クライアント証明書導入マニュアル Windows10 用 第 1.1 版 2018 年 12 月 13 日
改訂履歴 版改訂日区分改訂箇所改訂内容 1.0 2016/01/08 新規 新規作成 1.1 2018/12/13 修正 画面デザイン変更に伴う修正 2
目次 1. はじめに... 4 2. Internet Explorer のセキュリティ設定について... 5 3. Internet Explorer のアドオン確認について... 9 4. KDDIクライアント証明書ダウンロードサイトへアクセスする... 11 5. CA 証明書をインストールする... 12 6. クライアント証明書をインストールする... 16 7. クライアント証明書をバックアップする... 19 8. クライアント証明書を復元する... 24 9. CA 証明書を削除する... 27 10. クライアント証明書を削除する... 30 11. 困ったときは... 32 3
1. はじめに 当マニュアルでは サービスをご利用いただくうえで必要となるクライアント証明書のインストール手順を説明しています 7. クライアント証明書をバックアップする をご参照の上 ご利用の PC の交換 故障に備えて インストールした証明書を必ずバックアップしておいてください 証明書はご利用の Web ブラウザに組み込まれます パソコンを変更した場合等ブラウザソフトに変更があった場合は 再度証明書のインストールを行う必要があります 複数のユーザ ID をお持ちのお客様向けのご案内 クライアント証明書はお客様の 1ID につき 1 つのクライアント証明書を発行させて頂いておりますので ID を複数お持ちのお客様は ID の数分だけクライアント証明書のインストール作業が必要になります Windows11 での動作環境は Web ブラウザとして Internet Explorer 11.0 での動作確認をしております それ以外のバージョン 他のブラウザでは 正しく表示されない場合があります クライアント証明書のインストールには 管理者権限 での作業が必要となります Internet Explorer は Microsoft 社の登録商標です 4
2. Internet Explorer のセキュリティ設定について (1) Internet Explorer の ツール メニューから インターネットオプション を選択してください 1 2 (2) セキュリティ タブを開き 信頼済みサイト を選択し 保護モードを有効にする のチェックを外します 次に サイト ボタンを押してください 6. クライアント証明書をインストールする 完了後は 設定を元の状態に戻して頂いて構いません 1 2 4 3 5
(3) この Web サイトをゾーンに追加する の欄に https://ca2.kddi.com/ と入力して 追加 ボタンを押してください 6. クライアント証明書をインストールする 完了後は 設定を元の状態に戻して頂いて構いません 1 2 (4) Web サイト の欄に URL が追加されたことが確認できたら 閉じる ボタンを押します (5) セキュリティ タブを開き 信頼済みサイト を選択し レベルのカスタマイズ ボタンを押してください 1 2 3 6
(6) ActiveX コントロールとプラグインの実行 を 有効にする に変更してください (7) スクリプトを実行しても安全だとマークされていない ActiveX コントロールの初期化とスクリプトの実行 と スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行 を 有効にする に変更してください (8) アクティブスクリプト を 有効にする に変更し OK を押してください 7
(9) 警告画面が表示されたら はい OK を押してください ブラウザバージョン セキュリティの設定によっては このダイアログは表示されません 以上で Internet Explorer のセキュリティ設定は終了です 8
3. Internet Explorer のアドオン確認について (1) Internet Explorer の ツール メニューから アドオンの管理 を選択してください 1 2 (2) 表示で すべてのアドオン を選択します X509 Enrollment WebClassFactory が存在するか 有効 になっているかを確認してください 有効であれば 4.KDDI クライアント証明書ダウンロードサイトへアクセスする に進んでください OS ブラウザのバージョンにより画面が多少異なることがあります 9
(3) X509 Enrollment WebClassFactory が 無効 であった場合 有効 に変更してください (4) アドオンの管理 画面の 閉じる ボタンを押して閉じてください (5) 動作している Internet Explorer を右上の ボタンですべて閉じます (6) 再度 Internet Explorer を起動すれば設定が有効になっています 以上で アドオン確認は終了です 10
4. KDDI クライアント証明書ダウンロードサイトへアクセスする (1) KDDI クライアント証明書ダウンロードサイトへアクセスします URL https://ca2.kddi.com/cda-cgi/clientcgi.exe?action=start CA 証明書のインストールクライアント証明書のインストールお問い合せドキュメント CA 証明書のインストールができます クライアント証明書のインストールができます お問い合わせ先を記載しております このマニュアルを含む各種ドキュメントのダウンロードができます 11
5. CA 証明書をインストールする (1) KDDI クライアント証明書ダウンロードサイトのトップ画面から CA 証明書 の インストール を押してください (2) ファイルのダウンロード ダイアログで 保存 の右側の を押し 名前を付けて保存 を押してください (3) 名前を付けて保存 ウィンドウが表示されたら 保存場所を デスクトップ にして ファイル名は cacert.cer のまま変更せずに 保存 を押してください (4) cacert.cer のダウンロードが完了しました が表示されたら ボタンを押してください 12
