Knowledge Base

DigiCert KeyLocker は、DigiCert が提供するクラウド HSM ベースの鍵管理・コード署名サービスです。秘密鍵をローカル端末に保持せずに安全に管理し、各種署名ツール
からリモートで署名を実行できます。
本ページでは、申請から初期設定、署名環境の構築、代表的な署名ツールの利用方法、トラブルシューティングまでをまとめています。

本ページに掲載している画面名称や提供機能は、契約内容、権限、製品更新状況により一部異なる場合があります。また、画面キャプチャおよび画像は、操作手順を説明するためのサンプルです。ご利用環境、アカウント設定、製品仕様の変更等により、実際の画面表示、メニュー名、項目名、配置が本ページの記載と異なる場合があります。実際に操作される際は、CertCentral または DigiCert ONE KeyLocker 上に表示される最新の画面内容をご確認のうえ、本ページを参考資料として ご活用ください。

 

• 1. KeyLocker の概要
• 2. ご利用開始までの流れ
• 3. CertCentral での申請
  • 3.1 新規申請または更新申請
  • 3.2 発行後の確認事項
• 4. DigiCert ONE へのサインイン
  • 4.1 初回サインイン
  • 4.2 多要素認証の設定
• 5. 署名者と権限の設定
  • 5.1 ユーザー追加
  • 5.2 署名者の割り当て
  • 5.3 署名回数について
  • 5.4 管理上の注意
• 6. 署名環境の事前準備
  • 6.1 API キーの作成
  • 6.2 クライアント証明書の取得
  • 6.3 ツールのインストール
• 7. 署名ツール別の設定手順
  • 7.0 共通設定（Click-to-Sign 以外）
    • 7.0.1 環境変数の設定
    • 7.0.2 認証情報の保存
    • 7.0.3 DigiCert KSP の登録
    • 7.0.4 キーペアエイリアスの確認と証明書同期
  • 7.1 Click-to-Sign
  • 7.2 SMCTL
    • SMCTL の署名・検証コマンド例
  • 7.3 Microsoft SignTool
    • Microsoft SignTool の署名・検証コマンド例
  • 7.4 JarSigner（DigiCert KSP Library）
    • JarSigner（DigiCert KSP Library）の署名・検証コマンド例
  • 7.5 JarSigner（PKCS#11 Library）
    • pkcs11properties.cfg の作成
    • JarSigner（PKCS#11 Library）の署名・検証コマンド例
  • 7.6 JarSigner（JCE Library）
    • JarSigner（JCE Library）の署名・検証コマンド例
  • 7.7 jSign（PKCS#11 Library）
    • jSign（PKCS#11 Library）の署名コマンド例
• 8. 動作確認とヘルスチェック
  • 8.1 smctl healthcheck の実行
• 9. トラブルシューティング
  • 9.1 ログファイルの確認
  • 9.2 代表的なエラーと確認ポイント
    • トラブル調査時の基本確認項目
• 10. 運用上の注意点
• 11. 関連サイト

1. KeyLocker の概要

KeyLocker は、FIPS 140-2 Level 3 準拠のクラウド HSM 上で秘密鍵を生成・保管しながら、コード署名を行うためのサービスです。署名処理は DigiCert の管理基盤を通じて実行されるため、鍵の持ち出しリスクを抑えながら、組織内での署名運用を統制できます。

• 秘密鍵を安全に保管し、ローカルファイルとして配布しない
• 署名者ごとのアクセス制御や役割分担ができる
• Click-to-Sign、SMCTL、Microsoft SignTool、JarSigner、jSign など複数の署名ツールに対応できる
• 証明書、署名者、クライアントツールを組み合わせて柔軟に運用できる
• 署名登録ユーザ1名まで（変更可能）

コードサイニング証明書で KeyLocker の利用をご希望の場合は、CertCentral のアカウント番号を添えてサポート窓口までご連絡ください。対象の CertCentral アカウントで KeyLocker を利用可能か確認し、必要に応じて製品設定をご案内いたします。

 

参考サイト：

企業認証コードサイニング証明書における秘密鍵の格納に関する要件 - https://knowledge.digicert.com/jp/general-information/new-private-key-storage-requirement-for-standard-code-signing-certificates

