目次
2023年6月1日 00:00 UTC から、業界標準として企業認証コードサイニング証明書の秘密鍵を、FIPS 140 レベル2、Common Criteria EAL 4+、または同等の認定を受けたハードウェアに格納する必要があります。 詳しくは、ナレッジベース記事「企業認証コードサイニング証明書における秘密鍵の格納に関する要件」をご参照ください。
この新しい要件により、お客様に今後申請いただくコードサイニング証明書の新規、更新、および再発行申請の手順、および発行される証明書の取得手順が変更となります。
[重要] DigiCertは、CertCentralにおけるコードサイニング証明書、およびEVコードサイニング証明書の変更に関して、準備が整い次第当ページに最新情報を掲載します。
DigiCertは、業界が定める期限までに、コードサイニング証明書の要件を満たすよう手順を変更し、また余裕をもって移行いただけるよう、5月よりプロビジョニング方法(※)の選択肢をご提供いたします。 スケジュール概要は以下のとおりです。
※プロビジョニング方法とは、ここではCertCentralから発行されるコードサイニング証明書およびその秘密鍵を格納する方法を意味します。
CertCentral(UI)からご申請いただく場合:
コードサイニング証明書を新規申請、または更新申請する際に、新しいハードウェアトークン、またはご自身で準備するHSMをプロビジョニング方法としてご選択いただけるようになります。
サービス APIよりご申請いただく場合:
コードサイニング証明書のAPI連携の更新が必要となります。 サービスAPIでは、現在のCSRフォームまたは新しいプロビジョニング方法を指定してコードサイニング注文を作成することができます。
CertCentral のアカウント設定:
CertCentral では、企業認証向けコードサイニング証明書、および EV コードサイニング証明書申請時の、プロビジョニング方法のデフォルト値を設定することがで着るようになります。 また、CertCentral に、DigiCert が提供するトークンの配送先住所をデフォルト値として追加できるようになります。APIリクエストで、プロビジョニング方法や必要なトークン配送先住所を省略してリクエストされた場合、エラーではなく、お客様のアカウントに設定されているデフォルト設定値を優先してリクエストを処理します。
DigiCertは、(Java のアプリケーション用途など)CSRを提出して申請する選択肢の申請受付を停止します。また、無償ツールとしてご提供しているDigiCert証明書ユーティリティを利用し、コードサイニング証明書要求CSRを作成することも終了します。 新規、更新、再発行申請すべてが対象です。
DigiCertは、新しく制定されたコードサイニング証明書の秘密鍵の格納要件に基づき、当該日までにCSRを提出して申請されたコードサイニング証明書の発行を終了します。
新規、更新、再発行申請において、コードサイニング証明書は、ご利用のアプリケーションを選択した上で、CSRの提出なし、またはCSRを提出してご申請いただいております。
・CSRを提出しない場合
DigiCertは証明書が発行できる状態になると、コードサイニング証明書を生成するための手順をEメールでお知らせします。お客様はEメールの手順にそって、記載されているリンクをクリックし、クライアントにて鍵生成、および証明書の取得を行います。
・CSRを提出した場合
DigiCertはコードサイニング証明書のコピーを、お客様にEメールで送信します。
申請時に「プロビジョニング方法」を指定いただきます。 FIPS 140 Level 2、Common Criteria EAL 4+、または同等の認定を受けたハードウェアに秘密鍵と証明書が格納されることで業界の要件を満たすことができます。 プロビジョニング方法には下記の選択肢があります。
適用日時:5月3日3:00 JST (5月2日 18:00UTC)頃
1. CertCentral(UI) コードサイニング証明書申請ページの変更点:
コードサイニング証明書の申請ページに、以下のプロビジョニング方法の選択肢が表示されます。 いずれかを選択して申請してください。
・CSR*を提供
・DigiCertが提供するトークンを利用する
・ご自身で準備するトークンを利用する
・ハードウェアセキュリティモジュール(HSM)にインストールする
*注:現在のコードサイニング証明書で提供されているプロビジョニング方法のひとつです。
コードサイニング証明書、およびEVコードサイニング証明書に関する新しい設定値が設けられます。 この設定値は、CertCentaral (UI)、およびService APIリクエスト、の両方に適用されます。CertCentral管理者はこの値を変更することができますので、お客様のコードサイニング証明書、およびEVコードサイニング証明書の申請プロセス、および利用方法に応じて、最適な値を設定ください。
左側のナビゲーションから、「設定」>「ユーザ設定」から 「コードサイニング証明書、およびEVコードサイニング証明書の設定(仮) / Code Signing and EV Code Signing Certificate Settings (英語 仮)」 として表示する予定です。
APIは、新しいプロビジョニング方法を使用したコードサイニング証明書の注文の受付を開始する予定です。
[重要]
