メニュー

アーカイブ

この記事は過去のUPKIイニシアティブに掲載されていたものです
 

FAQ


よくあるご質問を下記にまとめています。掲載されていないご質問等がありましたら、お問合せ先へご連絡ください。
 

FAQ-6. トラブルシューティング


このページでは以下の質問およびその回答を掲載しています。
  • Q6.1 サーバ証明書発行申請を支援システムにアップロードしましたが、加入者へ通知メールが届きません。
  • Q6.2 登録担当者用証明書を取得するために支援システムにアクセスし、アクセスPINを入力すると「有効な証明書情報がありません。」と表示され先に進めません。
  • Q6.3 登録担当者用証明書を取得するために支援システムにアクセスし、CSPと鍵長を選択後「無効なフラグが指定されました。」というエラーが表示されます。
  • Q6.4 登録担当者用証明書を取得するために支援システムにアクセスし、CSPと鍵長を選択後「CSRの生成に失敗しました」というエラーが表示されます。
  • Q6.5 サーバ証明書のダウンロードに失敗した場合どうすればいいですか?
    (「指定されたURLへのアクセスは拒否されました。」というエラーが表示されます。)
  • Q6.6 証明書をインストールしたサーバにアクセスすると「このWebサイトのセキュリティ証明書には問題があります。」と表示されます。
  • Q6.7 サーバにアクセスすると「証明書は失効しています」と表示されるようになりました。(その1)
  • Q6.8 サーバにアクセスすると「証明書は失効しています」と表示されるようになりました。(その2)
  • Q6.9 登録担当者が支援システムにアクセスすると、エラーが表示されます。
  • Q6.10 登録担当者用証明書を取得するために支援システムにアクセスし、CSPと鍵長を選択後「パラメーターが間違っています」というエラーが表示されます。(Windows 7/IE 8)
 

Q6.1

サーバ証明書発行申請を支援システムにアップロードしましたが、加入者へ通知メールが届きません。


A.通常、申請ファイルアップロードから数分で事務局から加入者宛に通知メールが送信されます。十数分待っても加入者にメールが届かない場合、認証局内でエラーが発生している可能性があります。該当している場合はお待ちいただければ事務局より登録担当者へ連絡があります。

お急ぎの場合もしくは一日待っても連絡が来ない場合は、今一度申請時のメールアドレスおよび加入者のメールボックスをご確認いただいた上で、
「サーバ証明書情報TSVファイル解析ツール」
https://tsvtool.nii.ac.jp/cgi-bin/serverall.cgi
(登録担当者のみご利用いただけます)
の結果およびその際に取得したサーバ証明書情報ファイルを添付して事務局までお問い合わせください。
 

Q6.2

登録担当者用証明書を取得するために支援システムにアクセスし、アクセスPINを入力すると「有効な証明書情報がありません。」と表示され先に進めません。


A.このエラーメッセージは入力されたアクセスPINが正しくない場合に表示されるものです。今一度アクセスPINを確認し[Caps Lock]や[Num Lock]を解除した状態で再度入力してみてください。また、アクセスしている証明書取得URLが、本当に自分宛に送られたものであるかご確認ください。
 

Q6.3

登録担当者用証明書を取得するために支援システムにアクセスし、CSPと鍵長を選択後「無効なフラグが指定されました。」というエラーが表示されます。


エラー詳細: VBScript
[-2146893815]CertEnroll::CX509Enrollment:p_CreateRequest: 無効なフラグが指定されました。 0x80090009(-2146893815)

A.このエラーメッセージはCSPに「Microsoft Base Cryptographic Provider v1.0」を選択した場合(かつ鍵長を2048bitとした場合)に表示されるものです。CSPは「Microsoft Enhanced Cryptographic Provider v1.0」を選択してから、再度[発行]ボタンをクリックしてください。

また、ルート証明書インストール時に定められた手順を踏まなかった場合このエラーが出るという報告があります。操作手順書を参照して明示的に証明書ストアを選択してください。
 

Q6.4

登録担当者用証明書を取得するために支援システムにアクセスし、CSPと鍵長を選択後「CSRの生成に失敗しました」というエラーが表示されます。


A.Windows XPをご利用の場合、Q6.3と同じ状況でこのエラーメッセージが表示されます。CSPに「Microsoft Enhanced Cryptographic Provider v1.0」が選択されていることをご確認ください。
 

Q6.5

サーバ証明書のダウンロードに失敗した場合どうすればいいですか?(「指定されたURLへのアクセスは拒否されました。」というエラーが表示されます。)