2. ご利用開始までの流れ

1. CertCentral で KeyLocker 対応のコードサイニング証明書を申請する
2. 証明書発行後、DigiCert ONE にサインインする
3. 必要に応じてユーザー、署名者、権限を設定する
4. API キーやクライアント証明書を発行する
5. 利用する署名ツールに応じて KeyLocker を設定する
6. 疎通確認後、本番署名を実施する

参考サイト：

• [CertCentral]EV/OV コードサイニング証明書　申請から取得までの流れ - https://knowledge.digicert.com/jp/general-information/certcentral-code-signing-certificate-enrolment-process
• CertCentralコードサイニング証明書マニュアル - https://knowledge.digicert.com/content/dam/digicertknowledgebase/library/storefront/certcentral/pdf/certcentral_simple_manual_cs.pdf

3. CertCentral での申請

3.1 新規申請または更新申請

CertCentral からコードサイニング証明書を申請します。申請時には、利用用途、組織情報、証明書種別、証明書の配備方法を確認してください。KeyLocker を利用する
場合は、証明書の配備先としてクラウド署名環境を前提とした構成を選択します。

重要：CertCentral 左メニュー［証明書］＞［組織］で登録されている組織情報（社名・住所等）と担当者情報（氏名・部署名等）、および各アカウントのプロファイルに
登録されている姓名・部署名は、必ず英字表記にしてください。2バイト文字が含まれると KeyLocker を利用できない場合があります。

※ご注意ください※ 新規申請・更新申請ともに、初回の申請時のみプロビジョニングオプション「DigiCert KeyLocker」を選択できます。再発行申請で他のプロビジョニングから 変更することはできません。 バウチャーを利用した KeyLocker のご提供はございません。CertCentral 上で設定されているお支払い方法（銀行振込またはクレジットカード等）のみと なります。 更新申請は CertCentral 左メニュー［証明書］＞［有効期限間近の証明書］から申請してください。

 

●CertCentral上の製品名称

日本語名称	英語名称
コードサイニング証明書	Code Signing
EVコードサイニング証明書	EV Code Signing

申請内容や審査状況によっては、追加確認や組織認証が必要になる場合があります。認証については以下KnowledgeBaseを参照してください。

参考サイト：

• 証明書申請時の組織情報入力とデジサートによる組織認証 - https://knowledge.digicert.com/jp/solution/organization-validation-process
• 「認証済連絡先」と証明書の申請・発行承認 -https://knowledge.digicert.com/jp/solution/evssl-certificate-issuance-approval

3.2 発行後の確認事項

• 証明書が DigiCert ONE / KeyLocker 環境で利用可能になっていること

• 必要なユーザーに適切な権限が付与されていること

• 署名対象の運用担当者が決まっていること

• 利用する署名ツールが確定していること

 

4. DigiCert ONE へのサインイン

4.1 初回サインイン

DigiCert ONE に初めてサインインする際は、招待メールまたは登録済みアカウント情報を使用してログインします。初回アクセス時には、パスワード設定や多要素認証の
設定を求められることがあります。

KeyLocker では、管理者に相当するロールとして KeyLocker Lead を利用します。KeyLocker Lead は、KeyLocker の資産、ユーザー、証明書、キーペア、署名者設定などを
管理できます。

• KeyLocker 証明書リクエストを承認した CertCentral ユーザーは、自動的に KeyLocker Lead になります。

• 署名のみを担当するユーザーには、KeyLocker signer ロールを割り当てます。

DigiCert ONE のアカウント作成メールは、件名「Welcome to DigiCert ONE」または「DigiCert ONEへようこそ」、送信元 no-reply@digicert.com から送信されます。

4.2 多要素認証の設定

多要素認証は、アカウント保護のために重要です。利用できる認証方式は、アカウント設定や管理者による設定内容により異なる場合があります。アカウント設定によっては、認証アプリのほか、メール認証やクライアント証明書認証を利用できる場合があります。実際に表示される認証方式に従って設定してください。

• パスワードは8文字以上で、小文字・大文字・記号・数字をすべて含める必要があります。

• 認証アプリを利用する場合は、Google Authenticator、Microsoft Authenticator などの OTP アプリケーションをインストールしたスマートフォン、またはブラウザ拡張機能の Authenticator などを利用し、QR コードのスキャンまたはコード入力で登録します。

