DigiCert KnowledgeBase - Technical Support-hero

Knowledge Base

タイムライン:コードサイニング証明書の秘密鍵の格納に関する要件

ソリューション番号: AL050423234245
最終更新日: 2024/05/24

目次

商品説明

DigiCertの変更に関するタイムライン

背景

A. 2023年5月3日の変更(詳細)

  1. CertCentral(UI) コードサイニング証明書申請ページの変更点
  2. CertCentral(UI) 設定ページの変更点
  3. CertCentral APIの変更点
  4. EVコードサイニング証明書リクエストの変更点

B. 2023年5月17日変更点 (詳細)

  1. CSRを添付して申請するオプションの受付停止
  2. コードサイニング証明書申請画面の変更
  3. CertCentralの[設定]の変更
  4. CertCentral APIの変更点
    コードサイニング証明書の変更
    EVコードサイニング証明書の変更

C. 2023年5月31日の変更点(詳細)

商品説明


2023年6月1日 00:00 UTC から、業界標準として企業認証コードサイニング証明書の秘密鍵を、FIPS 140 レベル2、Common Criteria EAL 4+、または同等の認定を受けたハードウェアに格納する必要があります。 詳しくは、ナレッジベース記事「企業認証コードサイニング証明書における秘密鍵の格納に関する要件」をご参照ください。


この新しい要件により、お客様に今後申請いただくコードサイニング証明書の新規、更新、および再発行申請の手順、および発行される証明書の取得手順が変更となります。


[重要] DigiCertは、CertCentralにおけるコードサイニング証明書、およびEVコードサイニング証明書の変更に関して、準備が整い次第当ページに最新情報を掲載します。

 

DigiCertの変更に関するタイムライン

DigiCertは、業界が定める期限までに、コードサイニング証明書の要件を満たすよう手順を変更し、また余裕をもって移行いただけるよう、5月よりプロビジョニング方法(※)の選択肢をご提供いたします。 スケジュール概要は以下のとおりです。

 

※プロビジョニング方法とは、ここではCertCentralから発行されるコードサイニング証明書およびその秘密鍵を格納する方法を意味します。

 

2023年5月3日(JST)の変更点 (概要)

CertCentral(UI)からご申請いただく場合:

コードサイニング証明書を新規申請、または更新申請する際に、新しいハードウェアトークン、またはご自身で準備するHSMをプロビジョニング方法としてご選択いただけるようになります。

 

サービス APIよりご申請いただく場合:

コードサイニング証明書のAPI連携の更新が必要となります。 サービスAPIでは、現在のCSRフォームまたは新しいプロビジョニング方法を指定してコードサイニング注文を作成することができます。

 

CertCentral のアカウント設定:

CertCentral では、企業認証向けコードサイニング証明書、および EV コードサイニング証明書申請時の、プロビジョニング方法のデフォルト値を設定することがで着るようになります。 また、CertCentral に、DigiCert が提供するトークンの配送先住所をデフォルト値として追加できるようになります。APIリクエストで、プロビジョニング方法や必要なトークン配送先住所を省略してリクエストされた場合、エラーではなく、お客様のアカウントに設定されているデフォルト設定値を優先してリクエストを処理します。

  • CertCentral コードサイニング証明書申請ページの変更
  • CertCentral設定ページの変更
  • EVコードサイニング証明書申請ページの変更
  • コードサイニング証明書申請時APIリクエスト方式変更

 

2023年5月17日(JST)の変更点 (概要)

DigiCertは、(Java のアプリケーション用途など)CSRを提出して申請する選択肢の申請受付を停止します。また、無償ツールとしてご提供しているDigiCert証明書ユーティリティを利用し、コードサイニング証明書要求CSRを作成することも終了します。 新規、更新、再発行申請すべてが対象です。

  • コードサイニング証明書申請ページの変更
  • CertCentral 設定ページの変更。
  • コードサイニング証明書とEVコードサイニング証明書のAPIリクエスト方式統合のためのAPI変更

 

2023年5月31日(JST)の変更点(概要)

DigiCertは、新しく制定されたコードサイニング証明書の秘密鍵の格納要件に基づき、当該日までにCSRを提出して申請されたコードサイニング証明書の発行を終了します。

  • 5月30日時点で、CSRを提出して申請されたコードサイニング証明書で、保留中のオーダは以降発行処理は停止します。これら保留中のオーダーは、キャンセルし、新たに指定されたプロビジョニング方法で再度申請しなおしてください。
  • EVコードサイニング証明書
  • コードサイニング証明書およびEVコードサイニング証明書で、DigiCertからハードウェアトークンを購入する場合は、追加で20,000円(日本円)が課金されます。
  • DigiCertの新しいクラウドベースのソリューション、KeyLockerのご提供を開始します。

