Knowledge Base

事象

業界標準では、少なくとも FIPS 140-2 Level 2 または Common Criteria EAL 4+ に準拠したハードウェア暗号モジュールで、すべてのコードサイニング証明書の秘密鍵を生成し保護することが求められています。 ( 詳細は、CA/ブラウザフォーラムでの内容Ballot CSCWG-17: Subscriber Private Key Extensionをご参照ください。）

この業界の規定変更により、企業認証コードサイニング証明書の秘密鍵の保護がより強化されますが、一方で、現在お客様が行っている秘密鍵の生成、保護する手順に影響を与え、変更しなければならない可能性がございます。 DigiCertは、この変更に対応するため、DigiCert KeyLockerと呼ばれる新しいクラウドソリューションを導入します。

解決策

2023年5月30日(米国山岳時間, MST)、DigiCertはお客様に代わってコードサイニング証明書の秘密鍵を生成し、業界標準に準拠したストレージに秘密鍵、および証明書を格納するクラウドベースのソリューション「DigiCert KeyLocker」のご提供を開始します。DigiCert KeyLockerをご利用いただくことで、KeyLockerに保存された鍵および関連する証明書を安全に保護し、不正アクセスや誤用を防止します。
 

DigiCert KeyLocker の提供するサービス

• 業界標準のHSM鍵ストレージ
  
• CI/CDパイプラインとの連携
  
• DigiCertとサードパーティ製署名ツールによる署名ソリューション
  
• 鍵で署名する際の多要素認証

DigiCert KeyLocker の利用手順（概要）

1. CertCentralでコードサイニング証明書を新規申請、更新申請します。
2. プロビジョニング方法として、ハードウェアトークン、HSMの代わりに「DigiCert KeyLocker」を選択します。
3. DigiCertはコードサイニング証明書を認証し、「DigiCert KeyLocker」と連携します。
4. DigiCert KeyLockerは、秘密鍵を生成し、安全に保管します。
5. DigiCert KeyLockerは、お客様の秘密鍵をもとにCSRを生成します。
6. DigiCertは、証明書を発行し、DigiCert KeyLockerに保存されている鍵に関連付けます。
7. お客様は、DigiCert KeyLockerツールをダウンロードして、コンピュータまたはサーバーにインストールします。
8. DigiCert KeyLockerを介した安全なハッシュベースの署名を使用します。

• ご利用の条件などにつきましては、お問い合わせください。
• ご利用手順の詳細は DigiCert KeyLocker マニュアル (PDF) をご参照ください。
• DigiCert KeyLocker の技術的なドキュメントはこちらをご参照ください。

  ※ 英語のサイトとなりますのでご不便である場合にはブラウザの翻訳機能などをご活用ください。

※本ページは、こちら (英語) のページをもとに作成されています。