メニュー

FAQ

トラブルシューティング

  1. サーバ証明書発行申請を支援システムにアップロードしましたが、利用管理者へ通知メールが届きません
  2. 登録担当者用証明書を取得するために支援システムにアクセスし,アクセスPINを入力すると「有効な証明書情報がありません」と表示され先に進めません
  3. 登録担当者用証明書を取得するために支援システムにアクセスし,CSPと鍵長を選択すると「無効なフラグが指定されました」というエラーが表示されます
  4. 登録担当者用証明書を取得するために支援システムにアクセスし,CSPと鍵長を選択すると「CSRの生成に失敗しました」というエラーが表示されます
  5. サーバ証明書のダウンロードに失敗した場合どうすればいいですか
    (「指定されたURLへのアクセスは拒否されました。」というエラーが表示されます)
  6. 証明書をインストールしたサーバにアクセスすると「このWebサイトのセキュリティ証明書には問題があります。」と表示されます
  7. サーバにアクセスすると「証明書は失効しています」と表示されるようになりました(その1)
  8. サーバにアクセスすると「証明書は失効しています」と表示されるようになりました(その2)
  9. 登録担当者が支援システムにアクセスすると、エラーが表示されます
  10. 登録担当者用証明書を取得するために支援システムにアクセスし,CSPと鍵長を選択後「パラメーターが間違っています」というエラーが表示されます(Windows 7 / IE 8)
  11. IE使用時、複数の登録担当者用証明書があると、見分けがつきません
  12. UPKI証明書を使用しているサイトにアクセスすると遅延が発生します
  13. サーバ証明書を設定したサイトにアクセスすると一部のコンテンツが表示されません
  14. サーバ証明書を設定したサイトにアクセスするとアドレスバーの鍵マークのあたりに警告やエラーが表示されます
 

Q6-1

サーバ証明書発行申請を支援システムにアップロードしましたが、利用管理者へ通知メールが届きません


サーバ証明書発行申請を支援システムにアップロードすると,通常,申請ファイルアップロードから数分でサービス窓口から利用管理者宛に通知メールが送信されます。
十数分待っても利用管理者にメールが届かない場合,認証局内でエラーが発生している可能性があります。
該当している場合はお待ちいただければサービス窓口より登録担当者へ連絡があります。


お急ぎの場合,もしくは一日待っても連絡が来ない場合は,今一度申請時のメールアドレスおよび利用管理者のメールボックスをご確認いただいた上で,サービス窓口までお問い合わせください。

 

Q6-2

登録担当者用証明書を取得するために支援システムにアクセスし,アクセスPINを入力すると「有効な証明書情報がありません」と表示され先に進めません


登録担当者用証明書を取得するために支援システムにアクセスし,アクセスPINを入力すると「有効な証明書情報がありません」と表示されて先に進めない場合があります。
このエラーメッセージは入力されたアクセスPINが正しくない場合に表示されるものです。


今一度アクセスPINを確認し[Caps Lock]や[Num Lock]を解除した状態で再度入力してみてください。
数字のゼロと英字大文字のオー,数字の一と英字小文字のエルの見間違えにもご注意ください


また,アクセスしている証明書取得URLが本当に自分宛に送られたものであるかご確認ください。

 

Q6-3

登録担当者用証明書を取得するために支援システムにアクセスし,CSPと鍵長を選択すると「無効なフラグが指定されました」というエラーが表示されます


登録担当者用証明書を取得するために支援システムにアクセスし,CSPと鍵長を選択後「無効なフラグが指定されました。」というエラーが表示される場合があります。


エラー詳細:
VBScript
[-2146893815]CertEnroll::CX509Enrollment:p_CreateRequest: 無効なフラグが指定されました。 0x80090009(-2146893815)


このエラーメッセージは,CSPに「Microsoft Base Cryptographic Provider v1.0」を選択した場合(かつ鍵長を2048bitとした場合)に表示されるものです。
CSPは「Microsoft Enhanced Cryptographic Provider v1.0」を選択してから,再度[発行]ボタンをクリックしてください。


また、ルート証明書インストール時に定められた手順を踏まなかった場合このエラーが出るという報告があります。操作手順書を参照して明示的に証明書ストアを選択してください。

 