> トップへ戻る

背景

現在:

新規、更新、再発行申請において、コードサイニング証明書は、ご利用のアプリケーションを選択した上で、CSRの提出なし、またはCSRを提出してご申請いただいております。
 

・CSRを提出しない場合

DigiCertは証明書が発行できる状態になると、コードサイニング証明書を生成するための手順をEメールでお知らせします。お客様はEメールの手順にそって、記載されているリンクをクリックし、クライアントにて鍵生成、および証明書の取得を行います。
 

・CSRを提出した場合

DigiCertはコードサイニング証明書のコピーを、お客様にEメールで送信します。

 

今後:

申請時に「プロビジョニング方法」を指定いただきます。 FIPS 140 Level 2、Common Criteria EAL 4+、または同等の認定を受けたハードウェアに秘密鍵と証明書が格納されることで業界の要件を満たすことができます。 プロビジョニング方法には下記の選択肢があります。

  • DigiCertが提供するハードウェアトークンを利用する
    お客様が指定する配送先の住所に、証明書付きハードウェアトークンを発送し、対応トークンに証明書をインストールするための手順をメールで送信します。

  • ご自身で準備するハードウェアトークンを利用する
    証明書のインストール方法を電子メールでお知らせします。

  • ハードウェアセキュリティモジュール(HSM)にインストールする
    HSMが、Common Criteria EAL4+ または FIPS 140-2 レベル 2に準拠しているかご確認ください。確認後、CSRを作成し、そのCSRを添付して証明書を申請してください。弊社は証明書のコピーをEメールで送信します。お客様はそれをHSMにインストールします。

> トップへ戻る

A. 2023年5月3日の変更(詳細)

適用日時:5月3日3:00 JST (5月2日 18:00UTC)頃

 

1. CertCentral(UI) コードサイニング証明書申請ページの変更点:

コードサイニング証明書の申請ページに、以下のプロビジョニング方法の選択肢が表示されます。 いずれかを選択して申請してください。

 

・CSR*を提供

・DigiCertが提供するトークンを利用する

・ご自身で準備するトークンを利用する

・ハードウェアセキュリティモジュール(HSM)にインストールする

 

*注:現在のコードサイニング証明書で提供されているプロビジョニング方法のひとつです。

 

2. CertCentral(UI) 設定ページの変更点:

コードサイニング証明書、およびEVコードサイニング証明書に関する新しい設定値が設けられます。 この設定値は、CertCentaral (UI)、およびService APIリクエスト、の両方に適用されます。CertCentral管理者はこの値を変更することができますので、お客様のコードサイニング証明書、およびEVコードサイニング証明書の申請プロセス、および利用方法に応じて、最適な値を設定ください。

 

左側のナビゲーションから、「設定」>「ユーザ設定」から 「コードサイニング証明書、およびEVコードサイニング証明書の設定(仮) /  Code Signing and EV Code Signing Certificate Settings (英語 仮)」 として表示する予定です。

 

  • 設定できる項目
    • コードサイニング証明書のプロビジョニング方法
      申請画面に表示するプロビジョニング方法を選択します。

      - CSR*を提供
      - DigiCertが提供するトークンを利用する
      - ご自身で準備するトークンを利用する
      - ハードウェアセキュリティモジュール(HSM)にインストールする

      なお、コードサイニング証明書申請時時に、2つ以上の方法を表示し選択可能とした場合は、どの選択肢をデフォルトのプロビジョニング方法とするか、あらかじめ指定することもできます。


      [注意事項] 
      API経由でプロビジョニング方法を省略して申請した場合、申請はエラーにはなりません。その代わりに、自動的にデフォルトとして指定されているプロビジョニング方法を適用します。

    •  EVコードサイニング証明書のプロビジョニング方法
      申請画面に表示されているプロビジョニング方法のうち、デフォルトのプロビジョニング方法を指定します。

      [注意事項]リリース時点では、「DigiCertが提供するハードウェアトークン」の選択肢がデフォルトとして登録されます。

      API経由でプロビジョニング方法を省略して申請した場合、申請はエラーにはなりません。その代わりに、自動的にデフォルトとして指定されているプロビジョニング方法を適用します。

    • DigiCertが提供するハードウェアトークンの配送先住所(デフォルト値)
      ここに設定された住所がデフォルトの配送先として登録されます。コードサイニング証明書、およびEVコードサイニング証明書に適用されます。APIリクエストで、配送先住所を省略して申請した場合も、ここに登録されている住所が自動的に適用されます。なお、申請者は申請する際に、配送先住所を個別に指定することもできます。この場合デフォルト値ではなく、申請時に入力された配送先が優先されます。 API申請時も同様に、リクエストのボディに、住所を指定することができます。

 

