Knowledge Base

CertCentralからコードサイニング証明書および EV コードサイニング証明書 を申請してから発行までの流れを説明します。

Step1　オンライン申し込み

• CertCentralへサインインします。アカウントをお持ちでない場合は、 アカウントを作成してください。
• CertCentralでの申請方法は簡易ガイドをご参照ください。
  
  • CertCentral簡易ガイド（EV/OV コードサイニング証明書用）
• プロビジョニングオプションについて
  
  • DigiCert提供のハードウェアトークン （DigiCert-provided hardware token）：
    デジサートより発送されたUSBハードウェアトークンに証明書をインストールします。
    USBハードウェアトークンをお持ちでない場合はこのオプションを選択してトークンを購入いただく必要がございます。
  • 既存のトークンを使用する（Use existing token）：
    既に所有しているUSBハードウェアトークンに証明書をインストールします。
    対応するUSBハードウェアトークンについては、サイトを確認してください。
    Currently Supported eTokens（英語サイト）
  • HSMにインストールする：
    HSM（Hardware Signing Module）がFIPS140 Level2認定、Common Criteria EAL4+に対応、
    または同等のものであるところで生成したCSRファイルに対して発行いたします。

Step2　発行審査

厳格なプロセスに基づいて発行審査が行われています。お客様からの登録情報だけではなく様々な与信データやお電話での確認など、多くのプロセスをパスしなければ、コードサイニング証明書は発行できません。

• 組織の認証についてなど
  
  

Step3　証明書のインストール

発行通知メールを受信したらインストールを行います。申請時に選択したプロビジョニングオプション毎に手順が異なります。

▶「DigiCert提供のハードウェアトークン 」を選択した場合

1. デジサートより配送先住所に配送されるハードウェアトークンを受け取ります。
   ※ハードウェアトークンの配送状況を確認したい場合は、以下の手順をご確認ください。
   デジサート提供のハードウェアトークンの配送状況について
2. CertCentralにサインインサインインして「証明書」＞「オーダー」から対象のオーダー番号をクリックしてます。
3. 「証明書ステータス」から[トークンを初期化する]をクリックします。
   
   ※認証完了後に[トークンを初期化する]が表示されない場合は、まだトークンの発送が完了していませんのでしばらくお待ちください。
   ※オーダーステータスが「発行済み」にならないとメニューが表示されません。　組織認証が完了しているにもかかわらずオーダーステータスが「保留中」のままである場合は　認証連絡先に送られた承認メールで承認処理を行っていない可能性がございます。
   ※この操作では初期化が行われるわけではありません。
4. 「ハードウェアトークンを受け取りました」にチェックをいれ[送信する]をクリックします。
   
   ※トークンが届かない場合は画面上のトラッキングURLから配送状況を確認できます。
5. 改めてオーダーの「証明書操作」を選択し[証明書のインストール]をクリックします。
   
6. 証明書のインストールまでに必要なステップが表示されます。
   
7. SafeNet Authentication Client をダウンロードし、インストールします。
   ※既にインストールされている場合は不要です。
   ※バージョンが古い場合は動作しないことがあります。
   ※新しいバージョンをインストールする場合、古いバージョンはアプリケーションの削除を行ってからインストールすることをお勧めいします。
8. DigiCert Hardware Certificate Installerをダウンロードします。
9. ハードウェアトークンをご利用端末に接続し、DigiCert Hardware Certificate Installerを実行します。
   ※インストーラーに入力する初期化コード（initialization code）の有効期間は30日です。
   １か月を超えるとエラーが発生しますのでご注意ください。
   手順：EV/OVコードサイニング証明書のトークンへのインストール手順（DigiCert Hardware Certificate Installer）

▶「既存のトークンを使用する」を選択した場合 

1. CertCentralにサインインして「証明書」＞「オーダー」から対象のオーダー番号をクリックしてます。
2. オーダーの「証明書操作」を選択し[証明書のインストール]をクリックします。
   
   ※オーダーステータスが「発行済み」にならないとメニューが表示されません。組織認証が完了しているにもかかわらずオーダーステータスが「保留中」のままである場合は認証連絡先に送られた承認メールで承認処理を行っていない可能性がございます。
3. 証明書のインストールまでに必要なステップが表示されます。
   
4. SafeNet Authentication Client をダウンロードし、インストールします。
   

   ※既にインストールされている場合は不要です。
   ※バージョンが古い場合は動作しないことがあります。
   ※新しいバージョンをインストールする場合、古いバージョンはアプリケーションの削除を行ってからインストールすることをお勧めいします。

5. DigiCert Hardware Certificate Installerをダウンロードします。
6. ハードウェアトークンをご利用端末に接続し、DigiCert Hardware Certificate Installerを実行します。
   

   ※インストールで使用する初期化コード（initialization code）の有効期間は30日です。
   １か月を超えるとインストーラーに入力時にエラーが発生しますのでご注意ください。

   手順：EV/OVコードサイニング証明書のトークンへのインストール手順（DigiCert Hardware Certificate Installer）

▶「HSMにインストールする」を選択した場合。

1. CertCentralにサインインして「証明書」＞「オーダー」から対象のオーダー番号をクリックしてます。
2. 「以下の形式で証明書をダウンロード」メニューからご利用環境に最適な形式を選択してダウンロードします。
   

Step4　アプリケーションへの署名

以下、代表的な署名ツールの署名手順は以下の通りです。
※あくまで参考手順となりますので下記手順以外の署名方法や署名方法の詳細につきましては、各署名ツール提供ベンダー等に確認ください.。

