クライアント証明書の自動失効条件
Gluegent Gate 経由で発行したクライアント証明書は、対象ユーザーの削除やメールアドレスの変更により、自動的に失効処理が行われる場合があります。発行元の認証局(CA)と利用形態(証明書認証 / 証明書確認)ごとの条件は以下の通りです。
| 発行元の認証局 (CA) | 利用形態 | ユーザーを削除した場合 | メールアドレスを変更した場合 |
| NRA-PKI | 証明書認証 | 失効する | 失効する |
| 証明書確認 | 失効する ※ | 失効する ※ | |
| Cybertrust | 証明書認証 | 失効する | 失効しない |
| 証明書確認 | 失効しない | 失効しない |
情報:
証明書の失効処理は毎時 35 分に行われます。(例:15:00に上記操作を実施した場合、15:35に失効)
NRA-PKIに関する注意点
NRA-PKI で発行した証明書は、NRA側のユーザー情報と連携がとれていないと失効自体ができなくなる仕様上の制約があるため、「証明書確認」の場合であっても自動失効の対象となります。
ユーザーの削除やメールアドレスの変更が必要な場合は、以下の手順で操作を行ってください。
- 旧証明書の失効:「端末」→「クライアント証明書」にて、対象ユーザーの既存の証明書を手動で失効させます。
- ユーザー情報の変更・削除:ユーザーの削除、またはメールアドレスの変更を実施します。
- 新しい証明書の申請:メールアドレス変更後のユーザー、または新規ユーザーにて、証明書を申請します。
- 証明書のインストール: 発行された新しい証明書を端末にダウンロードし、インストールを完了させてください。
情報:
メールアドレス変更後に証明書が失効した場合、内部の処理実行次第ではシステムログ上で失敗のログが出力される場合があります。
■別ユーザーで同一メールアドレスを使用する際の注意点
NRA-PKI のクライアント証明書は、ユーザーID とメールアドレスがユニークである必要があります。
例えば、
ユーザーID:test1@example
メールアドレス:aaa@example.comという証明書Aを作成し、ユーザーtest1 を削除します。
この状態で
ユーザーID:test2@example
メールアドレス:aaa@example.comという証明書Bを作成した場合、エラーとなり発行されません。
証明書Aが自動失効(毎時35分)されるのを待つか、「端末」→「 クライアント証明書」より証明書Aを手動で失効させてから、証明書Bを申請してください。