3. CertCentral APIの変更点:

APIは、新しいプロビジョニング方法を使用したコードサイニング証明書の注文の受付を開始する予定です。


[重要] 
DigiCertは、新しい情報が公開可能になり次第、本ページにAPI関連の情報を追加していきます。


[注意事項]

5月17日までは、コードサイニングのリクエストは、「CSRを提出する」プロビジョニング方法を引き続きサポートします。


新しいコードサイニング証明書のAPIリクエストのボディは、EVコードサイニング証明書リクエストのボディと同等のものになります。新しいプロビジョニング方法を使用するには、これらのパラメータを使用してください。

  • cs_provisioning_method: 秘密鍵と証明書を保存するために使用するプロビジョニング方法を指定します。
  • cs_provisioning_method: 秘密鍵と証明書の保存に使用するプロビジョニング方法を指定します。もしリクエストにcs_provisioning_methodパラメータが含まれていない場合、CertCentral [設定]ページに設定されているプロビジョニング方法のデフォルト値が適用されます。
  • ship_info: プロビジョニング方法として「デジサートのトークンを利用する(ship_token)」が選択された場合、トークンの発送先住所を指定します。 もしトークン提供方法("cs_provisioning_method": "ship_token")であり、配送先住所(ship_info)を省略した場合は、アカウントに設定されたデフォルト配送先住所にトークンを出荷します。

 

デフォルトの配送先住所をご確認ください。

CertCentralの[設定]ページに、「デジサートのトークンを利用する(ship_token)」を選択した場合に、コードサイニング証明書、およびEVコードサイニング証明書リクエストのデフォルトの配送先住所を入力できる設定を追加する予定です。これは、配送先住所の指定がない状態で提出されたリクエストに影響します。上記のCertCentral [設定] ページの変更を参照してください。

リクエストに配送先住所がない状態で申請されたコードサイニング証明書に対しては、デフォルトの配送先住所が適用されますので、あらかじめ確認いただくことを推奨します。

 

 

4. EVコードサイニング証明書リクエストの変更点

2023年5月3日より、サービスAPIは、プロビジョニング方法を省略したEVコードサイニング証明書リクエスト、またはDigiCertが提供するトークンプロビジョニング方法を使用しているが配送先住所を省略したリクエストに対してエラーを返さないようになりました。代わりに、お客様のアカウントのデフォルト設定を使用してリクエストを更新し、正常に送信されるようにします。

 

[注意事項]
プロビジョニング方法を省略した場合
リクエストで、プロビジョニング方法(cs_provisioning_method)を省略した場合、お客様のアカウントに設定されているデフォルトのプロビジョニング方法を使用します。上記のEVコードサイニング証明書の変更点をご参照ください。

プロビジョニング方法の配送先住所を省略した場合
プロビジョニング方法で、[デジサートからトークンを提供] ("cs_provisioning_method": "ship_token")を指定しているが、リクエストに配送先住所(ship_info)を含んでいない場合、お客様のアカウントに設定されているデフォルトの配送先住所にトークンを発送します。


DigiCertは、配送先住所がない状態で提出されたEVコードサイニング証明書リクエストにおいて、デフォルトの配送先住所が機能するかどうかご確認ください。詳細は、上述のEVコードサイニング証明書の変更を参照してください。

> トップへ戻る

B. 2023年5月17日変更点 (詳細)

適用日: 5月17日3:00 JST (5月16日18:00 UTC)


1. CSRを添付して申請するオプションの受付停止

CertCentralから[CSRを添付して申請] の選択肢を削除します。 コードサイニング証明書の新規申請、更新申請、および再発行申請に、このプロビジョニング方法が表示されなくなります。
 

2. コードサイニング証明書申請画面の変更

コードサイニング証明書の申請画面では、以下のプロビジョニング方法のみを提供します:

  • DigiCertが提供するトークンを利用する (*デフォルト値)
  • ご自身で準備するトークンを利用する
  • ハードウェアセキュリティモジュール(HSM)にインストールする 

[警告] 5月31日より、DigiCertは、新しい秘密鍵の保管要件を満たさない要求に対して証明書を発行することができなくなりました。

5月31日までに証明書を発行するためにできることの詳細については、コードサイニング証明書を注文する方法の次のセクションを参照してください。

 

3. CertCentralの[設定]の変更

[設定]ページは、新しい業界標準に合わせるため、[CSRを提供する]のプロビジョニング方法は削除されます。5月17日以前に[CSRを提供する]をデフォルトのオプションとして使用していたアカウントについては、デフォルトのプロビジョニング方法を[DigiCertが提供するトークンを利用する] に設定する予定です。

CertCentralの管理者は、コードサイニング証明書申請画面に表示されるプロビジョニング方法を制御し、2つ以上の方法が利用可能な場合にデフォルト方法を設定することができます。

