クライアント証明書導入マニュアル
Windows10 用
第 1.3 版
2020年10月28日
KDDI株式会社
2 改訂履歴 版 改訂日 区分 改訂箇所 改 訂 内 容 1.0 2016/01/08 新規 新規作成 1.1 2018/12/13 修正 画面デザイン変更に伴う修正 1.2 2019/05/08 修正 ロゴデザイン変更に伴う修正 1.3 2020/10/28 修正 3.Internet Explorer のアドオン確認について 手順修正 8.クライアント証明書を復元する 画面差し替えおよび、手順変更
3
目 次
1.
はじめに ... 4
2.
Internet Explorer のセキュリティ設定について ... 4
3.
Internet Explorer のアドオン確認について... 8
4.
KDDIクライアント証明書ダウンロードサイトへアクセスする ... 10
5.
CA証明書をインストールする ... 11
6.
クライアント証明書をインストールする ... 15
7.
クライアント証明書をバックアップする ... 18
8.
クライアント証明書を復元する ... 23
9.
CA証明書を削除する ... 27
10.
クライアント証明書を削除する ... 30
11.
困ったときは… ... 32
4
1. はじめに
当マニュアルでは、サービスをご利用いただくうえで必要となるクライアント証明書のインストール手順を 説明しています。 ※ 「7.クライアント証明書をバックアップする」をご参照の上、ご利用のPCの交換・故障に備えて、 インストールした証明書を必ずバックアップしておいてください。 ※ 証明書はご利用のWebブラウザに組み込まれます。パソコンを変更した場合等ブラウザソフトに 変更があった場合は、再度証明書のインストールを行う必要があります。 ※ 「複数のユーザIDをお持ちのお客様向けのご案内」 クライアント証明書はお客様の1IDにつき、1つのクライアント証明書を発行させて頂いておりま すので、IDを複数お持ちのお客様は、ID の数分だけクライアント証明書のインストール作業が必 要になります。※ Windows11 での動作環境はWebブラウザとして Internet Explorer 11.0 での動作確認をしております。 それ以外のバージョン、他のブラウザでは、正しく表示されない場合があります。
※ クライアント証明書のインストールには、「管理者権限」での作業が必要となります。
Internet Explorer は Microsoft 社の登録商標です。
2. Internet Explorer のセキュリティ設定について
(1) Internet Explorer の【ツール】メニューから【インターネットオプション】を選択してください。
1
5 (2) 【セキュリティ】タブを開き、【信頼済みサイト】を選択し、【保護モードを有効にする】のチェックを外します。 次に【サイト】ボタンを押してください。 ※「6.クライアント証明書をインストールする」完了後は、設定を元の状態に戻して頂いて構いません。 (3) 「この Web サイトをゾーンに追加する」の欄に https://ca2.kddi.com/と入力して、【追加】ボタンを押してく ださい。 ※「6.クライアント証明書をインストールする」完了後は、設定を元の状態に戻して頂いて構いません。 (4) 「Web サイト」の欄に URL が追加されたことが確認できたら、【閉じる】ボタンを押します。 1 2 3 4 1 2
6 (5) 【セキュリティ】タブを開き、【信頼済みサイト】を選択し、【レベルのカスタマイズ】ボタンを押してください。 (6) 「ActiveX コントロールとプラグインの実行」を【有効にする】に変更してください。 (7) 「スクリプトを実行しても安全だとマークされていない ActiveX コントロールの初期化とスクリプトの実行」 と「スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行」を【有効に する】に変更してください。 1 2 3
7 (8) 「アクティブスクリプト」を【有効にする】に変更し、【OK】を押してください。 (9) 警告画面が表示されたら【はい】、【OK】を押してください。 ※ブラウザバージョン、セキュリティの設定によっては、このダイアログは表示されません。 以上で、Internet Explorer のセキュリティ設定は終了です。
8
3. Internet Explorer のアドオン確認について
