【重要】コード署名用証明書の仕様変更ついて

2017-02-27 13:54 by 末永

【2017/03/01追記】
この仕様変更は、サーバ証明書およびクライアント証明書、S/MIME証明書には影響しません。

平素はUPKI電子証明書発行サービスをご利用いただきありがとうございます。

本サービスで発行しておりますコード署名用証明書における仕様変更についてのご案内です。

変更内容

  1. OCSPへの対応
  2. Minimum Requirements  for the Issuance and Management of Publicly-Trusted Code Signing Certificatesへの対応

変更時期

   2017年2月28日13:00(自動発行支援システムメンテナンス終了後)

対応詳細

1.OCSPへの対応
変更適用後より、コード署名用証明書におきましてOCSPサーバによるステータス情報の提供を開始いたします。CRLによるステータス情報の取得も引き続きご利用いただけます。

なお、これまで発行されたコード署名用証明書の失効は不要ですが、OCSPに対応した証明書をご利用される場合、証明書の新規発行、もしくは更新処理を行っていただく必要がございます。

■発行される証明書について
コード署名用証明書へ下記情報が追加されます。
---
[1]Authority Info Access
     Access Method=オンライン証明書状態プロトコル (1.3.6.1.5.5.7.48.1)
     Alternative Name:
          URL=http://niicsg2.ocsp.secomtrust.net
---

2. Minimum Requirements  for the Issuance and Management of Publicly-Trusted Code Signing Certificatesへの対応

変更適用後より、証明書のサブジェクトに「L=市区町村」、「ST=都道府県」が設定されます

また、コード署名用証明書のダウンロード方式はCSR発行方式のみとし、P12発行方式を停止いたします。これはコード署名用証明書の秘密鍵管理を厳格化するためのものです。
ご利用者様におかれましては、コード署名用証明書の厳格な管理(※)をお願いいたします。
※USBメモリ等の外部媒体へ保存し鍵付きキャビネット等に保管、またはアクセス権限制限を設けた任意のフォルダにて厳重に管理してください。

■発行される証明書について
コード署名用証明書は、証明書のサブジェクトに「L=市区町村」、「ST=都道府県」が設定されます。市区町村、都道府県は申請いただいた機関所在地の情報(ローマ字表記)が記載されます。従来の「L=Academe」は記載されません。

(例)
申請されたDN

CN=National Institute of Informatics,
OU=Cyber Science Infrastructure Development Department,
O=National Institute of Informatics,
L=Academe,
C=JP

発行されるDN
CN=National Institute of Informatics,
OU=Cyber Science Infrastructure Development Department,
O=National Institute of Informatics,
L=Chiyoda-ku,
ST=Tokyo,
C=JP

TSVファイル申請例

 番号  項目名称  申請
 1  主体者DN  CN=National Institute of Informatics,
 OU=Cyber Science Infrastructure Development   
 Department,
 O=National Institute of Informatics,
 L=Academe,
 C=JP
 2  証明書プロファイルID  9
 3  ダウンロード方法  4
 4    
 5    
 6    
 7  CSR  MIIBvjCCAScCAQAwfjEbMBkGA1UEAwwSMjAxNz
~中略~
OUc52K75zjXpu7Hmt0aEctVBes3B/r
 8  利用管理者氏名  国立 太郎
 9  利用管理者所属  学術基盤推進部基盤企画課
 10  利用管理者mail  xxxxx@example.com
 11    
 12  利用管理者
 ソフトウェア名・
 バージョン
 exe

※参考
Microsoft:Microsoft Trusted Root Program Requirements
<<https://social.technet.microsoft.com/wiki/contents/articles/31633.microsoft-trusted-root-program-requirements.aspx>>

CA/Browser Forum Code Signing Working Group:Minimum Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates
<<https://casecurity.org/wp-content/uploads/2016/09/Minimum-requirements-for-the-Issuance-and-Management-of-code-signing.pdf >>

【運用】
TSVツールは引き続きこれまでどおりご利用いただけます。
※今後の発行・更新申請時も、TSV、CSRともにL=Academe,ST省略で問題ありません。

新規発行処理
 即時処理から日次処理に変更となります。
 申請内容に変更はありません。「L=Academe」を設定する必要があります。

更新処理
 即時処理から日次処理に変更となります。
 申請内容に変更はありません。「L=Academe」を設定する必要があります。

失効処理
 即時処理から日次処理に変更となります。
 申請内容に変更はありません。「L=Academe」を設定する必要があります。
 緊急で証明書の失効が必要な場合は失効申請TSVファイルの失効理由コメント項目へ
 「緊急失効依頼」と記載し申請をお願いいたします。

本件に関する連絡先
===============================================
国立情報学研究所 学術基盤課 総括・連携基盤チーム(認証担当)
TEL:03-4212-2218

メールアドレス

===============================================