(5) デスクトップに保存された cacert.cer アイコンを右クリックして 証明書のインストール を選択します (6) 証明書のインポートウィザード が起動します 現在のユーザー を選択し 次へ ボタンを押してください (7) 証明書をすべて次のストアに配置する を選択して 参照 ボタンを押してください 13
(8) 信頼されたルート証明機関 を選択して OK ボタンを押してください (9) 次へ ボタンを押してください (10) 完了 ボタンを押してください 14
(11) セキュリティ警告 が表示されますが 問題ありませんので はい ボタンを押してください ブラウザバージョン セキュリティの設定によっては このダイアログは表示されません (12) 正しくインポートされました と表示されたら OK ボタンを押してください 以上で CA 証明書のインストールは終了です 15
6. クライアント証明書をインストールする < 重要 > 必ず 5. CA 証明書をインストールする を先に実施してください CA 証明書がインストールされていないとクライアント証明書のインストールがうまくいかないことがあります (1) KDDI クライアント証明書ダウンロードサイトのトップ画面から クライアント証明書 の インストール を押してください (2) Web アクセスの確認 ダイアログが表示されますが はい を押してください ブラウザバージョン セキュリティの設定によっては このダイアログは表示されません 16
(3) 以下のウィンドウが開きますので CSP タイプ には "RSA full" CSP は"Microsoft Enhanced Cryptographic Provider v1.0" を選択してください システム連携により参照コードと認証コードが既に表示されている場合はそのまま 送信 ボタンを押してください 参照コードと認証コードが空欄の場合は 参照コード 欄と 認証コード 欄に 弊社よりお伝えしておりますコードを入力して 送信 ボタンを押してください < 重要 > 1) 一度利用したコードは無効化されます 参照コード と 認証コード を入力して 送信 ボタンを押した時点で コードは無効化されますので 以降の手順に失敗した場合は弊社各システム担当まで 参照コード と 認証コード の再発行をお申し出ください 2) ご利用の環境 ( セキュリティソフト ブラウザ設定など ) によっては CSP タイプ と CSP の選択が出来ないことがあります 設定方法は 2.Internet Explorer のセキュリティ設定について をご参照ください (4) 新しい RSA 交換キーを作成します ダイアログが表示されましたら OK ボタンを押してください ブラウザバージョン セキュリティの設定によっては このダイアログは表示されません ブラウザ画面に隠れて表示される場合があるため 画面を確認してください 17
(5) Web アクセスの確認 ダイアログが表示されますが はい を押してください ブラウザバージョン セキュリティの設定によっては このダイアログは表示されません (6) 以下の画面のように クライアント証明書のインストールに成功しました と表示されたらインストール完了です ブラウザ右上の ボタンを押してウィンドウを閉じてください 以上で クライアント証明書のインストールは終了です 18
7. クライアント証明書をバックアップする ご利用の PC の交換 故障に備えて インストールした証明書を必ずバックアップしておいてください (1) Internet Explorer の ツール メニューから インターネットオプション を選択してください 1 2 (2) コンテンツ タブを開き 証明書 ボタンを押してください 1 2 19
(3) 個人 タブに表示されている証明書一覧から バックアップ対象を選択して エクスポート ボタンを押してください バックアップ対象は 発行先が ユーザ ID 発行者が KDDI Corporation になっています (4) 証明書のエクスポートウィザード が起動します 次へ ボタンを押してください 20
(5) はい 秘密キーをエクスポートします を選択して 次へ ボタンを押してください (6) 以下の設定で 次へ ボタンを押してください チェックしない : 証明のパスにある証明書を可能であればすべて含む チェックしない : 正しくエクスポートされたときは秘密キーを削除する チェックしない : すべての拡張プロパティをエクスポートする チェックしない : 証明書のプライバシーを有効にする 21
(7) パスワード にチェックし お客様が設定するパスワードを入力してください パスワードの確認 に パスワード に入力した値と同値を入力して 次へ ボタンを押してください < 重要 > パスワードは バックアップした証明書を復元する際に必要となります 設定したパスワードはお客様にて管理してください (8) 参照 ボタンを押して 保存場所とファイル名を決定して 次へ ボタンを押してください 22
(9) 完了 ボタンを押してください (10) 秘密交換キーをエクスポートします というダイアログが表示された場合は OK ボタンを押してください ブラウザバージョン セキュリティの設定によっては このダイアログは表示されません (11) 正しくエクスポートされました と表示されましたら OK ボタンを押してください 保存したファイルは大切に保管してください 以上で クライアント証明書のバックアップは終了です 23
