トラブルシューティング

  1. サーバ証明書発行申請を支援システムにアップロードしましたが、利用管理者へ通知メールが届きません
  2. 登録担当者用証明書を取得するために支援システムにアクセスし,アクセスPINを入力すると「有効な証明書情報がありません」と表示され先に進めません
  3. 登録担当者用証明書を取得するために支援システムにアクセスし,CSPと鍵長を選択すると「無効なフラグが指定されました」というエラーが表示されます
  4. 登録担当者用証明書を取得するために支援システムにアクセスし,CSPと鍵長を選択すると「CSRの生成に失敗しました」というエラーが表示されます
  5. サーバ証明書のダウンロードに失敗した場合どうすればいいですか (「指定されたURLへのアクセスは拒否されました。」というエラーが表示されます)
  6. 証明書をインストールしたサーバにアクセスすると「このWebサイトのセキュリティ証明書には問題があります。」と表示されます
  7. サーバにアクセスすると「証明書は失効しています」と表示されるようになりました(その1)
  8. サーバにアクセスすると「証明書は失効しています」と表示されるようになりました(その2)
  9. 登録担当者が支援システムにアクセスすると、エラーが表示されます
  10. 登録担当者用証明書を取得するために支援システムにアクセスし,CSPと鍵長を選択後「パラメーターが間違っています」というエラーが表示されます(Windows 7 / IE 8 以降)
  11. IE使用時,同一端末内に複数の登録担当者用証明書が存在すると見分けがつきません(Windows 7 / IE 8 以降)
  12. UPKI証明書を使用しているサイトにアクセスすると遅延が発生します
  13. サーバ証明書を設定したサイトにアクセスすると一部のコンテンツが表示されません

サーバ証明書発行申請を支援システムにアップロードしましたが、利用管理者へ通知メールが届きません

サーバ証明書発行申請を支援システムにアップロードすると,通常,申請ファイルアップロードから数分でサービス窓口から利用管理者宛に通知メールが送信されます。
十数分待っても利用管理者にメールが届かない場合,認証局内でエラーが発生している可能性があります。
該当している場合はお待ちいただければサービス窓口より登録担当者へ連絡があります。

お急ぎの場合,もしくは一日待っても連絡が来ない場合は,今一度申請時のメールアドレスおよび利用管理者のメールボックスをご確認いただいた上で,サービス窓口までお問い合わせください。

下記もあわせてご確認ください。

証明書発行通知が利用管理者に届かない

中間認証局変更後(2020年12月25日以降)証明書発行通知が利用管理者に届かない(発行申請は受理されているが、処理が進んでいない)

登録担当者用証明書を取得するために支援システムにアクセスし,アクセスPINを入力すると「有効な証明書情報がありません」と表示され先に進めません

登録担当者用証明書を取得するために支援システムにアクセスし,アクセスPINを入力すると「有効な証明書情報がありません」と表示されて先に進めない場合があります。
このエラーメッセージは入力されたアクセスPINが正しくない場合に表示されるものです。

 

今一度アクセスPINを確認し[Caps Lock]や[Num Lock]を解除した状態で再度入力してみてください。
数字のゼロと英字大文字のオー,数字の一と英字小文字のエルの見間違えにもご注意ください

 

また,アクセスしている証明書取得URLが本当に自分宛に送られたものであるかご確認ください。

登録担当者用証明書を取得するために支援システムにアクセスし,CSPと鍵長を選択すると「無効なフラグが指定されました」というエラーが表示されます

登録担当者用証明書を取得するために支援システムにアクセスし,CSPと鍵長を選択後「無効なフラグが指定されました。」というエラーが表示される場合があります。

 

エラー詳細:
VBScript
[-2146893815]CertEnroll::CX509Enrollment:p_CreateRequest: 無効なフラグが指定されました。 0x80090009(-2146893815)

 

このエラーメッセージは,CSPに「Microsoft Base Cryptographic Provider v1.0」を選択した場合(かつ鍵長を2048bitとした場合)に表示されるものです。
CSPは「Microsoft Enhanced Cryptographic Provider v1.0」を選択してから,再度[発行]ボタンをクリックしてください。