Q6-4

登録担当者用証明書を取得するために支援システムにアクセスし,CSPと鍵長を選択すると「CSRの生成に失敗しました」というエラーが表示されます


登録担当者用証明書を取得するために支援システムにアクセスし,CSPと鍵長を選択後「CSRの生成に失敗しました」というエラーが表示される場合があります。


このエラーメッセージは,Windows XPをご利用の場合で,CSPに「Microsoft Base Cryptographic Provider v1.0」を選択した場合(かつ鍵長を2048bitとした場合)に表示されるものです。
CSPに「Microsoft Enhanced Cryptographic Provider v1.0」を選択してから,再度[発行]ボタンをクリックしてください。

 

Q6-5

サーバ証明書のダウンロードに失敗した場合どうすればいいですか
(「指定されたURLへのアクセスは拒否されました。」というエラーが表示されます)


支援システムからのサーバ証明書ダウンロードには有効期限があります(初回ダウンロードから30日以内)。
期限切れの証明書取得URLにアクセスした場合,「指定されたURLへのアクセスは拒否されました。」というエラーが表示されます。


そのような状況でサーバ証明書取得を希望される方は,以下の内容をメールに記入の上,「証明書発行受付通知メール(証明書取得URLが記載されているメール)」を添付して,貴機関の登録担当者宛にサーバ証明書の取得代行を依頼してください。


*** 登録担当者へのメール文面 (ここから) ***

件名: サーバ証明書取得代行のお願い
・サーバのFQDN:
・申請日:
上記サーバ証明書の取得に失敗してしまいます。
すみませんが下記FAQのURLを参考に,サーバ証明書の取得代行をお願いします。
Q6-5. サーバ証明書のダウンロードに失敗した場合どうすればいいですか?
https://certs.nii.ac.jp/faq/Q6/#_667

*** 登録担当者へのメール文面 (ここまで) ***



上記問い合わせを受けた登録担当者の方は,以下の手順に従ってサーバ証明書を取得し,利用管理者の方へお渡しください。

  1. 支援システム操作手順書(登録担当者用)p.70「4-4. サーバ証明書情報取得」にあるように,自機関で発行された証明書の情報一覧をダウンロードしてください。

  2. 1でダウンロードしたファイル(以降serverAll.tsvと呼びます)をTSVツールのTSVビューアで表示させます。
    1. https://certs.nii.ac.jp/tsv-tool/にアクセスしてください。
    2. 「ファイル選択」からserverAll.tsvを選択し「読込」をクリックしてください。

  3. 発行済み証明書のリストが表示されますので,リストのすぐ上にある「絞り込む」ボタン横の検索ボックスに検索対象のFQDN等を入力して「絞り込む」ボタンをクリックしてください。

  4. 検索結果として表示された中から対象の主体者DNをクリックし,詳細画面に移動してください。

  5. 「証明書(PEM形式)」の項に証明書の内容が表示されていますので,
    「-----BEGIN CERTIFICATE-----」から「-----END CERTIFICATE-----」までを含めて
    全てコピーしてください。

  6. メモ帳などを起動し,5の内容をペーストしてください。

  7. 「www.xxx.ac.jp.crt」のように,末尾が「.crt」で終わるファイル名を付けて保存してください。

  8. 7で保存したファイルをメール等で利用管理者に渡してください。
 

Q6-6

証明書をインストールしたサーバにアクセスすると「このWebサイトのセキュリティ証明書には問題があります。」と表示されます


エラー詳細:
このWebサイトのセキュリティ証明書には問題があります。
このWebサイトで提示されたセキュリティ証明書は,信頼された証明機関から発行されたものではありません。


サーバに本サービスの中間CA証明書が正しくインストールされていない可能性があります。
インストールマニュアルの「2-5-1 事前準備」および「2-5-2 中間CA 証明書のインストール」等を参考にインストールしてください。


例えば,Apache 2.xの場合は,https://repo1.secomtrust.net/sppca/nii/odca3/ からSHA1,SHA2のいずれかの証明書を適当な場所にダウンロードし,ssl.confの SSLCertificateChainFile にそのファイルのパスを記述してください。

 

Q6-7

サーバにアクセスすると「証明書は失効しています」と表示されるようになりました(その1)


エラー詳細:
Windows Vista / Windows 7 上の Internet Explorerの場合:
このWebサイトのセキュリティ証明書には問題があります。
この組織の証明書は失効しています。
セキュリティ証明書の問題によって、詐欺や、お使いのコンピュータからサーバーに送信される情報を盗み取る意図が示唆されている場合があります。

Windows Vista / Windows 7 上の Google Chromeの場合:
このサーバーのセキュリティ証明書は取り消されています
~ にアクセスしようとしましたが、サーバーにより提示された証明書は発行元により取り消されています。これは、サーバーにより提示されたセキュリティ認証が信頼できないことを示しており、悪意のあるユーザーと通信を行っている可能性があります。処理を続行しないでください。

