NIIODCA3 CP V2 6 国立情報学研究所オープンドメイン認証局証明書ポリシ (Certificate Policy)

(1)

国立情報学研究所

ン

ン認証局

証明書

第

2.60

(2)

改履歴

数日付容

1.00 2015.01.01 初行

2.00 2015.04.01 ン証明書 S/MIME証明書署用証明書

追加

用語統

2.10 2016.03.14 OCSP 提供い明追

用S/MIME証明書追加

証明書利用者条件追

ン証明書用途追

誤植修

2.20 2016.12.20 認証局 NII Open Domain S/MIME CA 追加

用S/MIME証明書変更

誤植修

2.30 2017.02.28 署用証明書変更

OCSP 提供い明修

OCSP 証明書 NII Open Domain Code

Signing CA - G2 追加

2.40 2017.09.08 CAA 関述追加

2.50 2018.02.26 認証局 NII Open Domain CA - G3 削除

認証局 NII Open Domain Code Signing CA 削除

ン S/MIME証明書効期間変更

OCSP 証明書 NII Open Domain CA -

G3 削除

CRL NII Open Domain CA - G3 NII

(3)

2.60 2018.03.26 認証局 NII Open Domain CA - G5 追加

認証局 NII Open Domain CA - G6 追加

定義略語 ECDSA 追加

相互運用基準 Security Communication ECCRootCA1 追加

証明書 NII Open Domain CA - G5

NII Open Domain CA - G6 追加

OCSP 証明書 NII Open Domain CA -

G5 NII Open Domain CA - G6 追加

証明書証明書行要求 CSR NII

(4)

1. ... - 1 -

1.1 概要 ... - 1 -

1.1.1 証明書種類 ... - 2 -

1.1.2 身元確認 ... - 2 -

1.2 文書前識 ... - 3 -

1.3 PKI 関係者 ... - 3 -

1.3.1 認証局 CA ... - 3 -

1.3.2 録局 RA ... - 3 -

1.3.3 利用管理者... - 4 -

1.3.4 利用者 ... - 4 -

1.3.5 検証者 ... - 4 -

1.3.6 そ他関係者 ... - 4 -

1.4 証明書使用方法 ... - 5 -

1.4.1 適証明書使用 ... - 5 -

1.4.2 禁証明書使用 ... - 6 -

1.5 管理 ... - 6 -

1.5.1 本管理組織 ... - 6 -

1.5.2 問い合わ先 ... - 6 -

1.5.3 CP 適合性決定者 ... - 6 -

1.5.4 CP 認手 ... - 6 -

1.6 定義略語 ... - 6 -

2. 公開及責任 ... - 11 -

2.1 ... - 11 -

2.2 認証情報公開 ... - 11 -

2.3 公開時期又そ度 ... - 11 -

2.4 管理 ... - 11 -

3. 識及認証 ... - 12 -

3.1 前決定 ... - 12 -

3.1.1 前種類... - 12 -

3.1.2 前意味持必要性 ... - 14 -

3.1.3 前匿性又仮性 ... - 15 -

3.1.4 種々前形式解釈規則 ... - 15 -

3.1.5 前意性 ... - 15 -

3.1.6 認識認証及商標役割 ... - 15 -

(5)