 

また、ルート証明書インストール時に定められた手順を踏まなかった場合このエラーが出るという報告があります。操作手順書を参照して明示的に証明書ストアを選択してください。

登録担当者用証明書を取得するために支援システムにアクセスし,CSPと鍵長を選択すると「CSRの生成に失敗しました」というエラーが表示されます

登録担当者用証明書を取得するために支援システムにアクセスし,CSPと鍵長を選択後「CSRの生成に失敗しました」というエラーが表示される場合があります。

 

このエラーメッセージは,Windows XPをご利用の場合で,CSPに「Microsoft Base Cryptographic Provider v1.0」を選択した場合(かつ鍵長を2048bitとした場合)に表示されるものです。
CSPに「Microsoft Enhanced Cryptographic Provider v1.0」を選択してから,再度[発行]ボタンをクリックしてください。

サーバ証明書のダウンロードに失敗した場合どうすればいいですか (「指定されたURLへのアクセスは拒否されました。」というエラーが表示されます)

支援システムからのサーバ証明書ダウンロードには有効期限があります(発行申請から30日以内)。
期限切れの証明書取得URLにアクセスした場合,「指定されたURLへのアクセスは拒否されました。」というエラーが表示されます。

そのような状況でサーバ証明書取得を希望される方は,以下の内容をメールに記入の上,「証明書発行受付通知メール(証明書取得URLが記載されているメール)」を添付して,貴機関の登録担当者宛にサーバ証明書の取得代行を依頼してください。

*** 登録担当者へのメール文面 (ここから) ***

件名: サーバ証明書取得代行のお願い
・サーバのFQDN:
・申請日:
上記サーバ証明書の取得に失敗してしまいます。
すみませんが下記FAQのURLを参考に,サーバ証明書の取得代行をお願いします。
Q6-5. サーバ証明書のダウンロードに失敗した場合どうすればいいですか?
https://certs.nii.ac.jp/faq/q6

*** 登録担当者へのメール文面 (ここまで) ***

上記問い合わせを受けた登録担当者の方は,以下の手順に従ってサーバ証明書を取得し,利用管理者の方へお渡しください。

  1. 証明書発行支援システムから、自機関で発行された証明書の情報一覧をダウンロードしてください。
     
  2. 1でダウンロードしたファイル(以降serverAll.tsvと呼びます)をTSVツールのTSVビューアで表示させます。
    1. https://certs.nii.ac.jp/tsv-tool/にアクセスしてください。
    2. 「ファイル選択」からserverAll.tsvを選択し「読込」をクリックしてください。
  3. 発行済み証明書のリストが表示されますので,リストのすぐ上にある「絞り込む」ボタン横の検索ボックスに検索対象のFQDN等を入力して「絞り込む」ボタンをクリックしてください。
     
  4. 検索結果として表示された中から対象の主体者DNをクリックし,詳細画面に移動してください。
     
  5. 「証明書(PEM形式)」の項に証明書の内容が表示されていますので,
    「-----BEGIN CERTIFICATE-----」から「-----END CERTIFICATE-----」までを含めて
    全てコピーしてください。
     
  6. メモ帳などを起動し,5の内容をペーストしてください。
     
  7. 「www.xxx.ac.jp.crt」のように,末尾が「.crt」で終わるファイル名を付けて保存してください。
     
  8. 7で保存したファイルをメール等で利用管理者に渡してください。

 

証明書をインストールしたサーバにアクセスすると「このWebサイトのセキュリティ証明書には問題があります。」と表示されます

エラー詳細:
このWebサイトのセキュリティ証明書には問題があります。
このWebサイトで提示されたセキュリティ証明書は,信頼された証明機関から発行されたものではありません。

 

サーバに本サービスの中間CA証明書が正しくインストールされていない可能性があります。
インストールマニュアルの「2-5-1 事前準備」および「2-5-2 中間CA 証明書のインストール」等を参考にインストールしてください。