Windows 上の Safariの場合:
SafariはWebサイト ~ の識別情報を検証できません。
このWebサイトの証明書は無効です。~ に偽装したWebサイトに接続している可能性があり、機密情報が漏えいするおそれがあります。

Operaの場合:
セキュア処理を完了することができません
アクセス先のアドレス ~ は現在使用できません。
保護された接続: 致命的なエラー(44)
証明書が発行人により無効にされています


サーバにインストールされているサーバ証明書が何らかの理由により失効されていることが原因です。
この場合,各ブラウザで表現は異なりますがエラーメッセージが表示されます。
Safariを除いてこの画面から続行することはできませんし,文面にもある通り偽装・なりすましのおそれがありますので,そのサーバの管理者にお問い合わせください。


特に旧プロジェクトで発行された証明書は,認証局閉局に伴い2009年11月より全て失効されています。
サーバ管理者の方はすみやかに新しいサーバ証明書をインストールしてください。

 

Q6-8

サーバにアクセスすると「証明書は失効しています」と表示されるようになりました(その2)


エラー詳細:
Windows XP 上の Internet Explorerの場合:
このWebサイトのセキュリティ証明書には問題があります。
この組織の証明書は失効しています。
セキュリティ証明書の問題によって、詐欺や、お使いのコンピュータからサーバーに送信される情報を盗み取る意図が示唆されている場合があります。

Firefoxの場合:
安全な接続ができませんでした
~ への接続中にエラーが発生しました。
Peer's Certificate has been revoked.
(エラーコード: sec_error_revoked_certificate)

Mac OS X 上の Safariの場合:
SafariはWebサイト ~ の識別情報を検証できません。
このWebサイトの証明書は無効です。~ に偽装したWebサイトに接続している可能性があり、機密情報が漏えいするおそれがあります。

Windows XP 上の Google Chromeの場合:
このサーバーのセキュリティ証明書は取り消されています。
~ にアクセスしようとしましたが,サーバーにより提示された証明書は発行元により取り消されています。これは,サーバーにより提示されたセキュリティ認証が信頼できないことを示しており,悪意のあるユーザーと通信を行っている可能性があります。処理を続行しないでください。


サーバにインストールされているサーバ証明書が何らかの理由により失効されていることが原因です。
この場合,上に挙げたブラウザでは場合によってエラーメッセージが表示されることがあります(*1)。
Safariを除いてこの画面から続行することはできませんし,文面にもある通り偽装・なりすましのおそれがありますので,そのサーバの管理者にお問い合わせください。


サーバ管理者の方はすみやかに新しいサーバ証明書をインストールしてください。前項もご参照ください。


(*1) - 各ブラウザがデフォルト設定のままであればエラーメッセージは表示されません(*2)。
エラーメッセージが表示されるのは下記設定が変更されている場合に限られます。

  • Windows XPおよびそれ以前の上のInternet Explorerの場合(同OS上のGoogle Chromeも同じ設定を参照)
    [ツール]→[インターネットオプション]→[詳細設定]→「サーバ証明書の取り消しを確認する」
  • Firefoxの場合
    [ツール]→[オプション]→[詳細]→[暗号化]→[失効リスト]
    ここで表示されているCRLのみ失効確認されます。
  • Mac OS X上のSafariの場合
    "アプリケーション / ユーティリティ / キーチェーンアクセス"を起動
    [キーチェーンアクセス]→[環境設定]→[証明書]→「証明書失効リスト(CRL)」

(*2) - 2009年11月の調査に基づくものです。
ここではCRL(Certificate Revocation List, 証明書失効リスト)を用いた失効確認のみを対象として調査しております。
本プロジェクトで発行された証明書はOCSPによる失効確認をサポートしておりませんのでOCSPは調査対象外です。

 

Q6-9

登録担当者が支援システムにアクセスすると、エラーが表示されます


エラー詳細:
Windows XP 上 Internet Explorerの場合:
(アクセスするとステータスバーに「~ を開いています...」もしくは「待機中: ~...」と表示されたまま2分程経過し,以下のメッセージが表示される)
Internet Explorerではこのページは表示できません
可能性のある原因
・インターネットに接続されていない。
・Webサイトに問題が発生している。
・アドレスに入力の間違いがある可能性がある。

もしくは,(Internet Explorer 6の場合):
ページを表示できません。
検索中のページは現在、利用できません。
Webサイトに技術的な問題が発生しているか,ブラウザの設定を調整する必要があります。