• 参考：Signtool（ハードウェアトークンを使用した署名方法）※英語
  https://www.digicert.com/kb/code-signing/ev-authenticode-certificates.htm
  
• 参考：jarsigner（ハードウェアトークンを使用した署名方法）※英語
  https://www.digicert.com/kb/code-signing/java-ev-code-signing-certificate.htm
  
• 参考：Linux システムでのハードウェアトークンの設定方法 
  https://knowledge.digicert.com/tutorials/sign-a-windows-app-on-linux-using-osslsigncode
• 参考：Adobe AIR（ハードウェアトークンを使用した署名方法）※英語
  https://knowledge.digicert.com/tutorials/sign-adobe-air-applications-with-hardware-token-based-code-signing-certificate
• 参考：ハードウェアトークンを使用しない旧来タイプ
  アプリケーションへの署名方法

よくあるお問い合わせ

• Q:以前のようにpfxファイルで署名したいのですが、ハードウェアトークンからエクスポートできません。
  A:コードサイニング証明書がトークンでの提供となった背景として、業界の規定を取りまとめる
  CA/ブラウザフォーラムがコードサイニング証明書の秘密鍵がセキュリティ要件を満たすハードウェアに
  格納されなければならないとの要件の変更があったため、弊社でもハードウェアトークンでの提供となっております。
  そのためトークンから秘密鍵を取り出しことができない仕組みとなっております。
  参考：【重要】コードサイニング証明書における要件変更について　https://knowledge.digicert.com/ja/jp/alerts/ALERT2820.html

  Q:証明書のインストールを行った端末と別の端末で使用したい。
  A:一度トークンにインストールが完了したら、別の端末では改めてインストールする必要はなく、Safenet Authentication Clientをインストールしそのトークンを接続すればご利用いただけます。なお複数の端末で1つのトークンを同時に使用することはできません。

  Q: 更新したのにCertcentralで表示される有効期間が更新元オーダーの有効期限を引き継いでいません。
  A: 認証完了後の時点では有効期間が確定しておらず（１年）更新であれば、365日間と表示されますが、証明書のインストールが完了しましたら、正しい有効期間が反映されます。
  

  Q: (OV・EV)コードサイニング証明書/ドキュメントサイニング証明書の有効期間の設定について
  A:2023年6月1日より有効期間は下記の仕様となっております 。（システムの仕様により更に追加される場合もあります。）
  製品年数について、うるう年が含まれていても1年を365日で計算します。
  

• 新規申請
  有効期限開始日：コードサイニング証明書のトークンへのインストールが完了した日（※1）
  有効期限終了日：開始日　＋　製品年数　
• 更新申請（更新元の証明書の90日前から可能です）
  有効期限開始日：コードサイニング証明書のトークンへのインストールが完了した日（※1）
  有効期限終了日：開始日　＋　製品年数  +  残日数（※２）
  

• ※1： 「 プロビジョニングオプション：HSMにインストールする」を選択した場合は、認証完了後の証明書が発行された日」になります
  ※2：　残日数は、更新後の証明書の開始日から更新元オーダーの有効期限日までの日数です。 有効期限切れのオーダーを更新した場合は、残日数は0日となり新規申請と同じです 

  Q: コードサイニング証明書をインストールしていたトークンが使用できなくなりました /コードサイニング証明書をインストールするためのトークンがありません。どうすればいいですか？
  A: 新しいトークンを購入する必要があります。トークンの購入および再発行方法については下記ページをご参照ください。
  OV/EV コードサイニング証明書 トークンの追加方法　https://knowledge.digicert.com/ja/jp/generalinformation/INFO2529.html

  Q: トークンをPCに接続しても、SafeNet Authentication Clientで「トークンが接続されていません」と表示されます。
  A:

• バーチャルマシン（Virtual machine)やリモートアクセス環境、または何らかの制限がある環境だと認識されないことがあります。　利用環境に制限がないか確認してください。
• 旧バージョンをアンインストールせずに、最新バージョンのSafeNet Suthentication Client 10.8 をインストールした場合、認識できないことがあります。その場合以下の操作をお試しください。
  １）デバイスマネージャーのユニバーサルバスコントローラーの下にある「USBトークン」のプロパティを開き、ドライバータブにある[デバイスをアンインストール]をクリックします。※管理者権限での操作が必要です。
  ２）PCからトークンの接続を解除して、再接続し、SafeNet Suthentication Client での表示を確認します。
• 現在提供しているトークン（eToken 5110cc）はSafeNet Suthentication Client 10.7以前の旧バージョンでは認識しません。 旧バージョンをアンインストール後、最新バージョンをインストールしてください。

• 
  Q: OV/EVコードサイニング証明書（およびドキュメントサイニング）のライセンスや保管について
  A: 証明書を発行するにあたり、ご申請企業・法人の実在性と申請意思確認を行っています。
  証明書は、プログラムやPDFなどの電子ファイルに電子的な印鑑として署名する目的で　利用されることから、実社会における社印や部門印に相当するものと考えらるため、基本的には署名環境で利用するハードウェアトークンの管理が可能な主管部門・部署・署名担当者ごとに取得してください。
  コードサイニング証明書についてはハードウェアトークンのほかにHSMやcloudHSMを利用して証明書を格納し署名することが可能です。この場合も同様に利用する署名環境ごとに取得してください。
   

コードサイニング証明書関連ドキュメント

• コードサイニング証明書(digicert ドキュメント）
• EV コード署名証明書を要求（オーダー）する(digicert ドキュメント)