署名運用を担当するユーザーが複数いる場合は、1つのユーザーアカウントを使い回さず、利用者ごとに個別のユーザーアカウントを登録することを推奨します。

多要素認証の詳細については、以下のDigiCert Docsをご参照ください。

Set up an authenticator application
https://docs.digicert.com/en/platform-overview/manage-your-accounts/digicert-account/sign-in-methods/two-factor-authentication/set-up-2fa.html

5. 署名者と権限の設定

5.1 ユーザー追加

管理者は DigiCert ONE 上で必要なユーザーを追加し、業務に応じたロールを割り当てます。署名実行担当、管理者、監査担当など、責務を分離した運用が適しています。

DigiCert ONE では、通常のユーザーとサービスユーザーを利用できます。

・通常のユーザーは、DigiCert ONE にサインインし、KeyLocker 画面やクライアントツールを利用する実ユーザーです。

・サービスユーザーは、ビルドサーバーや CI/CD など、自動化された処理で利用する API アクセス用のユーザーです。通常、DigiCert ONE の KeyLocker 画面へ
サインインして操作する利用者ではありません。

項目	入力内容
名/姓	名・姓を入力します。
Eメール	ご担当者様のEメールアドレスを入力します。
ユーザ名	サインイン時のユーザー名を入力します（Eメールアドレスである必要はありません）。
電話（オプション）	ブランク（未記入）で構いません。
言語	日本語を選択します。
アカウントのアクセス権	「特定のアカウント」を選択し、対象アカウントを選択します。
DigiCert ONE Manager へのアクセス	KeyLocker を選択します。管理権限が必要な場合は「Account」も選択してください。

ロールと権限は、用途に応じて以下を目安に選択します。

• 管理者権限を含める場合：AccountManager は「アカウント管理者（Account admin）」、KeyLocker は「KeyLocker Lead」を選択します。

• 署名担当者のみの場合：AccountManager は「デフォルトのユーザー（Default user）」、KeyLocker は「KeyLocker signer」を選択します。

5.2 署名者の割り当て

対象証明書または鍵に対して、どのユーザーが署名を行えるかを設定します。署名権限が付与されていない場合、ツール設定が正しくても署名できません。

KeyLocker 証明書でコード署名を実行できるのは、対象証明書の Signer として指定されたユーザーのみです。1つの KeyLocker 証明書に指定できる Signer は1名です。Signer は、証明書の有効期間中に変更できます。

変更する場合は、DigiCert ONE にサインインし、KeyLocker メニューの Certificates から対象証明書を開き、Manage signer でSignerを追加または変更します。
CertCentral 上では変更できません。

5.3 署名回数について

DigiCert KeyLocker では、対象証明書に付与された署名回数の範囲で署名できます。初回は1つのコードサイニング証明書のオーダーにつき1名のSignerと1,000署名が
付与されます。実際に利用可能な署名回数は、CertCentral のオーダー詳細画面に表示される「購入済みの署名（Signatures purchased）」および「使用済みの署名
（Signatures used）」を確認してください。追加署名が必要な場合は、証明書が有効な間に1,000単位で追加購入できます。署名回数を追加購入する場合は、
以下の手順で申請します。

1. CertCentral 左メニュー［証明書］＞［オーダー］から対象オーダーをクリックします。
2. 「使用済みの署名（Signatures used）」欄に表示されている「署名をさらに購入する必要がありますか？（Need to purchase more signatures?）」をクリック
   します。
3. 1,000 回、5,000 回、10,000 回、またはカスタム（1,000 回単位）から必要な署名数を選択します。
4. 支払い方法を選択し、内容を確認のうえ申請します。
5. オーダー詳細画面で「購入済みの署名（Signatures purchased）」の署名数が増えていることを確認します。

※証明書の有効期限が切れると、未使用の署名回数は失効します。未使用の署名回数は、更新後の証明書には引き継がれません。

※署名回数追加専用バウチャーのご提供はございません。
 

 