3.2.1 秘密鍵所持証明方法 ... - 15 -

3.2.2 組織認証... - 15 -

3.2.3 個人認証... - 17 -

3.2.4 検証対象い利用管理者及利用者情報 ... - 17 -

3.2.5 権限確認 ... - 18 -

3.2.6 相互運用基準 ... - 18 -

3.3 鍵更新申請時本人性確認及認証 ... - 18 -

3.3.1 通常鍵更新時本人性確認及認証 ... - 18 -

3.3.2 証明書失効鍵更新本人性確認及認証 ... - 18 -

3.4 失効申請時本人性確認及認証 ... - 18 -

4. 証明書対運用要件 ... - 19 -

4.1 証明書申請 ... - 19 -

4.1.1 証明書申請者 ... - 19 -

4.1.2 申請手及責任 ... - 19 -

4.2 証明書申請手 ... - 19 -

4.2.1 本人性及資格確認 ... - 19 -

4.2.2 証明書申請認又 ... - 19 -

4.2.3 証明書申請手期間 ... - 19 -

4.2.4 CAA 確認 ... - 19 -

4.3 証明書行 ... - 20 -

4.3.1 証明書行時本CA 機能 ... - 20 -

4.3.2 証明書行通知 ... - 20 -

4.4 証明書領 ... - 20 -

4.4.1 証明書領確認 ... - 20 -

4.4.2 本CA 証明書公開 ... - 20 -

4.4.3 他関係者通知 ... - 20 -

4.5 鍵証明書用途 ... - 20 -

4.5.1 利用者秘密鍵証明書使用 ... - 20 -

4.5.2 検証者公開鍵証明書使用 ... - 20 -

4.6 証明書更新鍵更新伴わい証明書更新 ... - 21 -

4.7 証明書鍵更新鍵更新伴う証明書更新 ... - 21 -

4.7.1 証明書鍵更新要件 ... - 21 -

4.7.2 鍵更新申請者 ... - 21 -

4.7.3 鍵更新申請処理手 ... - 21 -

4.7.4 証明書更新通知 ... - 21 -

(6)

4.7.6 本CA 証明書公開 ... - 21 -

4.7.7 他関係者通知 ... - 21 -

4.8 証明書変更 ... - 22 -

4.8.1 証明書変更要件 ... - 22 -

4.8.2 証明書変更申請者 ... - 22 -

4.8.3 証明書変更処理手 ... - 22 -

4.8.4 証明書変更通知 ... - 22 -

4.8.5 変更証明書理 ... - 22 -

4.8.6 本CA 変更証明書公開 ... - 22 -

4.8.7 他関係者通知 ... - 22 -

4.9 証明書失効時停 ... - 22 -

4.9.1 証明書失効事 ... - 22 -

4.9.2 失効申請者... - 23 -

4.9.3 失効申請手 ... - 23 -

4.9.4 失効猶期間 ... - 23 -

4.9.5 本CA 失効申請処理期間 ... - 23 -

4.9.6 検証者失効情報確認要件 ... - 23 -

4.9.7 CRL 行周期 ... - 24 -

4.9.8 CRL 格納最大遅延時間 ... - 24 -

4.9.9 OCSP 提供... - 24 -

4.9.10 OCSP確認要件 ... - 24 -

4.9.11 そ他利用可能失効情報検査手段 ... - 24 -

4.9.12 鍵危殆化特要件 ... - 24 -

4.9.13 証明書時停 ... - 24 -

4.9.14 証明書時停申請者 ... - 24 -

4.9.15 時停申請手 ... - 24 -

4.9.16 証明書時停限度 ... - 25 -

4.10 証明書タ ... - 25 -

4.10.1 証明書タ容 ... - 25 -

4.10.2 利用時間 ... - 25 -

4.10.3 そ他特徴... - 25 -

4.11 利用終了 ... - 25 -

4.12 秘密鍵寄鍵回復 ... - 25 -

4.12.1 寄鍵回復及実施 ... - 25 -

4.12.2 ョンキ化鍵回復及実施 ... - 25 -

(7)