Windows Vista 上の Internet Explorerの場合:
(アクセスすると直ちに上記と同じメッセージが表示されます)

Google Chromeの場合:
(アクセスすると直ちに以下のメッセージが表示されます)
このウェブサイトはご利用いただけません。
~ のウェブページは一時的に停止しているか、またはURLが変更している可能性があります。
エラーの詳細
元のエラーメッセージは次のとおりです。
エラー 107 (net::ERR_SSL_PROTOCOL_ERROR): 不明なエラーです。

Windows 上の Safariの場合の表示:
ページを開けません。
ページ"~"を開けません。サーバ"~"にセキュリティ保護された接続を確立できません。


正しく登録担当者用証明書がインストールされたブラウザを使用してもアクセスできない場合は,お使いのブラウザが安全でないTLS renegotiationを受け付けないことが想定されます。
例えば,WindowsパソコンでKB977377を適用しているとこのような状態になることが確認されています。


KB977377を適用している場合は一時的にレジストリ

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\DisableRenegoOnClient

の値を1から0に変更してアクセスしてみてください。
終わったら元に戻すのを忘れないでください。
※ KB977377をエンドユーザーが適用することは推奨されておらず,サーバ管理者にのみ推奨されています。

 

Q6-10

登録担当者用証明書を取得するために支援システムにアクセスし,CSPと鍵長を選択後「パラメーターが間違っています」というエラーが表示されます(Windows 7 / IE 8 以降)


エラー詳細:
Windows 7 上の Internet Explorerの場合:
VBScript
[-2147024809]CertEnroll::CX509PrivateKey::put_Algorithm: パラメーターが間違っています。 0x80070057 (WIN32: 87)


登録担当者用証明書を取得するために支援システムにアクセスし,CSPと鍵長を選択後「CSRの生成に失敗しました」というエラーが表示される場合があります。


Windows Internet Explorer 8.0以降をお使いの方は、以下の設定を必ず施してから作業してください。
ブラウザの設定によっては、証明書の取得に失敗し、再取得にはサービス窓口の対応が必要になります.
支援システム操作手順書(登録担当者用)の「1-4. ブラウザの設定方法について」をご参照の上、正確に設定してください。
 

Q6-11

IE使用時,同一端末内に複数の登録担当者用証明書が存在すると見分けがつきません(Windows 7 / IE 8 以降)


同一端末内に複数の登録担当者用証明書が存在する場合(複数の対象ドメインを扱っている場合),各登録担当者用証明書のフレンドリ名を編集していただくことで識別が可能となります。以下の操作を行ってフレンドリ名を編集してください。


ツール->インターネットオプション->「コンテンツ」タブ->証明書->証明書を選択->「表示」->「詳細」タブ->プロパティの編集->「全般」タブ「フレンドリ名」を編集


編集後,「OK」を押すことにより編集が反映され,支援システムアクセス時に選択する証明書の識別が可能となります。
 

Q6-12

UPKI証明書を使用しているサイトにアクセスすると遅延が発生します


UPKI電子証明書は、セコムトラストシステムズより発行されています。そのた め、UPKI電子証明書を使用しているWebサイトへの初回アクセス時に証明書の検 証のためにセコム社のOCSPレスポンダへの通信を試みますが、OCSPレスポンダへのアクセスにおいてなんらかの障害等が発生している場合、アクセス遅延が発生することがあ ります。
本サイトの「お知らせ」にて障害情報等をご確認いただくことをお願いいたします。
 

Q6-13

サーバ証明書を設定したサイトにアクセスすると一部のコンテンツが表示されません


サーバ証明書を設定したウェブサイトについては、要素となる画像やCSS等のコンテンツがすべてHTTPSで指定されていないと、ブラウザによっては以下のようになることがあります。
  • アドレスバーの鍵マークのあたりに警告やエラーを示すマークが表示される
  • HTTPSで指定されていない画像やコンテンツが表示されない


特に、他のサイトのコンテンツや画像を表示する場合は、対象となるコンテンツ等がHTTPSで指定できるものを利用するよう、ご注意ください。


    画像挿入例

  • <img src="https://www.hoge.ac.jp/moge.jpeg">  (○)
  • <img src="http://www.hoge.ac.jp/moge.jpeg">    (×)
 

Q6-14

サーバ証明書を設定したサイトにアクセスするとアドレスバーの鍵マークのあたりに警告やエラーが表示されます


Q6-13を参照してください。