5.4 管理上の注意

KeyLocker を安全に運用するため、ユーザーアカウントおよび署名権限は定期的に確認してください。

• 利用しなくなったユーザーアカウントや不要な権限は、必要に応じて削除または変更してください。
• 署名操作の履歴を確認できるよう、共用アカウントではなく、利用者ごとの個別アカウントで運用することを推奨します。
• 担当者の異動、退職、業務変更があった場合は、KeyLocker の署名権限やロール設定を見直してください。

6. 署名環境の事前準備

6.1 API キーの作成

DigiCert ONE で API キーを作成します。画面構成や権限により、表示されるメニューや操作手順が異なる場合があります。

• 通常のユーザーの場合は、DigiCert ONE のプロフィールまたは Admin Profile から API キーを作成できます。
• サービスユーザーの場合は、サービスユーザー作成時に API キーが生成されます。

重要：API キーは後から再表示できません。API キーが表示されたら、必ずコピーして安全な場所に保存してください。API キーは認証情報に該当するため、平文での共有やメール送付は避けてください。

6.2 クライアント証明書の取得

KeyLocker のクライアントツールを利用する場合は、API キーとクライアント認証証明書を認証情報として使用します。クライアント認証証明書の保存先、アクセス権、パスワード管理方法を事前に定めてください。

1. 「ニックネーム」を入力します（半角英字・数字・スペース・ダッシュ・アンダースコアのみ）。

2. 「終了日」をオーダー期間に合わせて設定します。

3. 「暗号化」「署名ハッシュアルゴリズム」は推奨値を確認し、「証明書の生成」をクリックします。

4. パスワードが表示されたら、目のマークをクリックしてコピー・保存します。

5. 「Certificate_pkcs12.p12」ファイルをダウンロードして保存します。

6.3 ツールのインストール

Windows 環境では、KeyLocker 関連ツールやライブラリを DigiCert 提供の最新パッケージでインストールします。利用する方式に応じて、KSP、PKCS#11、JCE など
必要なコンポーネントを選択してください。

Windowsクライアントツールは、DigiCert ONE にサインイン後、KeyLocker メニューのResources ＞ Client tool repository から取得します。
Client tools タブでWindowsを選択し、clients installerをダウンロードしてください。

Mac OS で利用する場合は、DigiCert KeyLocker 左メニュー［リソース］＞［クライアントツール］から「Keylocker Mac Clients」をダウンロードしてください。

項目	現在の公式情報に基づく内容
Windows インストーラ	Keylockertools-windows-x64.msi を使用します。
デフォルトインストール先	C:\Program Files\DigiCert\DigiCert KeyLocker Tools\
Click-to-Sign インストーラ	KeyLocker Tools インストール後、C:\Program Files\DigiCert\DigiCert KeyLocker Tools\DigiCert_Click_to_sign.msi に配置されます。

 

古いインストーラや旧手順を参照すると設定差異が生じる場合があります。必ず最新の公開ドキュメントに沿って作業してください。

7. 署名ツール別の設定手順

7.0 共通設定（Click-to-Sign 以外）

本章では、各署名ツールで KeyLocker を利用するための設定手順と、代表的なコマンド例を説明します。詳細は「11. 関連サイト」やトラブルシューティング等のドキュメントを参照してください。

コマンドを実行する場合は、Windows の検索ボックスまたは検索アイコンから「コマンドプロンプト」と検索し、コマンドプロンプトを起動してください。実行するコマンドや設定内容によっては、管理者権限での実行が必要になる場合があります。その場合は、検索結果に表示されたコマンドプロンプトを右クリックし、［管理者として実行］を選択して起動してください。

Click-to-Sign 以外の署名ツールを利用する場合は、各ツール固有の設定前に以下の共通設定を行います。

7.0.1 環境変数の設定

環境変数	設定内容
SM_HOST	https://clientauth.one.digicert.com
SM_CLIENT_CERT_FILE	DigiCert ONE からダウンロードしたクライアント証明書（.p12）のフルパス
Path	C:\Program Files\DigiCert\DigiCert KeyLocker Tools\ および利用する署名ツール（signtool.exe、jarsigner.exe など）のパス