 

例えば,Apache 2.xの場合は,https://repo1.secomtrust.net/sppca/nii/odca3/ からSHA1,SHA2のいずれかの証明書を適当な場所にダウンロードし,ssl.confの SSLCertificateChainFile にそのファイルのパスを記述してください。

サーバにアクセスすると「証明書は失効しています」と表示されるようになりました(その1)

エラー詳細:
Windows Vista / Windows 7 上の Internet Explorerの場合:
このWebサイトのセキュリティ証明書には問題があります。
この組織の証明書は失効しています。
セキュリティ証明書の問題によって、詐欺や、お使いのコンピュータからサーバーに送信される情報を盗み取る意図が示唆されている場合があります。

Windows Vista / Windows 7 上の Google Chromeの場合:
このサーバーのセキュリティ証明書は取り消されています
~ にアクセスしようとしましたが、サーバーにより提示された証明書は発行元により取り消されています。これは、サーバーにより提示されたセキュリティ認証が信頼できないことを示しており、悪意のあるユーザーと通信を行っている可能性があります。処理を続行しないでください。

Windows 上の Safariの場合:
SafariはWebサイト ~ の識別情報を検証できません。
このWebサイトの証明書は無効です。~ に偽装したWebサイトに接続している可能性があり、機密情報が漏えいするおそれがあります。

Operaの場合:
セキュア処理を完了することができません
アクセス先のアドレス ~ は現在使用できません。
保護された接続: 致命的なエラー(44)
証明書が発行人により無効にされています

 

サーバにインストールされているサーバ証明書が何らかの理由により失効されていることが原因です。
この場合,各ブラウザで表現は異なりますがエラーメッセージが表示されます。
Safariを除いてこの画面から続行することはできませんし,文面にもある通り偽装・なりすましのおそれがありますので,そのサーバの管理者にお問い合わせください。

 

特に旧プロジェクトで発行された証明書は,認証局閉局に伴い2009年11月より全て失効されています。
サーバ管理者の方はすみやかに新しいサーバ証明書をインストールしてください。

サーバにアクセスすると「証明書は失効しています」と表示されるようになりました(その2)

エラー詳細:
Windows XP 上の Internet Explorerの場合:
このWebサイトのセキュリティ証明書には問題があります。
この組織の証明書は失効しています。
セキュリティ証明書の問題によって、詐欺や、お使いのコンピュータからサーバーに送信される情報を盗み取る意図が示唆されている場合があります。

Firefoxの場合:
安全な接続ができませんでした
~ への接続中にエラーが発生しました。
Peer's Certificate has been revoked.
(エラーコード: sec_error_revoked_certificate)

Mac OS X 上の Safariの場合:
SafariはWebサイト ~ の識別情報を検証できません。
このWebサイトの証明書は無効です。~ に偽装したWebサイトに接続している可能性があり、機密情報が漏えいするおそれがあります。

Windows XP 上の Google Chromeの場合:
このサーバーのセキュリティ証明書は取り消されています。
~ にアクセスしようとしましたが,サーバーにより提示された証明書は発行元により取り消されています。これは,サーバーにより提示されたセキュリティ認証が信頼できないことを示しており,悪意のあるユーザーと通信を行っている可能性があります。処理を続行しないでください。

 

サーバにインストールされているサーバ証明書が何らかの理由により失効されていることが原因です。
この場合,上に挙げたブラウザでは場合によってエラーメッセージが表示されることがあります(*1)。
Safariを除いてこの画面から続行することはできませんし,文面にもある通り偽装・なりすましのおそれがありますので,そのサーバの管理者にお問い合わせください。

 

サーバ管理者の方はすみやかに新しいサーバ証明書をインストールしてください。前項もご参照ください。

 

(*1) - 各ブラウザがデフォルト設定のままであればエラーメッセージは表示されません(*2)。
エラーメッセージが表示されるのは下記設定が変更されている場合に限られます。