 

4. CertCentral APIの変更点

  • コードサイニング証明書の変更
    プロビジョニング方法を指定しないで、提出された新規リクエストおよび再発行申請は、引き続き受け付けられます。ただし、DigiCertはお客様のアカウント設定を使用してリクエストを更新します。

    [注意事項]   
    プロビジョニング方法を省略した場合

    リクエストにプロビジョニング方法(cs_provisioning_method)が省略されている場合、お客様のアカウントに設定されているデフォルトのプロビジョニング方法を使用します。
    5月17日以前にデフォルトオプションとして[CSRを提供する] を使用していたアカウントについては、[DigiCertが提供するハードウェアトークン(「cs_provisioning_method」:「ship_token」)]をデフォルトプロビジョニング方法として設定します。

    配送先住所を省略した場合

    リクエストが [DigiCertが提供するハードウェアトークン ("cs_provisioning_method": "ship_token") を使用し、配送先住所 (ship_info) を含まない場合、お客様のアカウントに設定されているデフォルト配送先住所にトークンを配送します。 

    CertCentralの[設定]ページでいつでも変更ができます。

  • EVコードサイニング証明書の変更

    5月17日の変更は、EVコードサイニングAPI連携に影響を与えません。ただし、5月3日の変更は影響します。あらかじめ、EVコードサイニング証明書の申請フォームを設定します。DigiCertが提供するハードウェアトークンのデフォルトの配送先住所を追加します。 上述の変更点をご確認ください。 
     

> トップへ戻る

C. 2023年5月31日の変更点(詳細)

適用日: 2023年5月31日 JST (2023年5月30日 UTC)

DigiCertは、新しいコードサイニング証明書の秘密鍵の格納要件に基づき、CSRを提供して申請する方法は、今後発行できなくなります。

 

  • 保留中のコードサイニング証明書の注文にどのような影響がありますか?
    [CSRを提出する] を使用して申請されたオーダーで、未発行の保留中のコードサイニング証明書の注文をキャンセルする必要があります。

    証明書を取得するには、サポートされているプロビジョニング方法のいずれかを使用して新たに申請を行ってください。 再申請を回避するには、2023年5月30日までにコードサイニング証明書を発行してください。

  • ハードウェアトークンの費用
    2023年5月31日より、DigiCertは、コードサイニング証明書およびEVコードサイニング証明書の費用に、DigiCertが提供するハードウェアトークンは含まれなくなります。

    コードサイニングおよびEVコードサイニング証明書を申請または更新する際で、かつDigiCert提供のトークン提供方法を選択すると、トークン代として20,000円(日本円)追加で請求されます。

ハードウェアセキュリティモジュール(HSM)利用における同意メールについて

2023年5月31日以降、コードサイニング証明書またはEVコードサイニング証明書の申請時に、HSMをプロビジョニング方法として選択した場合、証明書を発行する前に、HSMの秘密鍵保護要件に同意していただく必要があります。

  • 新しいHSMプロセスとはどのようなものですか?

    秘密鍵と証明書をHSMに保管することを選択した場合、デジサートから証明書の申請者に対して秘密鍵保護要件に関する同意メールを送信します。このメールは、お客様側で準備されたHSMがFIPS 140 Level 2、Common Criteria EAL 4+である、もしくは同等の認証を受けたHSMに秘密鍵が保管されていることを確認するためのものです。

    デジサートは、申請者が秘密鍵保護要件に同意した後、証明書を発行を行います。
  • APIを使ってコードサイニング証明書およびEVコードサイニング証明書を申請する場合には、どのような影響がありますか?

    5月30日以前は、リクエストに必要な認証が完了していれば、直ちに証明書を発行していました。しかし、今回の変更適応以降は、証明書を発行する前に、HSMの秘密鍵保護要件に同意していただく必要があります。

 

DigiCert® KeyLocker クラウド秘密鍵ストレージサービス

※2023年6月1日にリリース予定をしておりましたKeyLockerは、弊社諸事情により大幅にリリース作業に遅れが生じております。

詳細につきましては改めてご案内させて頂きます。ご迷惑をおかけいたしまして、誠に申し訳ございません。


2023年5月31日、DigiCert KeyLockerの提供を開始します。このサービスをご利用いただくことで、従来のトークンが必要なくなります。

DigiCert KeyLockerは、CA/Bフォーラムの要件を満たすクラウドベースのサービスで、コードサイニング証明書ならびにEVコードサイニング証明書の秘密鍵及び証明書を安全にストレージいたします。KeyLockerは、物理的なトークンの制約を受けることなく、安全な鍵の保管、鍵の生成、および署名を提供します。

 

※本ページは、こちら (英語) のページをもとに作成されています。