JCE Library を利用する場合は、JCE プロバイダーと Bouncy Castle ライブラリのパスも追加で設定します。

7.0.2 認証情報の保存

APIキーとクライアント認証証明書のパスワードは、Windows 資格情報マネージャー（Windows Credential Manager）への保存を推奨します。平文の永続環境変数として
保存しないでください。

以下のコマンドで認証情報を保存します。

smctl credentials save <APIキー> <クライアント証明書パスワード>

正常に保存されると、以下のメッセージが表示されます。

Credentials saved to OS store

保存後、SM_HOST と SM_CLIENT_CERT_FILE を環境変数として設定します。

7.0.3 DigiCert KSP の登録

Microsoft SignTool または JarSigner（DigiCert KSP Library）を利用する場合、DigiCert KSP ライブラリが未登録であれば以下を実行します。

smctl windows ksp register

7.0.4 キーペアエイリアスの確認と証明書同期

Microsoft SignTool、Mage、NuGet などで証明書フィンガープリントを指定して利用する場合は、事前に証明書を Windows 証明書ストアへ同期します。以下のコマンドで証明書を同期してください。

smctl windows certsync --keypair-alias=<キーペアエイリアス>

SMCTL で署名する場合は、キーペアエイリアスを指定する方法を推奨します。

署名コマンドでタイムスタンプを指定する場合は、公式ドキュメントで使用されている[  http://timestamp.digicert.com ]を利用します。

7.1 Click-to-Sign

Click-to-Sign は、GUI ベースで署名を実行したい場合に適した方式です。KeyLocker 用の設定を行ったうえで、対象ファイルを選択して署名を実行します。

1. KeyLocker クライアントコンポーネントをインストールする

2. 必要な認証情報を設定する

3. Click-to-Sign 上で証明書または署名設定を確認する

4. テストファイルで署名確認を行う

※Click-to-Sign の署名設定では、タイムスタンプを含める設定を有効にすることを推奨します。タイムスタンプを付与することで、証明書の有効期限後も署名済み
ソフトウェアの信頼性を維持しやすくなります。

※複数の証明書またはキーペアが表示される場合は、「Select keypair」欄で署名に利用する証明書のオーダー番号を選択してください。選択後、右側に表示される
証明書情報を確認し、対象の証明書であることを確認してから署名を実行してください。
 

 

項目	設定内容
Host	https://clientauth.one.digicert.com
API Key	事前に作成・保存した API キー
Client authentication certificate	Certificate_pkcs12.p12 のパスを指定
Client authentication certificate password	クライアント証明書のパスワード
PKCS11 configuration file	デフォルト値のまま
Save API key and client authentication certificate password to Windows credential store	チェックボックスをオン

7.2 SMCTL

SMCTL は、コマンドラインで KeyLocker を操作するためのツールです。CI/CD や自動化処理との相性が良く、証明書一覧の確認、キーペア参照、署名実行、疎通確認などに利用できます。SMCTLには、サードパーティ署名ツールと連携するTraditional signingと、DigiCertの署名ツールで署名するSimple signingがあります。
利用するファイル種別や運用方式に応じて、利用方法を選択してください。

1. SMCTL をインストールする

2. API キーやクライアント証明書を設定する

3. 初期化または認証設定を行う

4. ヘルスチェックや証明書参照コマンドで動作確認する

SMCTL の署名・検証コマンド例

• SMCTL で署名する場合は、キーペアエイリアスを指定して署名します。

smctl sign --keypair-alias <キーペアエイリアス> --input <署名対象ファイルまたはフォルダ>

• 署名済みファイルを検証する場合は、以下のコマンドを実行します。

smctl sign verify --input <署名済みファイル>

• 証明書フィンガープリントを指定して署名する場合は、事前に証明書が Windows 証明書ストアへ同期されていることを確認してください。

smctl sign --fingerprint <証明書フィンガープリント> --input <署名対象ファイルまたはフォルダ>

7.3 Microsoft SignTool

Windows のコード署名で一般的に利用される Microsoft SignTool は、KeyLocker と連携して利用できます。通常は DigiCert KSP を用いた設定を行い、証明書ストアや
キープロバイダー経由で署名します。SignToolはDigiCert提供のWindowsクライアントツールには含まれていません。SignToolを利用する場合は、Microsoft Windows SDK等
から別途インストールしてください。

