CA 証明書の移行(更新と再発行)

CA

証明書は、一般的に

5〜20

年といった長い有効期間を持つ証明書として発行 される。CA鍵ペアについても同様で、多くの

CA

は特定の鍵ペアを長期間使い続

けている状態にある。公開鍵証明書は、その性質上公開鍵が公開されている期間 が長いほど鍵強度は下がるため、

CA

鍵ペアはなるべく新しく生成されたものを利 用することが望ましい。鍵ペアの更新に伴って発生する

CA

証明書の更新は運用コ ストへの影響が大きく、

CA

にとってなかなか実施しづらいものであるが、今回の ように

CA

証明書の切り換えが不可避な状態においては、むしろ積極的に

CA

鍵ペ アを更新するよい機会である。

そこで本節では

CA

鍵ペアも更新することを想定して解説を進めるものとし、本

報告書

Part6

「公開鍵証明書発行に関する移行ガイド」においても同様に

CA

鍵

ペアを更新することを前提とした移行手順の説明を行うものとする。

実際に

CA

が自身の

CA

証明書を

UTF8String

へ切り換えるためにはいくつか

の方法があるが、大きく分けると以下の

2

種類に分けて考えられる。

•

更新: CAの

DN

を保持(エンコード方式は除く)したまま

CA

証明書を 更新する。

•

再発行: CAの

DN

を保持しない。新たに異なる

CA

を構築する。

なお、これら更新や再発行を行った場合、新

CA

から発行された新

EE

証明書や、

旧

CA

から発行された旧

EE

証明書を失効検証するにあたって、いくつか注意すべ き点がある。これらについては次の

5.2.3

節にて解説する。

(a) CA

証明書を更新する場合

更新の場合には、既存の旧

CA

の識別名からエンコード方式のみ

UTF8String

に変更しコードポイントについては同一な新

CA

証明書を発行

する。なお、新

CA

証明書の発行形態は基本的に旧

CA

証明書と同じである べきである。

例えば、旧

CA

証明書が自己署名証明書であれば新

CA

証明書を自己署名 証明書として発行し、新旧の自己署名証明書の関連を示すために自己発行証 明書を発行しなければならならいだろう。なお、ここで言う自己発行証明書 は、

4.2

節の

Name Rollover

証明書そのものである。

同じDN 異なる鍵ペア

同じDN 異なる鍵ペア

cn=same CA

旧来エンコード cn=same CA UTF8String

旧CA 新CA

Issuer: UTF8String Subject: 旧来エンコード Issuer: 旧来エンコード

Subject: UTF8String

自己発行証明書の 発行

図

5-4

自己署名証明書を更新する場合

一方旧

CA

証明書が下位

CA

証明書であれば、新

CA

証明書はやはり下位

CA

証明書として発行されるべきであり、その発行者は旧

CA

証明書の発行者 と同一であるべきである。下位

CA

証明書として発行される場合は、新旧

CA

証明書の関連を上位

CA

によって示されているので、自己発行証明書などの 発行は特に必要ない。

同じ

DN

異なる鍵ペア

同じ

DN

異なる鍵ペア

cn=same CA 旧来エンコード

cn=same CA UTF8String

旧CA 新CA

旧CAの リライングパーティ

旧RPの トラストポイント

新CAの リライングパーティ 新RPの

トラストポイント 共通の

トラストポイント

図

5-5

下位

CA

証明書を更新する場合

(b) CA

証明書を再発行する場合

再発行では、旧

CA

とは異なる

DN

を用いて

UTF8String

でエンコードさ れた新たな

CA(新 CA)を構築する。この時 CA

は、更新と異なり

DN

を変え る以上は

CA

鍵ペアも変えなければならない。また、旧

CA

とは

DN

が異な

っているため、両者の関係を示すために相互認証証明書を発行するなどの措 置が必要となる。

なお、再発行においても新

CA

証明書の発行形態は基本的に旧

CA

証明書 と同じであるべきである。

例えば、旧

CA

証明書が自己署名証明書であれば新

CA

証明書を自己署名 証明書として発行し、新旧の自己署名証明書の関連を示すために相互認証証 明書を発行しなければならならいだろう。更新と異なり新旧の

CA

証明書で は

DN

が異なるので、自己発行証明書ではない点に注意する必要がある。

cn=old CA 旧来エンコード

cn=new CA UTF8String 相互認証証明書

の発行

旧CA 新CA

同じDN 異なる鍵ペア

異なるDN 異なる鍵ペア

図

5-6

自己署名証明書を再発行する場合

一方旧

CA

証明書が下位

CA

証明書であれば、新

CA

証明書はやはり下位

CA

証明書として発行されるべきであり、その発行者は旧

CA

証明書の発行者 と同一であるべきである。下位

CA

証明書として発行される場合は、新旧

CA

証明書の関連を上位

CA

によって示されているので、相互認証証明書などの 発行は特に必要ない。

cn=old CA 旧来エンコード

cn=new CA UTF8String 旧CA

新CA 旧CAの

リライングパーティ 旧RPの トラストポイント

新CAの リライングパーティ 新RPの

トラストポイント

同じDN 異なる鍵ペア

異なるDN 異なる鍵ペア

共通の トラストポイント

図

5-7

下位

CA

証明書を再発行する場合

ドキュメント内 untitled (ページ 30-34)