A.サ支援システムからのサーバ証明書ダウンロードには有効期限があります(初回ダウンロードから30日以内)。期限切れの証明書取得URLにアクセスした場合、「指定されたURLへのアクセスは拒否されました。」というエラーが表示されます。

そのような状況でサーバ証明書取得を希望される方は、以下の内容をメールに記入の上、「証明書発行受付通知メール(証明書取得URLが記載されているメール)」を添付して、貴機関の登録担当者宛にサーバ証明書の取得代行を依頼してください。

*** 登録担当者へのメール文面 (ここから) ***
件名: サーバ証明書取得代行のお願い
・サーバのFQDN:
・申請日:
上記サーバ証明書の取得に失敗してしまいます。
すみませんが下記FAQ URLを参考に、サーバ証明書の取得代行をお願いします。
    Q6.5. サーバ証明書のダウンロードに失敗した場合どうすればいいですか?
    https://upki-portal.nii.ac.jp/docs/faq/1/6#getcrt
*** 登録担当者へのメール文面 (ここまで) ***                                

上記問い合わせを受けた登録担当者の方は、以下の手順に従ってサーバ証明書を取得し、加入者の方へお渡しください。
  1. 絵文字:PDF支援システム操作手順書(登録担当者用)p.67「4-4. サーバ証明書情報取得」にあるように、自機関で発行された証明書の情報一覧をダウンロードしてください。
  2. 1でダウンロードしたファイル(以降serverAll.tsvと呼びます)をTSVツールのTSVビューアで表示させます。
    1. https://tsvtool.nii.ac.jp/cgi-bin/tsvtool.cgiにアクセスしてください。
    2. 「TSVファイル読込」のところでserverAll.tsvを選択し[TSV送信]をクリックしてください。
  3. ページ下の[次のレコードへ]をクリックしながら、「サーバFQDN」「申請日時」等を参照して当該証明書のレコードを表示させてください。
  4. 「証明書」の項に証明書の内容が表示されていますので、「-----BEGIN CERTIFICATE-----」から「-----END CERTIFICATE-----」までを含めて全てコピーしてください。
  5. メモ帳などを起動し、4の内容をペーストしてください。
  6. 「www.nii.ac.jp.crt」のように末尾が「.crt」で終わるファイル名を付けて保存してください。
  7. 6で保存したファイルをメール等で加入者に渡してください。
 

Q6.6

登録担当者用証明書を取得するために支援システムにアクセスし、CSPと鍵長を選択後「パラメーターが間違っています」というエラーが表示されます。(Windows 7/IE 8)


エラー詳細:このWebサイトのセキュリティ証明書には問題があります。
このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません。

A.サーバに本プロジェクトの中間CA証明書が正しくインストールされていない可能性があります。インストールマニュアルの「2-5-1 事前準備」および「2-5-2 中間CA 証明書のインストール」等を参考にインストールしてください。
インストールマニュアル

例えば、Apache 2.xの場合は本プロジェクトの中間CA証明書nii-odca2.crtを適当な場所にダウンロードし、ssl.confの SSLCertificateChainFile にそのファイルのパスを記述してください。
 

Q6.7

サーバにアクセスすると「証明書は失効しています」と表示されるようになりました。(その1)

このWebサイトのセキュリティ証明書には問題があります。この組織の証明書は失効しています。セキュリティ証明書の問題によって、詐欺や、お使いのコンピュータからサーバーに送信される情報を盗み取る意図が示唆されている場合があります。
このサーバーのセキュリティ証明書は取り消されています 〜 にアクセスしようとしましたが、サーバーにより提示された証明書は発行元により取り消されています。これは、サーバーにより提示されたセキュリティ認証が信頼できないことを示しており、悪意のあるユーザーと通信を行っている可能性があります。処理を続行しないでください。
セキュア処理を完了することができません アクセス先のアドレス 〜 は現在使用できません。保護された接続: 致命的なエラー(44) 証明書が発行人により無効にされています
セキュア処理を完了することができません アクセス先のアドレス 〜 は現在使用できません。保護された接続: 致命的なエラー(44) 証明書が発行人により無効にされています

エラー詳細:
Windows Vista/Windows 7上のInternet Explorerの場合の表示:
このWebサイトのセキュリティ証明書には問題があります。
この組織の証明書は失効しています。
セキュリティ証明書の問題によって、詐欺や、お使いのコンピュータからサーバーに送信される情報を盗み取る意図が示唆されている場合があります。
Windows Vista/Windows 7上のGoogle Chromeの場合の表示:
このサーバーのセキュリティ証明書は取り消されています
〜 にアクセスしようとしましたが、サーバーにより提示された証明書は発行元により取り消されています。これは、サーバーにより提示されたセキュリティ認証が信頼できないことを示しており、悪意のあるユーザーと通信を行っている可能性があります。処理を続行しないでください。
Windows上のSafariの場合の表示:
SafariはWebサイト 〜 の識別情報を検証できません。
このWebサイトの証明書は無効です。〜 に偽装したWebサイトに接続している可能性があり、機密情報が漏えいするおそれがあります。
Operaの場合の表示:
セキュア処理を完了することができません
アクセス先のアドレス 〜 は現在使用できません。
保護された接続: 致命的なエラー(44)
証明書が発行人により無効にされています