1. Windows 環境に必要な KeyLocker コンポーネントを導入する

2. 証明書参照方法とキープロバイダー設定を確認する

3. SignTool コマンドで署名とタイムスタンプ付与を実施する

Microsoft SignTool の署名・検証コマンド例

signtool.exe sign /csp "DigiCert Signing Manager KSP" /kc <キーペアエイリアス> /f <証明書ファイル> /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 <署名対象ファイル>

signtool verify /v /pa <署名済みファイル>

7.4 JarSigner（DigiCert KSP Library）

Java アプリケーションや JAR ファイルの署名では、DigiCert KSP Library を利用する構成があります。Windows 中心の運用で、既存のプロバイダー連携に合わせたい場合に有効です。

JarSigner（DigiCert KSP Library）の署名・検証コマンド例

jarsigner -keystore NONE -storetype Windows-My -signedjar <署名済みJAR> -sigalg SHA256withRSA -digestalg SHA-256 <署名対象JAR> <キーペアエイリアス> -tsa http://timestamp.digicert.com

jarsigner -verify <署名済みJAR>

7.5 JarSigner（PKCS#11 Library）

PKCS#11 ライブラリを利用することで、より標準的な暗号インターフェース経由で JarSigner と連携できます。Java 実行環境や設定ファイルの整合性が重要です。

pkcs11properties.cfg の作成

JarSigner（PKCS#11 Library）または jSign（PKCS#11 Library）を利用する場合は、以下の内容で pkcs11properties.cfg を作成します。

name=signingmanager library=C:\Program Files\DigiCert\DigiCert Keylocker Tools\smpkcs11.dll slotListIndex=0

JarSigner（PKCS#11 Library）の署名・検証コマンド例

jarsigner -keystore NONE -storepass NONE -storetype PKCS11 -providerClass sun.security.pkcs11.SunPKCS11 -providerArg <pkcs11properties.cfg> -signedjar <署名済みJAR> <署名対象JAR> <キーペアエイリアス> -tsa http://timestamp.digicert.com

jarsigner -verify <署名済みJAR>

7.6 JarSigner（JCE Library）

JCE ライブラリを利用する方法では、Java 環境向けに KeyLocker を統合できます。対象バージョンやサポート要件を確認したうえで設定してください。

JCE Library を利用する場合は、KeyLocker Tools v1.47.0 以上が必要です。署名コマンドでは[ digicert-jce-1.0.jar ]と[ bcprov-jdk18on-1.77.jar ]を参照します。

 

JarSigner（JCE Library）の署名・検証コマンド例

jarsigner -J-Djava.class.path=<digicert-jce-1.0.jar>;<bcprov-jdk18on-1.77.jar> -keystore NONE -storetype DIGICERT -signedjar <署名済みJAR> <署名対象JAR> <キーペアエイリアス> -tsa http://timestamp.digicert.com

jarsigner -verify <署名済みJAR>

7.7 jSign（PKCS#11 Library）

jSign を利用する場合も、PKCS#11 ライブラリによる KeyLocker 連携が可能です。Java ベースの署名処理を自動化したい場合に適しています。

jSign は smctl healthcheck の Signing tools 一覧には表示されません。jSign の動作確認は実際の署名コマンドとログで確認してください。

 

jSign（PKCS#11 Library）の署名コマンド例

java -jar <jsign-5.0.jar> --keystore <pkcs11properties.cfg> --storepass changeit --storetype PKCS11 --alias <キーペアエイリアス> <署名対象ファイル>

実際のコマンドや設定値は、利用する OS、Java バージョン、導入方式、権限設定により異なります。詳細な実装時は本ページ末尾の関連サイトを併せて 参照してください。

8. 動作確認とヘルスチェック

本番署名の前に、必ず接続確認とテスト署名を実施してください。特に初回設定時や端末変更時は、認証情報、ネットワーク接続、証明書参照、署名権限の各項目を確認することが重要です。

1. SMCTL 等による認証確認

2. 証明書または鍵情報の一覧取得

3. テストファイルへの署名

4. タイムスタンプ付与の確認

5. 署名後の検証

8.1 smctl healthcheck の実行

1. コマンドプロンプトで smctl healthcheck を実行します。

2. 「Credentials:」に設定情報が表示されること、「Can sign: Yes」であること、「Signing tools」にツールが連携されていることを確認します。

