質問

Advanced Search

Solution ID : SO22891

Last Modified : 06/04/2018

クロスルート証明書について

Problem

クロスルート証明書とは何ですか。

 

お読みください
クロスルート設定用証明書が必要な場合以外は、中間証明書のみを設定してください。
背景や必要条件などの詳細は以下のサイトを確認してください。
クロスルート設定用証明書の設定について、どのような対応が必要でしょうか?
クロスルート証明書ご提供方法変更のご案内(続報)
 

Solution

お読みください
このページで説明している内容は2017年11月30日までにシマンテックCAから発行された証明書に対しての内容となります。
2017年12月1日以降に発行されたマネージドCA発行の証明書については以下のサイトを確認してください。
INFO4700-Managed CA対応リリース後のクロスルート設定用証明書

 

サーバ証明書ではクロスルート方式を採用しています。
クロスルート方式は複数の独立したルートCA証明書を利用してサーバ証明書(End Entity)の検証を行うことが出来る仕組みです。
ブラウザ(クライアント))に搭載されているルートCA証明書によって、3階層、または4階層で証明書の検証が行われます。

G5ルートが導入されていない古いブラウザや携帯電話端末の場合は、G1ルートを信頼されたルート証明機関として4階層で署名検証されますが、
G5ルートが導入されている比較的新しいブラウザの場合は、G5ルートを信頼されたルート証明機関として、3階層で署名検証されることになります。

ルート証明書情報

VeriSign Class 3 Public Primary CA (通称G1ルート)

ハッシュアルゴリズムSHA-1のタイプ
Country = US
Organization = VeriSign, Inc.
Organizational Unit = Class 3 Public Primary Certification Authority

Serial Number: 3c 91 31 cb 1f f6 d0 1b 0e 9a b8 d0 44 bf 12 be
Operational Period: Mon Jan 29, 1996 to Wed Aug 02, 2028
Certificate SHA1 Fingerprint: a/1 db 63 93 91 6f 17 e4 18 55 09 40 04 15 c7 02 40 b0 ae 6b

ハッシュアルゴリズムMD2のタイプ
Country = US
Organization = VeriSign, Inc.
Organizational Unit = Class 3 Public Primary Certification Authority

Serial Number: 70 ba e4 1d 10 d9 29 34 b6 38 ca 7b 03 cc ba bf
Operational Period: Mon Jan 29, 1996 to Tue Aug 01, 2028
Certificate SHA1 Fingerprint: 74 2c 31 92 e6 07 e4 24 eb 45 49 54 2b e1 bb c5 3e 61 74 e2

 

VeriSign Class 3 Public Primary Certification Authority - G5 (通称G5ルート)

Country = US
Organization = VeriSign, Inc.
Organizational Unit = VeriSign Trust Network
Organizational Unit = (c) 2006 VeriSign, Inc. - For authorized use only
Common Name = VeriSign Class 3 Public Primary Certification Authority - G5

Serial Number: 18 da d1 9e 26 7d e8 bb 4a 21 58 cd cc 6b 3b 4a
Operational Period: Tue, November 07, 2006 to Wed, July 16, 2036
Certificate SHA1 Fingerprint: 4e b6 d5 78 49 9b 1c cf 5f 58 1e ad 56 be 3d 9b 67 44 a5 e5

 

クロスルート方式を実現するには、サーバ証明書を導入するウェブサーバにクロスルート設定用証明書のインストールが必要となります。
クロスルート設定用証明書が設定されていない場合は、G5ルートが搭載されていないクライアント環境で、証明書の検証チェーンが確立できずに警告が表示されることになります。

警告例

Internet Explorer

Firefox

クロスルート設定用証明書に関連したトラブル