しいものに更新し、動作確認を行いましょう。確認後、申請担当者に失効の処理を進めてもらうように連絡します。これで更新の手順は完了です。

失効

サーバの利用が終了し、証明書が必要なくなった場合は証明書を失効させます。証明書を失効させる場合、サーバ管理者がやることは次の二つです。

1. 失効申請用TSVファイルを作る
2. 失効申請用TSVファイルを申請担当者に渡す

おわりに

UPKI電子証明書発行サービスを利用してサーバ証明書を取得する手順について説明しました。

ご存知の方も多いと思いますが、次の記事でも紹介されているように、証明書の最大有効期間が段階的に短縮されることが決定しています。

https://certs.nii.ac.jp/news/20250908

有効期間の短縮スケジュールを記事から引用し、下表に示します。

2026年にはACMEプロトコルを導入した証明書の発行・更新の自動化をやってみる予定なので、その時はまた記事を書こうと思います。