情報が表示されない場合は、ディレクトリの path が未設定の可能性があります。以下のように cd コマンドで移動してから実行してください。

C:\Users\XXXXXX>cd "C:\Program Files\DigiCert\DigiCert Keylocker Tools" C:\Program Files\DigiCert\DigiCert Keylocker Tools>smctl healthcheck

 

9. トラブルシューティング

事象	主な原因	確認ポイント	対処の方向性
認証に失敗する	API キー、クライアント証明書、アカウント情報の不整合	設定ファイル、証明書配置先、有効期限、権限	認証情報を再確認し、必要に応じて再発行する
証明書が見つからない	権限不足、対象証明書の割り当て未完了、設定ミス	ユーザー権限、署名者設定、証明書参照条件	対象ユーザーへの割り当てと参照設定を見直す
署名コマンドが失敗する	ツール設定不備、プロバイダー設定不一致、パラメータ誤り	ツール種別、使用ライブラリ、コマンドオプション	対象ツールの公式設定手順に沿って再設定する
タイムスタンプが付与されない	タイムスタンプ URL 誤り、ネットワーク制限、オプション不足	指定 URL、プロキシ、外部通信可否	タイムスタンプ設定とネットワーク疎通を確認する
Click-to-Sign が正常に動作しない	クライアント設定不備、ログイン状態不整合、ローカル環境依存	アプリ設定、認証状態、ローカルログ	トラブルシューティング資料に従ってログを確認する

9.1 ログファイルの確認

トラブル調査時は、以下のログを確認してください。

項目	内容
ログ保存先	C:\Users\<ユーザー名>\.signingmanager\logs
Click-to-Sign ログ	digicert-click-to-sign.log
SMCTL ログ	smctl.log
KSP ログ	smksp.log
PKCS#11 ログ	smpkcs11.log

9.2 代表的なエラーと確認ポイント

エラーメッセージ / 状態	主な原因	確認・対処
Invalid api key or host server	API キー誤り、または Host URL が正しくない	API キーを確認し、Host が https://clientauth.one.digicert.com であることを確認します。
Invalid client certificate or passcode	クライアント証明書のパス、またはパスワード誤り	SM_CLIENT_CERT_FILE のパスとクライアント証明書パスワードを確認します。
status_code=403, access_denied	署名者が未割り当て、またはキーペアエイリアス誤り	DigiCert ONE / KeyLocker の署名者割り当てと、コマンドで指定したキーペアエイリアスを確認します。
SignTool: Mapped: No / Jarsigner: Mapped: No	Path 環境変数にツールのパスが未設定	signtool.exe または jarsigner.exe の所在を確認し、Path に 追加します。
古い Windows 環境でクライアント証明書を利用できない	AES + SHA-256 で暗号化されたクライアント証明書が古い Windows バージョンでサポートされない場合がある	Windows バージョン、証明書暗号化方式、 公式トラブルシューティングを確認します。

トラブル調査時の基本確認項目 問題発生時は、利用ツール名、実行ユーザー、実行時刻、エラーメッセージ全文、対象ファイル、利用した証明書、ネットワーク変更有無を整理しておくと 原因切り分けが進めやすくなります。 また、OS のイベントログ、ツール固有ログ、プロキシ設定、セキュリティソフトによる通信制御も併せて確認してください。 プロキシ環境でKeyLockerクライアントツールを利用する場合は、HTTPS_PROXY の設定も確認してください。プロキシ認証が必要な環境では、認証情報を含む プロキシ設定が必要になる場合があります。

 