8. クライアント証明書を復元する ここでは 7. クライアント証明書をバックアップする でバックアップした証明書を新しい PC へ復元する手順を記載します < 重要 > 必ず 5. CA 証明書をインストールする を先に実施してください CA 証明書がインストールされていないとクライアント証明書のインストールがうまくいかないことがあります (1) バックアップした証明書のアイコンをダブルクリックするか アイコンを右クリックして PFX のインストール を選択すると 証明書のインポートウィザード が起動します (2) 次へ ボタンを押してください 24
(3) ファイル名 欄に バックアップ証明書のファイル名が表示されていることを確認して 次へ ボタンを押してください (4) パスワード 欄へバックアップ時に指定したパスワードを入力して 以下の設定で 次へ ボタンを 押してください チェックする : 秘密キーの保護を強力にする チェックする : このキーのエクスポートを可能にする チェックしない : すべての拡張プロパティを含める このパスワードは バックアップ時にお客様が設定されたものであり 弊社が発行したログインパスワードとは関係ございません 25
(5) そのまま 次へ ボタンを押してください (6) 完了 ボタンを押してください (7) 秘密交換キーをインポートします というダイアログが表示された場合は OK ボタンを押してください ブラウザバージョン セキュリティの設定によっては このダイアログは表示されません (8) 正しくインポートされました と表示されたら OK ボタンを押してください 以上で クライアント証明書の復元は終了です 26
9. CA 証明書を削除する ご利用の PC の交換 廃棄などで 証明書がご不要の際に インストールした CA 証明書を削除することをお奨めします (1) Internet Explorer の ツール メニューから インターネットオプション を選択してください 1 2 (2) コンテンツ タブを開き 証明書 ボタンを押してください 1 2 27
(3) 信頼されたルート証明機関 タブに表示されている証明書一覧から 削除対象を選択して 削除 ボタンを押してください 削除対象は 発行先が KDDI Corporation 発行者が KDDI Corporation になっています (4) 証明書削除の確認画面が表示されます はい ボタンを押してください ブラウザバージョン セキュリティの設定によっては このダイアログが表示されます (5) 証明書削除の確認画面が表示されます はい ボタンを押してください ブラウザバージョン セキュリティの設定によっては このダイアログが表示されます 28
(6) 削除対象が削除されていることを確認して 閉じる ボタンを押してください 以上で CA 証明書の削除は終了です 29
10. クライアント証明書を削除する ご利用の PC の交換 廃棄などで 証明書がご不要の際に インストールしたクライアント証明書を削除することをお奨めします (1) Internet Explorer の ツール メニューから インターネットオプション を選択してください 1 2 (2) コンテンツ タブを開き 証明書 ボタンを押してください 1 2 30
(3) 個人 タブに表示されている証明書一覧から 削除対象を選択して 削除 ボタンを押してください 削除対象は 発行先が ユーザID 発行者が KDDI Corporation になっています (4) 証明書削除の確認画面が表示されます はい ボタンを押してください (5) 削除対象が削除されていることを確認して 閉じる ボタンを押してください 以上で クライアント証明書の削除は終了です 31
11. 困ったときは ご利用の際に問題が発生した場合にご覧ください No 症状またはエラーメッセージ 対処方法 1 トップページは表示されるが ログインページが表示されない 以下の点をご確認ください 1IE 設定でSSL 通信 ( 暗号化通信 ) が有効になっていますか? 2KDDIが発行したクライアント証明書はインストールされてますか? 3クライアント証明書の有効期限は切れていませんか? ( 有効期限は インターネットオプションで 確認できます ) 2 ログイン時に以下のようなエラーが出る パスワードが失効しているため ログインできません 3 証明書をインストールした PC が壊れた 証明書を削除してしまった 4 証明書をインストールした PC を置き換えることになった 何度もログインに失敗すると 不正なログイン試行とみなされ パスワードが失効されます お問い合わせ先 に記載された各システム担当まで失効解除をお申し出ください 事前にクライアント証明書をバックアップした ファイル化した証明書があれば それを PC に復元処理してインストールしてください バックアップした証明書がない場合には お問い合わせ先 に記載された各システム担当まで クライアント証明書の再発行をお申し出ください クライアント証明書をバックアップしていただき ファイル化した証明書を新しい PC に復元処理にてインストールしてください バックアップが不可能な場合は お問い合わせ先 に記載された各システム担当まで クライアント証明書の再発行をお申し出ください 5 証明書の有効期限が切れた お問い合わせ先 に記載された各システム担当まで クライ アント証明書の再発行をお申し出ください 6 証明書の導入に失敗する 確認画面の OK ボタンを押さずに処理を継続してしまうと 導入がうまくいかない原因となります ブラウザソフトなどで 確認画面が隠れてしまっていないかをご確認ください 7 証明書の導入時にエラー 1B6 が発生する エラー 1B6 Windows Vista, Windows Server 2008, Windows 7 から新しい証明書登録の API の追加及びセキュリティ機能の仕様が変更された為 当該エラーが発生するようになりました 次の設定変更を行う事で エラー 1B6 は解消されます Active X コントロールとプラグインの設定で スクリプトを実行しても安全だとマークされていない ActiveX コントロールの初期化とスクリプトの実行 を " 有効にする " へ変更してください ( 設定方法は 2. Internet Explorer のセキュリティ設定について をご参照ください ) 32