5.1 建物及物理的管理 ... - 26 -

5.1.1 施設所在建物構造 ... - 26 -

5.1.2 物理的 ... - 26 -

5.1.3 電源及空調設備 ... - 26 -

5.1.4 水害 ... - 26 -

5.1.5 火災防及保護対策 ... - 26 -

5.1.6 媒体保管場所 ... - 26 -

5.1.7 廃棄物処理 ... - 26 -

5.1.8 ... - 26 -

5.2 手的管理 ... - 26 -

5.2.1 信役割 ... - 26 -

5.2.2 職務必要人数 ... - 27 -

5.2.3 個々役割対識認証 ... - 27 -

5.2.4 職務割必要役割 ... - 28 -

5.3 要員管理 ... - 28 -

5.3.1 資格経験及身証明要件 ... - 28 -

5.3.2 経歴調査手 ... - 28 -

5.3.3 研修要件 ... - 28 -

5.3.4 再研修度及要件 ... - 28 -

5.3.5 職務ョン度及要件 ... - 28 -

5.3.6 認いい行動対制裁 ... - 28 -

5.3.7 独立契約者要件 ... - 28 -

5.3.8 要員提供資料 ... - 28 -

5.4 査録手 ... - 29 -

5.4.1 録事 ... - 29 -

5.4.2 査処理度 ... - 29 -

5.4.3 査保期間 ... - 29 -

5.4.4 査保護 ... - 29 -

5.4.5 査手 ... - 29 -

5.4.6 査集部又外部 ... - 29 -

5.4.7 ン起通知... - 29 -

5.4.8 脆弱性評価... - 29 -

5.5 録化 ... - 29 -

5.5.1 録種類 ... - 29 -

5.5.2 保期間 ... - 29 -

(8)

5.5.4 手 ... - 30 -

5.5.5 録タタン要件 ... - 30 -

5.5.6 集部又外部 ... - 30 -

5.5.7 情報入手検証手 ... - 30 -

5.6 鍵替え ... - 30 -

5.7 危殆化及災害復 ... - 30 -

5.7.1 事故及危殆化扱い手 ... - 30 -

5.7.2 ンュタ資源ソタ破損場合対処 ... - 30 -

5.7.3 CA秘密鍵危殆化場合対処 ... - 30 -

5.7.4 災害等生事業性 ... - 30 -

5.8 CA又 RA 廃業 ... - 31 -

6. 術面キュ管理 ... - 32 -

6.1 鍵生成導入 ... - 32 -

6.1.1 鍵生成 ... - 32 -

6.1.2 利用管理者及利用者対秘密鍵送付 ... - 32 -

6.1.3 本CA 公開鍵送付 ... - 32 -

6.1.4 CA公開鍵配付... - 32 -

6.1.5 鍵長 ... - 32 -

6.1.6 公開鍵タ生成及品質検査 ... - 32 -

6.1.7 鍵使用目的 ... - 32 -

6.2 秘密鍵保護及暗ュ術管理... - 33 -

6.2.1 暗ュ標準及管理 ... - 33 -

6.2.2 複数人秘密鍵管理 ... - 33 -

6.2.3 秘密鍵寄 ... - 33 -

6.2.4 秘密鍵 ... - 33 -

6.2.5 秘密鍵 ... - 33 -

6.2.6 暗ュ秘密鍵格納出 ... - 33 -

6.2.7 暗ュ秘密鍵保 ... - 33 -

6.2.8 秘密鍵活性化方法 ... - 33 -

6.2.9 秘密鍵非活性化方法 ... - 34 -

6.2.10 秘密鍵廃棄方法 ... - 34 -

6.2.11 暗ュ評価 ... - 34 -

6.3 鍵管理関そ他目 ... - 34 -

6.3.1 公開鍵 ... - 34 -

6.3.2 証明書鍵使用期間 ... - 34 -

(9)

