UPKIオープンドメイン証明書自動発行検証プロジェクト第1回参加説明会(質疑応答内容)

日時
2009-05-15 09:00
カテゴリ
会議・イベント

【加入者情報の変更】
Q1:加入者に変更があった場合にはE-Mailアドレス等情報の変更が必要となると思われるが,どのように手続きを行ったら良いか。
A1:変更が発生した場合には事務局までご相談ください。

 

【共有メールアドレスでの申請】
Q2:登録担当者や加入者のメールアドレスに共有のメールアドレスを利用しても良いか。
A2:共有メールアドレスは極力利用せず,個人のメールアドレスをご利用ください。
やむを得ず共有メールアドレスを利用する必要がある場合には、事前に事務局までご相談ください。

 

【旧プロジェクトのS/MIME証明書の有効期限】
Q3:旧プロジェクトで配布したS/MIME証明書は,いつまで有効か。
A3:少なくとも平成21年9月末までは有効としますが,その後は認証局の閉局に伴い失効する可能性があります。詳細については,後日,本ホームページでご連絡いたします。

 

【事務局からのメールのS/MIME署名】
Q4:支援システムから各加入者や登録担当者に送信されるメールには,S/MIME署名されていると聞いたが,加入者や登録担当者はS/MIMEが利用できるメーラーを使用することが必須となるのか。Webメールクライアントはどうなるのか。
A4:事務局からの各連絡はS/MIME署名を付与しますので、できるだけS/MIME署名検証が可能なメーラーをご利用いただくことを推奨します。

 

【登録担当者用証明書(有効期間)】
Q5:新プロジェクトで配布する登録担当者用のクライアント証明書はいつまで有効か。
A5:新プロジェクトで発行するサーバ証明書の有効期間と同様に25ケ月です。なお,失効1ケ月前には登録担当者に,更新用クライアント証明書の取得URLをメールで通知することとなっていますので,メールの内容に従って事務局からアクセスPINを取得することで更新したクライアント証明書を取得することが可能となります。

 

【利用可能なWebブラウザ】
Q6:本証明書では「Internet Explorer 8」を利用できるか。
A6:既にWebブラウザ上に信頼された認証機関として登録されているので,サーバ証明書の検証にInternet Explorer 8を利用することは可能です。
ただし,支援システムにアクセスする登録担当者のWebブラウザとして利用可能か否かは未検証ですので,検証でき次第,本ホームページでご連絡いたします。
(2009年8月6日追記) Internet Explorer 8について動作確認しました。Internet Explorer 7と同様の手順にて,登録担当者のWebブラウザとして利用可能です。

 

【CSRの作成(STフィールドの利用)】
Q7:システムによってはSTを入力しないとCSRを生成できないものがあるが、これに対応してほしい。
A7:現在検討中です。対応可能となりましたら,本ホームページでご連絡いたします。

 

【CSRの作成(OUフィールドの利用)】
Q8:証明書発行要求(CSR)のOUフィールドは部局(部署)名を記入するのか。
A8:CP/CPS上で部局(部署)名を記載することを原則としています。従って,部局(部署)名称をご記入ください。

 

【サーバ証明書発行申請ファイルの仕様】
Q9:説明会資料(スライド)のP18とP21のサーバ証明書発行申請ファイルの入力項目について不整合が発生しているがこれはどちらが正しいのか。また,サーバ証明書発行申請ファイルの仕様詳細を開示してほしい。
A9:資料の不整合については,修正版を本サイト上に掲載しております。⇒ 説明会資料(スライド)
また,サーバ証明書発行申請ファイルの仕様詳細については,「支援システム操作手順書(加入者用)」の「5.本システムで扱うファイル形式」に掲載しておりますのでご参照ください。

 

【サーバ証明書発行ファイル作成支援ツール】
Q10:ツールを利用するにあたり利用可能なExcelのバージョンは何か,また,Mac OS X上のOffice2008やOpenOffice.Orgは利用可能か。
A10:フォームへの入力については,MS Office2000以降のExcelについては動作確認をしていますが,TSVファイル生成処理にVBScriptを使用しているためMac OS X上ではTSVファイル生成を行うことができません。TSVファイル生成(VBScriptの実行)に関してはWindows上で実行いただきますようお願いします。
(2009年8月6日追記) この質問は当時説明していた,Excelマクロ版のツールに関する質問です。現在はTSVツール(Webアプリ版)をご利用いただくことをお勧めしています。

 

【サーバ証明書発行ファイル作成支援ツール その2】
Q11:主体者DNのOを自大学名に固定するなど、TSV作成支援ツールを各大学でカスタマイズできるようになるとよい。
A11:検討いたします。

 

【支援システムの登録担当者画面】
Q12:支援システムのインタフェースで,同一機関の登録担当者でもログインしたら登録担当者によって操作する画面が異なるのか。
A12:同一機関の登録担当者が支援システムで作業をする際には,同一機関の他の登録担当者と同じ画面が表示されます。従って,同一機関のサーバ証明書発行履歴等については全ての登録担当者がリストとしてダウンロードすることが可能です。また,このサーバ証明書発行履歴は登録担当者IDを含みますので,ダウンロードしたリストにExcel等を利用してIDでフィルタをかけ登録担当者ごとに振り分ける等の処理を行うことが可能です。

 

【同一FQDNのサーバ証明書】
Q13:ロードバランサの利用等,同一のFQDNを持つサーバ証明書を複数利用したい場合にはどのようにしたら良いか。
A13:同一FQDNであれば、発行された1枚のサーバ証明書を、必要とする複数の機器にコピーしてご利用いただくことができます。この使用条件は、複数の機器であっても同一FQDNであれば、多くの場合鍵ペア漏洩リスクは同等である、という前提にもとづくものです。従って、同一FQDNであっても機器によって鍵ペア漏洩リスクが異なるなど運用状況によっては従来通り、OU部分が異なる証明書を申請・発行する形で対応いただくことを推奨します。
(2009年7月9日追記) FAQに追記事項を含めて掲載しました。⇒  FAQ Q3.5

 

 ⇒   第2回参加説明会質疑応答へ