個人認証用証明書を発行するCAのプライベート化に関するお知らせ

2023-10-13 13:09 by 道家

平素はUPKI電子証明書発行サービスをご利用いただきありがとうございます。

クライアント証明書の内、個人認証用証明書を発行するCAのプライベート化に関してご案内を申し上げます。

「個人認証用証明書の有効期限に関するお知らせ」で、ご連絡しましたとおり、個人認証用証明書を発行する共有CA「SECOM Passport for Member PUB CA8」について、中間CA証明書の有効期限に対応するため、CAの切替えが必要となりました。
セコムトラストシステムズから、切替え後の新CAは、Google ChromeへのルートCA非搭載化(CAのプライベート化)の提案があり、利用機関様のご意見を伺いつつ検討行いました結果、有効期限を短くして、パブリックのまま利用可能としても、いずれはプライベート化する必要があることや、パブリックの継続利用を希望する機関が少数であったことから、2023年12月14日(木)にプライベートなCAに切替えを行うこととなりました。(「① 変更を行う理由について」・「② アンケート結果」参照)
なお、切替え前に発行した証明書は、切替え日以降もそのまま有効期限までご利用可能です。証明書を発行し直す必要はありません
また、登録担当者証明書のCAについては、RSA2048bitの利用期限が2030年12月31日のため、CA証明書がRSA4096bitのCAを構築し、CA移行を行います。
必要な対応や変更点は次のとおりです。

■対象の証明書
13: クライアント証明書(sha256WithRSAEncryption 有効期間:13ヶ月)
14: クライアント証明書(sha256WithRSAEncryption 有効期間:25ヶ月)
5: クライアント証明書(sha256WithRSAEncryption 有効期間:48ヶ月)
1: 登録担当者用証明書(sha1RSAEncryption 有効期間:25ヶ月)
※サーバ証明書、S/MIME証明書は対象外です
※プロファイルID5の有効期間は、CA切り替え後は、52ヶ月に変更します。

■CA切替え予定日
2023年12月14日(木) (「③ 今後の対応」参照)

■CA切替え日前までに必要な対応
個人認証用証明書の検証側(主にサーバ)に
ルート証明書をインストールの上、設定をお願いいたします。
ルート証明書は次のURLから取得できます。
http://repo2.secomtrust.net/spcpp/pfm20/
 →SECOM Passport for Member RSA CA16
なお、登録担当者用証明書については、この対応は不要です。

[追記]--

  • 各種手順書では、repo1.secomtrust.netを掲載しておりますが、repo1とrepo2では、参照先は相違ありません。
  • 2023年以降に新規構築した証明書プロファイルは、負荷分散の観点からrepo2を設定しております。
  • CRLのURLはrepo1.secomtrust.netで問題ありません。(EE証明書内のCRL DPはrepo1を記載しております。)
  • 新規作成する証明書プロファイルにあるcaIssuersの記載内容はrepo2となります。個人認証用証明書のCAのAIAのcaIssuersは、切替え後から、次のとおり変更になります。

  SECOM Passport for Member PUB CA8
   [設定なし]
  ↓
  SECOM Passport for Member RSA CA16
   http://repo2.secomtrust.net/spcpp/pfm20/ca16/pfmca16.cer

  • AIAのcaIssuersは、TLSサーバー証明書とS/MIME証明書の場合はBaseline Requirementsで必須化されています。PrivateなCAにおいては、Public系なCAで必須化されていく流れに準じ、セコムトラストシステムズでは記載する方針としています。
  • クライアント認証をする上で、特にご利用上の変更点はございません。

--

■CA切り替え後の変更点
<証明書記載内容>※CA切替え日前までに発行済みの証明書は変更ありません。
プロファイルID13、14,5
・現証明書
  Security Communication RootCA2(ルートCA)
   →SECOM Passport for Member PUB CA8(中間CA)
    →EE証明書

・新証明書
  SECOM Passport for Member RSA CA16(ルートCA)
   →EE証明書

プロファイルID1(登録担当者証明書)
・現証明書
  NII Open Domain CA - G2
   →EE証明書

・新証明書
  SECOM Passport for Member RSA CA16(ルートCA)
   →EE証明書

<ルート証明書の取得方法>
・現証明書
  端末やブラウザにあらかじめルート証明書がインストール済み

・新証明書
  端末やブラウザにあらかじめルート証明書がインストールされていないため、利用者はインストールする。
 (ルート証明書は、提供するP.12形式にルートを含めて配布する)
  インストール時にフィンガープリントを確認する。

※電子証明書自動発行支援システムにアップロードするTSVファイルの形式に変更はありません。

お手数をおかけしますが、何卒よろしくお願い申し上げます。

 

① 変更を行う理由について


② アンケート結果


③ 今後の対応

 

本件に関する連絡先:
=========================================
国立情報学研究所 学術基盤課 認証基盤・クラウド推進チーム(認証担当)
お問い合わせフォーム:https://certs.nii.ac.jp/contact/form
==========================================