10. 運用上の注意点

運用開始後も、定期的に権限、証明書状態、署名フロー、利用端末を見直すことで、安全で継続的な署名運用につながります。

• API キー、クライアント証明書、パスワードは厳重に管理してください。

• 署名端末を限定し、設定変更履歴を確認できるようにしてください。

• 本番利用前に、テスト署名と署名後の検証を実施してください。

• 利用者の追加・削除・異動・業務変更があった場合は、署名権限を確認し、必要に応じて見直してください。

• 自動化環境で利用する場合は、認証情報の保管先とローテーション手順をあらかじめ定めてください。

• 問題発生時に備えて、ログ採取手順と問い合わせ経路を事前に確認してください。

11. 関連サイト

詳細な設定手順やツール別の実装例、トラブル対応が必要な場合は、以下の公式ドキュメントを参照してください。

一部英語サイトとなります。必要に応じてブラウザの翻訳機能などをご活用ください。

サイト名	概要	リンク
DigiCert KeyLocker	KeyLocker の全体像、主な機能、基本的な利用方法を確認できます。	https://docs.digicert.com/ja/digicert-keylocker.html
KeyLocker Configuration for Windows	Windows 端末で KeyLocker を利用するための基本セットアップ手順を確認できます。	https://knowledge.digicert.com/tutorials/keylocker-configuration-for-windows
Configure KeyLocker for Click-to-Sign	Click-to-Sign で KeyLocker を利用するための設定方法を確認できます。	https://knowledge.digicert.com/tutorials/configure-keylocker-for-click-to-sign
Configure KeyLocker for SMCTL	SMCTL のインストール、認証設定、接続確認の方法を確認できます。	https://knowledge.digicert.com/tutorials/configure-keylocker-for-smctl
Configure KeyLocker for Microsoft SignTool	Microsoft SignTool で KeyLocker を利用するための設定方法を確認できます。	https://knowledge.digicert.com/tutorials/configure-keylocker-for-microsoft-signtool
Configure KeyLocker for JarSigner using the DigiCert KSP Library	JarSigner を DigiCert KSP Library 経由で利用する手順を確認できます。	https://knowledge.digicert.com/tutorials/configure-keylocker-for-jarsigner-using-the-digicert-ksp-library
Configure KeyLocker for JarSigner using the PKCS#11 Library	JarSigner を PKCS#11 Library 経由で利用する手順を確認できます。	https://knowledge.digicert.com/tutorials/configure-keylocker-for-jarsigner-using-the-pkcs11-library
Configure KeyLocker for JarSigner using the Java Cryptography Extension (JCE) Library	JarSigner を JCE Library 経由で利用する構成や前提条件を確認できます。	https://knowledge.digicert.com/tutorials/configure-keylocker-for-jarsigner-using-the-java-cryptography-extension-jce-library
Configure KeyLocker for jSign using the PKCS#11 Library	jSign を PKCS#11 Library 経由で利用する設定方法を確認できます。	https://knowledge.digicert.com/tutorials/configure-keylocker-for-jsign-using-the-pkcs11-library
Troubleshoot KeyLocker and Click-to-Sign	KeyLocker と Click-to-Sign 利用時の代表的な不具合と対処方法を確認できます。	https://knowledge.digicert.com/troubleshooting/troubleshoot-keylocker-and-click-to-sign
Docs: Troubleshoot	KeyLocker 全般のトラブルシューティング情報や確認観点を参照できます。	https://docs.digicert.com/en/digicert-keylocker/troubleshoot.html
Windows clients installer	KeyLocker の Windows 向けクライアントツールのインストール手順を確認できます。	https://docs.digicert.com/en/digicert-keylocker/tools/tool-packages/windows-clients-installer.html
SMCTL command manual	SMCTL のコマンド一覧と使用方法を確認できます。	https://docs.digicert.com/en/digicert-keylocker/tools/command-line-interface/smctl-command-manual.html
Healthcheck	smctl healthcheck による構成確認とトラブルシューティングを確認できます。	https://docs.digicert.com/en/digicert-keylocker/tools/command-line-interface/smctl-command-manual/healthcheck.html
SMCTL	SMCTL で統合できる署名ツールの一覧と対応状況を確認できます。	https://docs.digicert.com/en/digicert-keylocker/tools/command-line-interface/smctl.html
Files supported for signing	KeyLocker で署名できるファイルの種類を確認できます。	https://docs.digicert.com/en/digicert-keylocker/sign-with-digicert-signing-tools/files-supported-for-signing.html
User types	サービスユーザーアカウントなど、ユーザータイプと権限の詳細を確認できます。	https://docs.digicert.com/ja/digicert-keylocker/general/users/types-of-users/user.html