(1) Internet Explorer の【ツール】メニューから【アドオンの管理】を選択してください。 (2) 表示で「すべてのアドオン」を選択します。 「X509 Enrollment WebClassFactory」が存在するか、【有効】になっているかを確認してください。 有効であれば、「4.KDDIクライアント証明書ダウンロードサイトへアクセスする」に進んでください。 ※ OS ブラウザのバージョンにより画面が多少異なることがあります。 また、お使いの OS のバージョンにより「X509 Enrollment WebClassFactory」自体が表示されない場合が ございますが、表示されない場合は、「4.KDDIクライアント証明書ダウンロードサイトへアクセスする」に 進んでください。 1 29 (3) 「X509 Enrollment WebClassFactory」が、【無効】であった場合、【有効】に変更してください。 (4) 【アドオンの管理】画面の、【閉じる】ボタンを押して閉じてください。 (5) 動作している、Internet Explorer を右上の×ボタンですべて閉じます。 (6) 再度、Internet Explorer を起動すれば設定が有効になっています。 以上で、アドオン確認は終了です。
10
4. KDDIクライアント証明書ダウンロードサイトへアクセスする
(1) KDDI クライアント証明書ダウンロードサイトへアクセスします。 URL https://ca2.kddi.com/cda-cgi/clientcgi.exe?action=start CA証明書のインストール CA証明書のインストールができます。 クライアント証明書のインストール クライアント証明書のインストールができます。 お問い合せ お問い合わせ先を記載しております。 ドキュメント このマニュアルを含む各種ドキュメントのダウンロードができます。11
5. CA証明書をインストールする
(1) KDDI クライアント証明書ダウンロードサイトのトップ画面から【CA 証明書】の【インストール】を押してくだ さい。 (2) 「ファイルのダウンロード」ダイアログで【保存】の右側の【▼】を押し、 【名前を付けて保存】を押してください。 (3) 「名前を付けて保存」ウィンドウが表示されたら、保存場所を「デスクトップ」にして、ファイル名は 「cacert.cer」のまま変更せずに【保存】を押してください。 (4) 「cacert.cer のダウンロードが完了しました」が表示されたら、【×】ボタンを押してください。12 (5) デスクトップに保存された「cacert.cer」アイコンを右クリックして【証明書のインストール】を選択します。 (6) 「証明書のインポートウィザード」が起動します。【現在のユーザー】を選択し 【次へ】ボタンを押してください。 (7) 【証明書をすべて次のストアに配置する】を選択して、【参照】ボタンを押してください。
13 (8) 【信頼されたルート証明機関】を選択して、【OK】ボタンを押してください。
(9) 【次へ】ボタンを押してください。
14 (11) 「セキュリティ警告」が表示されますが、問題ありませんので【はい】ボタンを押してください。 ※ブラウザバージョン、セキュリティの設定によっては、このダイアログは表示されません。 (12) 「正しくインポートされました。」と表示されたら【OK】ボタンを押してください。 以上で、CA 証明書のインストールは終了です。
15
6. クライアント証明書をインストールする
<重 要> 必ず、「5. CA証明書をインストールする」を先に実施してください。 CA証明書がインストールされ ていないとクライアント証明書のインストールがうまくいかないことがあります。 (1) KDDI クライアント証明書ダウンロードサイトのトップ画面から【クライアント証明書】の【インストール】を押 してください。 (2) 「Web アクセスの確認」ダイアログが表示されますが、【はい】を押してください。 ※ブラウザバージョン、セキュリティの設定によっては、このダイアログは表示されません。
16 (1) 以下のウィンドウが開きますので、【CSP タイプ】には"RSA full"、【CSP】は"Microsoft Enhanced
Cryptographic Provider v1.0"を選択してください。システム連携により【参照コード】と【認証コード】が既 に表示されている場合はそのまま「送信」ボタンを押してください。もし、【参照コード】と【認証コード】が空 欄の場合は、弊社よりお伝えしておりますコードを入力して「送信」ボタンを押してください。 (2) <重 要> 1)一度利用したコードは無効化されます。 【参照コード】と【認証コード】を入力して【送信】ボタンを押した時点で、コードは無効化されますので、以降の 手順に失敗した場合は弊社各システム担当まで、【参照コード】と【認証コード】の再発行をお申し出ください。 2)ご利用の環境(セキュリティソフト、ブラウザ設定など)によっては、【CSPタイプ】と【CSP】の選択が出来な いことがあります。設定方法は「2.Internet Explorer のセキュリティ設定について」をご参照ください。 (3) 「新しいRSA交換キーを作成します」ダイアログが表示されましたら、【OK】ボタンを押してください。 ※ブラウザバージョン、セキュリティの設定によっては、このダイアログは表示されません。 ※ブラウザ画面に隠れて表示される場合があるため、画面を確認してください。
