S/MIME専用認証局の追加について

2016-12-22 13:06 by 末永

平素はUPKI電子証明書発行サービスをご利用いただきありがとうございます。

本サービスで発行しておりますS/MIME証明書専用認証局追加のご案内です。
これまで、本サービスのクライアント証明書(S/MIME含む)は、認証局「NII OpenDomain CA - G4」から発行されておりました。
このたび、Microsoft Root Program の変更※1により、S/MIME証明書を発行する認証局を追加することとなりましたので皆様にお知らせいたします。



■S/MIME用 新認証局について
新しく追加されるS/MIME用認証局は、「NII Open Domain S/MIME CA」となります。
2016年12月26日の証明書自動発行支援システムメンテナンス終了後(18:00予定)より提供開始いたします。
中間CA証明書は、本サービスリポジトリ( https://repo1.secomtrust.net/sppca/nii/odca3/index.html )にてメンテナンス終了後に取得できます。

■発行される証明書について
2016年12月26日のメンテナンス以降に発行する全てのS/MIME証明書(プロファイルID_7 ※2 )は、「NII Open Domain S/MIME CA」から発行されます。
2016年12月26日以降も、用途にS/MIMEを含まないクライアント証明書(プロファイルID_5 ※2)は、これまで通り「NII OpenDomain CA - G4」から発行されます。

なお、これまで発行されたクライアント証明書(S/MIME含む)の失効は不要です。これまで通りご利用いただけます。また、新しい認証局から発行されるS/MIME証明書は、ルートCAに変更ありませんので、これまで同様に信頼されます。
発行申請用TSVのフォーマットにも変更はありません。これまでと同じもので発行申請が出来ます。

上記ご査収の上、不明点ございましたら問合せフォーム( https://certs.nii.ac.jp/contact/ )よりお問い合わせください。
よろしくお願い申し上げます。

-----注釈-----
※1 Microsoft Root Program の変更内容
変更となった箇所は下記の通りです。
(引用もと)
http://social.technet.microsoft.com/wiki/contents/articles/31633.microsoft-trusted-root-program-requirements.aspx

4.Program Technical Requirements
A. Root Requirements
11.New intermediate CA certificates under root certificates submitted for distribution by the Program must separate Server Authentication, S/MIME, Code Signing and Time Stamping uses. This means that a single intermediate issuing CA must not be used to issue both server authentication, S/MIME, and code signing certificates. A separate intermediate must be used for each use case.

こちらにある通り、サーバ証明書、コード署名用証明書、S/MIMEの各用途の証明書は、それぞれ別のCAから発行することとされます。
既存の認証局への適用は、2017年1月からです。

※2
クライアント証明書発行申請TSVフォーマット
https://certs.nii.ac.jp/manual/TSV_File_Format/client_tsv/01