A サーバにインストールされているサーバ証明書が何らかの理由により失効されていることが原因です。この場合、各ブラウザで表現は異なりますがエラーメッセージが表示されます。Safariを除いてこの画面から続行することはできませんし、文面にもある通り偽装・なりすましのおそれがありますので、そのサーバの管理者にお問い合わせください。

特に旧プロジェクトで発行された証明書(※)は認証局閉局に伴い2009年11月より全て失効されています。以下の情報を参考に確認していただき、サーバ管理者の方はすみやかに新しいサーバ証明書をインストールしてください。

※2009年10月末失効対象の証明書(旧プロジェクト発行の証明書)の確認方法
(以下の全てを満たすものが対象です):
  • 有効期限が2010年6月30日
  • 発行者の詳細が、
    OU = NII Open Domain CA (*1)
    OU = UPKI
    O = National Institute of Informatics
    L = Academe (*2)
    C = JP 
    となっているもの
    なお、新プロジェクトから発行された証明書の場合は、
    (*1)については、"OU = NII Open Domain CA - G2"
    (*2)については、"L = Academe2"
    と、表示されます。この場合は移行済ですので、失効対象ではありません。
 

Q6.8

サーバにアクセスすると「証明書は失効しています」と表示されるようになりました。(その2)

このWebサイトのセキュリティ証明書には問題があります。この組織の証明書は失効しています。セキュリティ証明書の問題によって、詐欺や、お使いのコンピュータからサーバーに送信される情報を盗み取る意図が示唆されている場合があります。
安全な接続ができませんでした 〜 への接続中にエラーが発生しました。Peer's Certificate has been revoked. (エラーコード: sec_error_revoked_certificate)
SafariはWebサイト 〜 の識別情報を検証できません。このWebサイトの証明書は無効です。〜 に偽装したWebサイトに接続している可能性があり、機密情報が漏えいするおそれがあります。
このサーバーのセキュリティ証明書は取り消されています 〜 にアクセスしようとしましたが、サーバーにより提示された証明書は発行元により取り消されています。これは、サーバーにより提示されたセキュリティ認証が信頼できないことを示しており、悪意のあるユーザーと通信を行っている可能性があります。処理を続行しないでください。

エラー詳細:
Windows XP上のInternet Explorerの場合の表示:
このWebサイトのセキュリティ証明書には問題があります。
この組織の証明書は失効しています。
セキュリティ証明書の問題によって、詐欺や、お使いのコンピュータからサーバーに送信される情報を盗み取る意図が示唆されている場合があります。
Firefoxの場合の表示:
安全な接続ができませんでした
〜 への接続中にエラーが発生しました。
Peer's Certificate has been revoked.
(エラーコード: sec_error_revoked_certificate)
Mac OS X上のSafariの場合の表示:
SafariはWebサイト 〜 の識別情報を検証できません。
このWebサイトの証明書は無効です。〜 に偽装したWebサイトに接続している可能性があり、機密情報が漏えいするおそれがあります。
Windows XP上のGoogle Chromeの場合の表示:
このサーバーのセキュリティ証明書は取り消されています
〜 にアクセスしようとしましたが、サーバーにより提示された証明書は発行元により取り消されています。これは、サーバーにより提示されたセキュリティ認証が信頼できないことを示しており、悪意のあるユーザーと通信を行っている可能性があります。処理を続行しないでください。


A サーバにインストールされているサーバ証明書が何らかの理由により失効されていることが原因です。この場合、上に挙げたブラウザでは場合によってエラーメッセージが表示されることがあります(*1)。Safariを除いてこの画面から続行することはできませんし、文面にもある通り偽装・なりすましのおそれがありますので、そのサーバの管理者にお問い合わせください。