6.5 ンュタキュ管理 ... - 34 -

6.6 術面管理 ... - 34 -

6.6.1 開管理 ... - 34 -

6.6.2 キュネン管理 ... - 35 -

6.6.3 キュ管理 ... - 35 -

6.7 ネワキュ管理 ... - 35 -

6.8 タタン ... - 35 -

7. 証明書 CRL及 OCSP ... - 36 -

7.1 証明書 ... - 36 -

7.1.1 証明書 NII Open Domain CA - G4 ... - 36 -

7.1.4 ン証明書 ... - 41 -

7.1.5 S/MIME証明書 ... - 42 -

7.1.6 署用証明書 ... - 46 -

7.1.7 OCSP 証明書 ... - 47 -

7.1.8 用S/MIME証明書 ... - 51 -

7.2 CRL ... - 53 -

7.2.1 CRL NII Open Domain CA - G4 ... - 54 -

7.2.4 CRL NII Open Domain Code Signing CA - G2 ... - 56 -

7.2.5 CRL NII Open Domain S/MIME CA ... - 58 -

7.3 証明書行要求 CSR ... - 59 -

7.3.1 証明書証明書行要求NII Open Domain CA - G4 CSR ... - 59 -

7.3.4 署用証明書証明書行要求 CSR ... - 62 -

7.4 OCSP ... - 63 -

7.4.1 ョン番 ... - 63 -

7.4.2 OCSP 張 ... - 63 -

8. 準性査そ他評価 ... - 64 -

8.1 査度 ... - 64 -

8.2 査者身元資格 ... - 64 -

8.3 査者被査者関係 ... - 64 -

(10)

8.5 査指摘事対応 ... - 64 -

8.6 査結果通知 ... - 64 -

9. 他ネ的法的問題 ... - 65 -

9.1 料金 ... - 65 -

9.2 務責任 ... - 65 -

9.3 機密情報保持 ... - 65 -

9.3.1 秘密情報範 ... - 65 -

9.3.2 秘密情報範外情報 ... - 65 -

9.3.3 秘密情報保護責任 ... - 65 -

9.4 個人情報保護 ... - 65 -

9.5 知的産権 ... - 66 -

9.6 表明保証 ... - 66 -

9.6.1 本CA 義務責任 ... - 66 -

9.6.2 RA 義務責任... - 66 -

9.6.3 機関義務責任 ... - 67 -

9.6.4 利用管理者及利用者義務責任 ... - 67 -

9.6.5 検証者義務責任 ... - 68 -

9.6.6 IC 行業者義務責任 ... - 68 -

9.6.7 録担当者義務責任 ... - 68 -

9.7 限定保証 ... - 68 -

9.8 責任制限 ... - 68 -

9.9 補償 ... - 69 -

9.10 文書効期間終了 ... - 69 -

9.10.1 文書効期間 ... - 69 -

9.10.2 終了 ... - 69 -

9.10.3 終了影響条 ... - 69 -

9.11 関係者間個々通知連絡 ... - 69 -

9.12 改訂 ... - 70 -

9.12.1 改訂手 ... - 70 -

9.12.2 通知方法期間 ... - 70 -

9.12.3 OID 変更... - 70 -

9.13 紛解決手 ... - 70 -

9.14 準法... - 70 -

9.15 適用法遵 ... - 70 -

9.16 雑則 ... - 70 -

(11)

1.

1.1概要

国立情報学研究所ンン認証局証明書以本 CP いう

大学共利用機関法人情報研究機構国立情報学研究所以 NII い

う運用国立情報学研究所ンン認証局NII Open Domain CA - G4

NII Open Domain CA - G5 NII Open Domain CA - G6 NII Open Domain Code

Signing CA - G2及 NII Open Domain S/MIME CA 以本CA いう行

証明書利用目的適用範利用申請手示証明書関規定

あ本CA 株式会社 CA

利用 RA業務 NII 担う

運用維持関諸手い電子認証基認証運用規程以 CPS

いう規定

NII Open Domain CA - G4 NII Open Domain CA - G5 NII Open Domain Code Signing CA - G2及 NII Open Domain S/MIME CA Security Communication