  • Windows XPおよびそれ以前の上のInternet Explorerの場合(同OS上のGoogle Chromeも同じ設定を参照)
    [ツール]→[インターネットオプション]→[詳細設定]→「サーバ証明書の取り消しを確認する」
  • Firefoxの場合
    [ツール]→[オプション]→[詳細]→[暗号化]→[失効リスト]
    ここで表示されているCRLのみ失効確認されます。
  • Mac OS X上のSafariの場合
    "アプリケーション / ユーティリティ / キーチェーンアクセス"を起動
    [キーチェーンアクセス]→[環境設定]→[証明書]→「証明書失効リスト(CRL)」

(*2) - 2009年11月の調査に基づくものです。
ここではCRL(Certificate Revocation List, 証明書失効リスト)を用いた失効確認のみを対象として調査しております。
本プロジェクトで発行された証明書はOCSPによる失効確認をサポートしておりませんのでOCSPは調査対象外です。

登録担当者が支援システムにアクセスすると、エラーが表示されます

電子証明書自動発行支援システムにログインできなくなった
をご参照ください。

登録担当者用証明書を取得するために支援システムにアクセスし,CSPと鍵長を選択後「パラメーターが間違っています」というエラーが表示されます(Windows 7 / IE 8 以降)

エラー詳細:
Internet Explorerの場合:
VBScript
[-2147024809]CertEnroll::CX509PrivateKey::put_Algorithm: パラメーターが間違っています。 0x80070057 (WIN32: 87)

 

登録担当者用証明書を取得するために支援システムにアクセスし,CSPと鍵長を選択後「CSRの生成に失敗しました」というエラーが表示される場合があります。


Windows Internet Explorer 8.0以降をお使いの方は、以下の設定を必ず施してから作業してください。
ブラウザの設定によっては、証明書の取得に失敗し、再取得にはサービス窓口の対応が必要になります.
支援システム操作手順書(登録担当者用)の「1-4. ブラウザの設定方法について」をご参照の上、正確に設定してください。

支援システム操作手順書(登録担当者用)

IE使用時,同一端末内に複数の登録担当者用証明書が存在すると見分けがつきません(Windows 7 / IE 8 以降)

同一端末内に複数の登録担当者用証明書が存在する場合(複数の対象ドメインを扱っている場合),各登録担当者用証明書のフレンドリ名を編集していただくことで識別が可能となります。以下の操作を行ってフレンドリ名を編集してください。

 

ツール->インターネットオプション->「コンテンツ」タブ->証明書->証明書を選択->「表示」->「詳細」タブ->プロパティの編集->「全般」タブ「フレンドリ名」を編集


編集後,「OK」を押すことにより編集が反映され,支援システムアクセス時に選択する証明書の識別が可能となります。

UPKI証明書を使用しているサイトにアクセスすると遅延が発生します

UPKI電子証明書は、セコムトラストシステムズより発行されています。そのため、UPKI電子証明書を使用しているWebサイトへの初回アクセス時に証明書の検 証のためにセコム社のOCSPレスポンダへの通信を試みますが、OCSPレスポンダへのアクセスにおいてなんらかの障害等が発生している場合、アクセス遅延が発生することがあ ります。
本サイトの「お知らせ」にて障害情報等をご確認いただくことをお願いいたします。

サーバ証明書を設定したサイトにアクセスすると一部のコンテンツが表示されません

サーバ証明書を設定したウェブサイトについては、要素となる画像やCSS等のコンテンツがすべてHTTPSで指定されていないと、ブラウザによっては以下のようになることがあります。

  • アドレスバーの鍵マークのあたりに警告やエラーを示すマークが表示される
  • HTTPSで指定されていない画像やコンテンツが表示されない

 

特に、他のサイトのコンテンツや画像を表示する場合は、対象となるコンテンツ等がHTTPSで指定できるものを利用するよう、ご注意ください。

 

    画像挿入例

  • <img src="https://www.hoge.ac.jp/moge.jpeg">  (○)
  • <img src="http://www.hoge.ac.jp/moge.jpeg">    (×)