サーバ管理者の方はすみやかに新しいサーバ証明書をインストールしてください。Q6.7もご参照ください。

(*1) - 各ブラウザがデフォルト設定のままであればエラーメッセージは表示されません(*2)。エラーメッセージが表示されるのは下記設定が変更されている場合に限られます。
  • Windows XPおよびそれ以前の上のInternet Explorerの場合(同OS上のGoogle Chromeも同じ設定を参照)
    [ツール]→[インターネットオプション]→[詳細設定]→「サーバ証明書の取り消しを確認する」
  • Firefoxの場合
    [ツール]→[オプション]→[詳細]→[暗号化]→[失効リスト]
    ここで表示されているCRLのみ失効確認されます。
  • Mac OS X上のSafariの場合
    "アプリケーション / ユーティリティ / キーチェーンアクセス"を起動
    [キーチェーンアクセス]→[環境設定]→[証明書]→「証明書失効リスト(CRL)」
(*2) - 2009年11月の調査に基づくものです。ここではCRL(Certificate Revocation List, 証明書失効リスト)を用いた失効確認のみを対象として調査しております。本プロジェクトで発行された証明書はOCSPによる失効確認をサポートしておりませんのでOCSPは調査対象外です。
 

Q6.9

登録担当者が支援システムにアクセスすると、エラーが表示されます。

Internet Explorerではこのページは表示できません 可能性のある原因 ・インターネットに接続されていない。 ・Webサイトに問題が発生している。 ・アドレスに入力の間違いがある可能性がある。
サーバーが見つかりません ページを表示できません。検索中のページは現在、利用できません。Webサイトに技術的な問題が発生しているか、ブラウザの設定を調整する必要があります。
このウェブサイトはご利用いただけません。〜 のウェブページは一時的に停止しているか、またはURLが変更している可能性があります。
ページを開けません。ページ [〜] を開けません。エラー:不明なエラー(kCFErrorDomainWinSock:10014)。[ヘルプ] > [Appleにバグレポートを送信]と選択し、エラー番号と、このメッセージが表示される前に行った操作の説明を入力してください。

エラー詳細:
Windows XP上Internet Explorerの場合:
アクセスするとステータスバーに「〜 を開いています...」もしくは「待機中: 〜...」と表示されたまま2分程経過し、以下のメッセージが表示されます。
Internet Explorerではこのページは表示できません
可能性のある原因
・インターネットに接続されていない。
・Webサイトに問題が発生している。
・アドレスに入力の間違いがある可能性がある。
もしくは(Internet Explorer 6の場合)
ページを表示できません。
検索中のページは現在、利用できません。Webサイトに技術的な問題が発生しているか、ブラウザの設定を調整する必要があります。
Windows Vista上Internet Explorerの場合:
アクセスすると直ちに上記と同じメッセージが表示されます。
Google Chromeの場合:
アクセスすると直ちに以下のメッセージが表示されます。
このウェブサイトはご利用いただけません。
〜 のウェブページは一時的に停止しているか、またはURLが変更している可能性があります。
エラーの詳細
元のエラーメッセージは次のとおりです。
エラー 107 (net::ERR_SSL_PROTOCOL_ERROR): 不明なエラーです。
Windows上Safariの場合の表示:
ページを開けません。
ページ"〜"を開けません。サーバ"〜"にセキュリティ保護された接続を確立できません。


A 正しく登録担当者用証明書がインストールされたブラウザを使用してもアクセスできない場合は、お使いのブラウザが安全でないTLS renegotiationを受け付けないことが想定されます。例えば、Windowsパソコンで絵文字:別ウィンドウKB977377を適用しているとこのような状態になることが確認されています。KB977377を適用している場合は一時的にレジストリ
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\DisableRenegoOnClient

の値(確認例)を1から0に変更してアクセスしてみてください。終わったら元に戻すのを忘れないでください。
※KB977377をエンドユーザーが適用することは推奨されておらず、サーバ管理者にのみ推奨されています。
 

Q6.10

登録担当者用証明書を取得するために支援システムにアクセスし、CSPと鍵長を選択後「パラメーターが間違っています」というエラーが表示されます。(Windows 7/IE 8)

[-2147024809]CertEnroll::CX509PrivateKey::put_Algorithm: パラメーターが間違っています。 0x80070057 (WIN32: 87)

エラー詳細:
Windows 7上Internet Explorerの場合の表示:
 VBScript
 [-2147024809]CertEnroll::CX509PrivateKey::put_Algorithm: パラメーターが間違っています。 0x80070057 (WIN32: 87)

A.現在Windows 7は登録担当者用証明書の取得に関するサポート対象となっておらず、Windows 7上Internet Explorer 8において、上記エラーにて取得できないことが確認されております。このような場合は別ブラウザ(Firefox)もしくは別OS(Vista/XP等)にて登録担当者用証明書を取得いただき、エクスポートおよびインポートにより移行させた上でご利用ください。その際移行元の証明書ストア内の証明書および作成されたファイルを確実に削除することを忘れないようにお願いします。