RootCA2 方向相互認証証明書行い NII Open Domain CA - G6

Security Communication ECCRootCA1 方向相互認証証明書行

い

本 CA 証明書行者証明書行前自己利用目的本

CP CPS 照合わ評価本CP及 CPS 諾必要あ

本CP 容 CPS 容抵触場合本CP CPS 優先適用

NII 契約関係持組織団体等間途規程等在

場合本CP CPS 規程等文書優先

本 CA CA/Browser Forum https://www.cabforum.org/ 公開 Baseline

Requirements 準い

本CP 本CA 関術面運用面展や改良伴いそ映

必要応改訂

本CP IETF 認証局運用ワ提唱 RFC3647 Internet X.509

Public Key Infrastructure Certificate Policy and Certification Practices Framework

準い

2016 12 26日以降 S/MIME用途 NII Open Domain CA - G4 証明書

(12)

2016 12 25日行申請行 S/MIME用途証明書い効期

間本CP 適用

1.1.1証明書種類

本CA 行証明書以あ

CA 称証明書種類

NII Open Domain CA - G4 証明書

ン証明書

S/MIME証明書

OCSP 証明書

NII Open Domain CA – G5 証明書 _SHA-256

OCSP 証明書

NII Open Domain CA – G6 証明書 _ECDSA

OCSP 証明書

NII Open Domain Code Signing CA - G2

署用証明書

OCSP 証明書

NII Open Domain

S/MIME CA S/MIME証明書

1.1.2身元確認

本CA 以確認行う

証明書種類確認容

証明書利用機関実在性

利用機関扱うン実在性

録担当者本人性

ン証明書利用機関実在性

S/MIME証明書利用機関実在性

利用機関扱うン実在性

署用証明書利用機関実在性

(13)

本CA 以確認直接行わ申請機関あいそ録担当者委任

証明書種類確認容

証明書利用機関扱うン本人性

利用管理者及利用者実在性本人性

実在性

ン証明書利用管理者及利用者実在性本人性

S/MIME証明書利用機関扱うン本人性

利用管理者及利用者実在性本人性

署用証明書利用管理者及利用者実在性本人性

1.2文書前識

本CP 式称国立情報学研究所ンン認証局証明書い

う

本CP 録意識子以 OID いう割当

い本CP OID及参照 CPS OID 以あ

CP/CPS OID

国立情報学研究所ンン認証局

証明書 CP

1.3.6.1.4.1.32264.3.2.1.1

電子認証基認証運用規程 CPS 1.2.392.200091.100.401.1

1.3PKI 関係者

1.3.1認証局 CA

CA Certification Authority：認証局 IA Issuing Authority：行局及

RA Registration Authority：録局構成 IA 証明書行

失効 CRL Certificate Revocation List：証明書失効開示 OCSP Online

Certificate Status Protocol 証明書タ情報提供等行う

本CA CA 運営主体定 CP CPS 遵及個人情報厳扱い条

件契約交わ業務部又全部外部委

1.3.2 録局 RA

RA 利用機関実在性機関扱うン実在性録担当者本人

性確認行う

証明書行失効申請及更新申請録担当者本人性確認及証明書

(14)

RA 利用管理者及利用者実在性及本人性確認場合利用管理

者直接申請

1.3.3利用管理者

利用管理者 NII 定各種規定合意本CA 行証明書所

証明書載公開鍵対秘密鍵管理人組織

利用管理者本CP及 CPS 容諾録担当者介証明書

行申請行う

利用管理者範次

• 教員職員等学術機関所属者あ本CA又録担当者本人性及

実在性確認者

• 学術機関何契約関係あ等学術機関所属者当該利用管理者

実在性本人性確認者

1.3.4利用者

利用者本CA 行証明書所証明書載公開鍵対

秘密鍵管理人組織

利用者範次

学術機関所属者

学術機関認役職組織係班や課単

学術機関認業務証明書必要者

1.3.5検証者

検証者本CP及 CPS 信利用管理者及利用者証明書検証者

又ンュタ

1.3.6そ他関係者

1.3.6.1 利用機関

利用機関 NII 定機関要件満本CA 事前確

認組織

1.3.6.2 録担当者

録担当者本CA 行証明書利用管理者申請い利用管理

者及利用者本人性実在性確認者録担当者利用管理者

(15)