17 (4) 「Web アクセスの確認」ダイアログが表示されますが、【はい】を押してください。 ※ブラウザバージョン、セキュリティの設定によっては、このダイアログは表示されません。 (5) 以下の画面のように「クライアント証明書のインストールに成功しました。」と表示されたらインストール 完了です。ブラウザ右上の「×」ボタンを押してウィンドウを閉じてください。 以上で、クライアント証明書のインストールは終了です。
18
7. クライアント証明書をバックアップする
ご利用のPCの交換・故障に備えて、インストールした証明書を必ずバックアップしておいてください。 (1) Internet Explorer の【ツール】メニューから【インターネットオプション】を選択してください。 (2) 【コンテンツ】タブを開き、【証明書】ボタンを押してください。 1 2 1 219 (3) 【個人】タブに表示されている証明書一覧から、バックアップ対象を選択して【エクスポート】ボタンを 押してください。 ※バックアップ対象は、発行先が「ユーザID」、発行者が「KDDI Corporation」になっています。 (4) 「証明書のエクスポートウィザード」が起動します。【次へ】ボタンを押してください。
20 (5) 【はい、秘密キーをエクスポートします】を選択して、【次へ】ボタンを押してください。 (6) 以下の設定で【次へ】ボタンを押してください。 チェックしない : □ 証明のパスにある証明書を可能であればすべて含む。 チェックしない : □ 正しくエクスポートされたときは秘密キーを削除する。 チェックしない : □ すべての拡張プロパティをエクスポートする。 チェックしない : □ 証明書のプライバシーを有効にする
21 (7) 【パスワード】にチェックし、お客様が設定するパスワードを入力してください。 【パスワードの確認】に【パスワード】に入力した値と同値を入力して【次へ】ボタンを押してください。 <重 要> パスワードは、バックアップした証明書を復元する際に必要となります。 設定したパスワードはお客様にて管理してください。 (8) 【参照】ボタンを押して、保存場所とファイル名を決定して、【次へ】ボタンを押してください。
22 (9) 【完了】ボタンを押してください。 (10) 「秘密交換キーをエクスポートします」というダイアログが表示された場合は【OK】ボタンを押してく ださい。 ※ブラウザバージョン、セキュリティの設定によっては、このダイアログは表示されません。 (11) 「正しくエクスポートされました」と表示されましたら、【OK】ボタンを押してください。 保存したファイルは大切に保管してください。 以上で、クライアント証明書のバックアップは終了です。
23
8. クライアント証明書を復元する
ここでは「7.クライアント証明書をバックアップする」でバックアップした証明書を新しいPCへ復元する手順を 記載します。 <重 要> 必ず、「5. CA証明書をインストールする」を先に実施してください。 CA証明書がインストールされ ていないとクライアント証明書のインストールがうまくいかないことがあります。 (1) バックアップした証明書のアイコンをダブルクリックするか、アイコンを右クリックして【PFX のインストー ル】を選択すると、「証明書のインポートウィザード」が起動します。 (2) 【次へ】ボタンを押してください。24 (3) 【ファイル名】欄に、バックアップ証明書のファイル名が表示されていることを確認して、【次へ】ボタンを 押してください。 (4) 【パスワード】欄へバックアップ時に指定したパスワードを入力して、以下の設定で【次へ】ボタンを 押してください。 チェックする : □ 秘密キーの保護を強力にする。 チェックする : □ このキーのエクスポートを可能にする。 チェックしない : □ すべての拡張プロパティを含める。 このパスワードは、バックアップ時にお客様が設定されたものであり、弊社が発行したログインパスワードと は関係ございません。
25 (5) そのまま【次へ】ボタンを押してください。 (6) 【完了】ボタンを押してください。 (7) 「秘密交換キーをインポートします」というダイアログが表示された場合は【OK】ボタンを押してください。 ※ブラウザバージョン、セキュリティの設定によっては、このダイアログは表示されません。
26 (8) 「Windows セキュリティ このアプリでは暗号化キーを作成する必要があります」が表示された場合、「こ のキーを含むパスワードが必要」のチェックを外し、【OK】ボタンを押してください。 ※証明書によっては、このダイアログは表示されません。 (9) ・【OK】ボタンを押してください。 ※証明書によっては、このダイアログは表示されません。 (10) 「正しくインポートされました。」と表示されたら【OK】ボタンを押してください。 以上で、クライアント証明書の復元は終了です。 クリックして チェックを外してください。