DigiCertは、新しい情報が公開可能になり次第、本ページにAPI関連の情報を追加していきます。
[注意事項]
5月17日までは、コードサイニングのリクエストは、「CSRを提出する」プロビジョニング方法を引き続きサポートします。
新しいコードサイニング証明書のAPIリクエストのボディは、EVコードサイニング証明書リクエストのボディと同等のものになります。新しいプロビジョニング方法を使用するには、これらのパラメータを使用してください。
デフォルトの配送先住所をご確認ください。
CertCentralの[設定]ページに、「デジサートのトークンを利用する(ship_token)」を選択した場合に、コードサイニング証明書、およびEVコードサイニング証明書リクエストのデフォルトの配送先住所を入力できる設定を追加する予定です。これは、配送先住所の指定がない状態で提出されたリクエストに影響します。上記のCertCentral [設定] ページの変更を参照してください。
リクエストに配送先住所がない状態で申請されたコードサイニング証明書に対しては、デフォルトの配送先住所が適用されますので、あらかじめ確認いただくことを推奨します。
2023年5月3日より、サービスAPIは、プロビジョニング方法を省略したEVコードサイニング証明書リクエスト、またはDigiCertが提供するトークンプロビジョニング方法を使用しているが配送先住所を省略したリクエストに対してエラーを返さないようになりました。代わりに、お客様のアカウントのデフォルト設定を使用してリクエストを更新し、正常に送信されるようにします。
[注意事項]
プロビジョニング方法を省略した場合
リクエストで、プロビジョニング方法(cs_provisioning_method)を省略した場合、お客様のアカウントに設定されているデフォルトのプロビジョニング方法を使用します。上記のEVコードサイニング証明書の変更点をご参照ください。
プロビジョニング方法の配送先住所を省略した場合
プロビジョニング方法で、[デジサートからトークンを提供] ("cs_provisioning_method": "ship_token")を指定しているが、リクエストに配送先住所(ship_info)を含んでいない場合、お客様のアカウントに設定されているデフォルトの配送先住所にトークンを発送します。
DigiCertは、配送先住所がない状態で提出されたEVコードサイニング証明書リクエストにおいて、デフォルトの配送先住所が機能するかどうかご確認ください。詳細は、上述のEVコードサイニング証明書の変更を参照してください。
適用日: 5月17日3:00 JST (5月16日18:00 UTC)
CertCentralから[CSRを添付して申請] の選択肢を削除します。 コードサイニング証明書の新規申請、更新申請、および再発行申請に、このプロビジョニング方法が表示されなくなります。
コードサイニング証明書の申請画面では、以下のプロビジョニング方法のみを提供します:
[警告] 5月31日より、DigiCertは、新しい秘密鍵の保管要件を満たさない要求に対して証明書を発行することができなくなりました。
5月31日までに証明書を発行するためにできることの詳細については、コードサイニング証明書を注文する方法の次のセクションを参照してください。
[設定]ページは、新しい業界標準に合わせるため、[CSRを提供する]のプロビジョニング方法は削除されます。5月17日以前に[CSRを提供する]をデフォルトのオプションとして使用していたアカウントについては、デフォルトのプロビジョニング方法を[DigiCertが提供するトークンを利用する] に設定する予定です。
CertCentralの管理者は、コードサイニング証明書申請画面に表示されるプロビジョニング方法を制御し、2つ以上の方法が利用可能な場合にデフォルト方法を設定することができます。
適用日: 2023年5月31日 JST (2023年5月30日 UTC)
DigiCertは、新しいコードサイニング証明書の秘密鍵の格納要件に基づき、CSRを提供して申請する方法は、今後発行できなくなります。
ハードウェアセキュリティモジュール(HSM)利用における同意メールについて
2023年5月31日以降、コードサイニング証明書またはEVコードサイニング証明書の申請時に、HSMをプロビジョニング方法として選択した場合、証明書を発行する前に、HSMの秘密鍵保護要件に同意していただく必要があります。
DigiCert® KeyLocker クラウド秘密鍵ストレージサービス
※2023年6月1日にリリース予定をしておりましたKeyLockerは、弊社諸事情により大幅にリリース作業に遅れが生じております。 詳細につきましては改めてご案内させて頂きます。ご迷惑をおかけいたしまして、誠に申し訳ございません。 |
2023年5月31日、DigiCert KeyLockerの提供を開始します。このサービスをご利用いただくことで、従来のトークンが必要なくなります。
DigiCert KeyLockerは、CA/Bフォーラムの要件を満たすクラウドベースのサービスで、コードサイニング証明書ならびにEVコードサイニング証明書の秘密鍵及び証明書を安全にストレージいたします。KeyLockerは、物理的なトークンの制約を受けることなく、安全な鍵の保管、鍵の生成、および署名を提供します。
※本ページは、こちら (英語) のページをもとに作成されています。