1.4証明書使用方法

1.4.1適証明書使用

本CA 行証明書次目的利用

証明書種類証明書用途

証明書

本 CP 及 NII 定手実在

性確認人又組織対以用途

証明書行

認証

通信経路タ暗化

ン証明書

本 CP 及 NII 定手実在性

確認人又組織対以用途証

明書行

ン認証

Web 制御

タ電子署

証明書利用動作試験

S/MIME証明書

明書行

ン認証

Web 制御

タ電子署

電子電子署及電子暗化

署用証明書

明書行

電子署

OCSP 証明書

本 CP 定証明書タ情報タ

提供以用途証明書行

(16)

1.4.2禁証明書使用

本CA 本CP 基行証明書 1.4.1適証明書使用載目

的以外利用い

1.5 管理

1.5.1本管理組織

本CP 維持管理 NII 行う

1.5.2問い合わ先

本CP 関連絡先次あ

称：大学共利用機関法人情報研究機構国立情報学研究所

所：〒101-8430 東京都千代区橋2 目1番2

学術基推逭部学術基課

TEL：03-4212-2218

：certs@nii.ac.jp

1.5.3CP 適合性決定者

本CP 容い NII 適合性決定

1.5.4CP 認手

本CP NII 認効

1.6定義略語

＜A～Z＞

CA Certification Authority ：認証局

証明書行更新失効 CA秘密鍵生成保護利用管理者及利用者録等

行う主体いう

CAA (Certification Authority Authorization)

ン使用権限い DNS 中ン対証明書行

認証局情報述意い認証局証明書行防機能いう

(17)

CP/CPS Certificate Policy：証明書 /Certification Practices Statement：認証実施規程

CP ：CA 証明書行際運用方針定文書

CPS：CA 信性全性対外的示 CA 運用証明書鍵生

成管理責任等関定文書証明書何運用方針

示対認証実施規程運用方針う適用示

CRL Certificate Revocation List ：証明書失効

証明書効期間中証明書載容変更秘密鍵紛失等事失効

証明書情報載いう

ECDSA Elliptic curve digital signature algorithm)

楕曲線電子署いう RSA 短い鍵長等全性持

FIPS140-2

米国NIST National Institute of Standards and Technology 策定暗ュ

関キュ認定基準いう最 1 最高 4 定義

い

FQDN Fully Qualified Domain Name

ン省略完全指定形式例え

www ン nii.ac.jp あ場合 FQDN www.nii.ac.jp

HSM Hardware Security Module

秘密鍵生成保管利用いキュ確保目的使用耐タ

ン機能備え暗装置いう

IA Issuing Authority ：行局

CA 業務う証明書行更新失効 CA秘密鍵生成保護

維持管理等行う主体いう

OCSP Online Certificate Status Protocol

(18)

OID Object Identifier ：識子

ネワ相互接性や等意性維持管理枠組あ

国際的録機関録世界中ネワ間意数いう

PKI Public Key Infrastructure ：公開鍵基

電子署暗化認証いキュ術実現公開鍵暗方式

いう暗術用い基いう

RA Registration Authority ：録局

CA 業務う申込情報審査証明書行必要情報録 IA 対証明

書行要求等行う主体いう

RFC3647 Request For Comments 3647

ンタネ関術標準定団体あ IETF The Internet

Engineering Task Force 行文書あ CP/CPS ワ規定文

書いう

RSA

公開鍵暗方式普及い最標準的暗術あ

SHA-1 Secure Hash Algorithm 1

電子署使わュ関数要約関数あ生成ュ値

長 160 あ

SHA-256 Secure Hash Algorithm 256

電子署使わュ関数要約関数あ生成ュ値

長 256 あ SHA-1 高い強度持

＜あ～＞

計算や問題解決手方式

(19)