27
9. CA証明書を削除する
ご利用のPCの交換・廃棄などで、証明書がご不要の際に、インストールしたCA証明書を削除することを お奨めします。 (1) Internet Explorer の【ツール】メニューから【インターネットオプション】を選択してください。 (2) 【コンテンツ】タブを開き、【証明書】ボタンを押してください。 1 2 1 2
28 (3) 【信頼されたルート証明機関】タブに表示されている証明書一覧から、削除対象を選択して【削除】ボタン
を押してください。
※削除対象は、発行先が「KDDI Corporation」、発行者が「KDDI Corporation」になっています。
(4) 証明書削除の確認画面が表示されます。【はい】ボタンを押してください。
※ブラウザバージョン、セキュリティの設定によっては、このダイアログが表示されます。
(5) 証明書削除の確認画面が表示されます。【はい】ボタンを押してください。
29 (6) 削除対象が削除されていることを確認して、【閉じる】ボタンを押してください。
30
10. クライアント証明書を削除する
ご利用のPCの交換・廃棄などで、証明書がご不要の際に、インストールしたクライアント証明書を 削除することをお奨めします。 (1) Internet Explorer の【ツール】メニューから【インターネットオプション】を選択してください。 (2) 【コンテンツ】タブを開き、【証明書】ボタンを押してください。 1 2 1 231 (3) 【個人】タブに表示されている証明書一覧から、削除対象を選択して【削除】ボタンを押してください。 ※削除対象は、発行先が「ユーザID」、発行者が「KDDI Corporation」になっています。 (4) 証明書削除の確認画面が表示されます。【はい】ボタンを押してください。 (5) 削除対象が削除されていることを確認して、【閉じる】ボタンを押してください。 以上で、クライアント証明書の削除は終了です。
32
11. 困ったときは…
ご利用の際に問題が発生した場合にご覧ください。 No 症状またはエラーメッセージ 対処方法 1 トップページは表示されるが、 ログインページが表示されない 以下の点をご確認ください。 ①IE設定でSSL通信(暗号化通信)が有効になっています か? ②KDDIが発行したクライアント証明書はインストールされて ますか? ③クライアント証明書の有効期限は切れていませんか? (有効期限は【インターネットオプションで】確認できます) 2 ログイン時に以下のようなエラーが出る 『パスワードが失効しているため、ログ インできません』 何度もログインに失敗すると、不正なログイン試行とみなさ れ、パスワードが失効されます。「お問い合わせ先」に記載さ れた各システム担当まで失効解除をお申し出ください。 3 ・証明書をインストールしたPCが壊れ た ・証明書を削除してしまった 事前にクライアント証明書をバックアップした、ファイル化した 証明書があれば、それを PC に復元処理してインストールし てください。 バックアップした証明書がない場合には、「お問い合わせ先」 に記載された各システム担当まで、クライアント証明書の再 発行をお申し出ください。 4 証明書をインストールしたPCを置き換 えることになった クライアント証明書をバックアップしていただき、ファイル化し た証明書を新しい PC に復元処理にてインストールしてくださ い。 バックアップが不可能な場合は、「お問い合わせ先」に記載さ れた各システム担当まで、クライアント証明書の再発行をお 申し出ください。 5 証明書の有効期限が切れた 「お問い合わせ先」に記載された各システム担当まで、クライ アント証明書の再発行をお申し出ください。 6 証明書の導入に失敗する 確認画面の「OK」ボタンを押さずに処理を継続してしまうと、 導入がうまくいかない原因となります。 ブラウザソフトなどで、確認画面が隠れてしまっていないかを ご確認ください。 7 証明書の導入時にエラー「1B6」 が発生する。 エラー「1B6」Windows Vista, Windows Server 2008, Windows 7 から新し い証明書登録の API の追加及びセキュリティ機能の仕様が 変更された為、当該エラーが発生するようになりました。次の 設定変更を行う事で、エラー 「1B6」 は解消されます。 →Active X コントロールとプラグインの設定で「スクリプトを 実行しても安全だとマークされていない ActiveX コントロー ルの初期化とスクリプトの実行」を"有効にする"へ変更してく ださい。(設定方法は「2. Internet Explorer のセキュリティ設 定について」をご参照ください。)