鍵

公開鍵暗方式い秘密鍵公開鍵構成鍵対いう

査

CA や操作無検査録 CA

動作履歴や履歴等いう

公開鍵

公開鍵暗方式い用い鍵方いい秘密鍵対応通信相手

相手方公開鍵いう

実在性

管理責任及ン実在性い NII 定要件

満あ

本人性

鍵う秘密鍵外部漏いう利用管理者及利用者管理い

利用機関実在性

利用機関 NII 定利用機関要件満あ

タタン

電子作成日時や処理実行日時等録タ

いう

電子証明書

あ公開鍵載者保証明電子タいう CA

電子署施そ当性保証

録担当者実在性

当該利用機関行失効更新申請行う NII

(20)

証明書行失効更新申請間違い録担当者行わ

あ

ン実在性

ン NII 定ン要件満あ

ン本人性

利用機関扱うン使用い当該ン録担

当者合意得い

ュ関数

え原文固定長列生成演算手法いう

タ送信側信側ュ値比較通信途中原文改

いい検出

秘密鍵

公開鍵暗方式い用い鍵方いい公開鍵対応本人

保鍵いう

CA

提供認証称いう

CA証明書及 CRL等格納公表タいう

利用管理者実在性

NII 定利用管理者及利用者要件満あ

利用管理者本人性

NII 定各種規程合意い及録担当者申請間違い利

(21)

2.公開及責任

2.1

本CA 24時間365日利用う維持管理行う証明書

タ情報 24時間365日利用う OCSP 維持管理行う

利用可能時間い保等利用い場合あ

2.2認証情報公開

本 CA CA証明書及そュ値証明書失効以 CRL いう

本CP及 CPS 公開利用管理者利用者及検証者ンン

閲覧う本CA 証明書及署用証明書

タ情報 OCSP 利用管理者利用者及検証者ンン

参照うそ他証明書 OCSP タ

情報提供行わい

2.3公開時期又そ度

本CA 通常24時間新 CRL 行公開

証明書失効行わ場合新 CRL 行行都度公開

本CP及 CPS 改訂都度公開

2.4 管理

利用管理者利用者及検証者公開情報関随時

参照般的 Web ンタ

(22)

3.識及認証

3.1 前決定

3.1.1 前種類

本CA 行証明書載行者及主体者前 ITU-T X.500

識形式従設定

本CA 行証明書情報含

(1) 証明書 NII Open Domain CA - G4

1. 国 C JP

2. 都道府県 ST 使用い

3. 場所 L Academe

4. 組織 O 利用管理者及利用者所属載

管理主体組織原則事前 RA 録

利用機関 (英語表 ) 用い

5. 組織単 OU 任意選択入欄 OU 欄組織

部門等例え工学部理学部法学部各学部区使

用

6. ンネ CN 本CA 行証明書ン

い使用 FQDN

7. 主体者 subjectAltName 張本 CA 行証明書ン

い使用及必要応 alias

い FQDN

1. 国 C JP

2. 都道府県 ST 証明書任意指定可能

3. 場所 L 証明書任意指定可能

用

(23)

い使用 FQDN

い FQDN

1. 国 C JP

2. 都道府県 ST 証明書任意指定可能

3. 場所 L 証明書任意指定可能

用

6. ンネ CN 本CA 行証明書ン

い使用 FQDN

い FQDN

(4) ン証明書

1. 国 C JP

3. 場所 L Academe

4. 組織 O 利用管理者及利用者所属組織原則事

前 RA 録利用機関 (英語表 ) 用い

部門例え工学部理学部法学部各学部及学籍番等

利用管理者及利用者区使用

6. ンネ CN 利用者氏利用者識子文列や数利用

者含組織利用者含役職組織部門用

い

(5)S/MIME証明書

(24)

3. 場所 L Academe

部門例え工学部理学部法学部各学部及学籍番等

利用管理者及利用者区使用

6. ンネ CN 利用者氏利用者識子文列や数利用

者含組織利用者含役職組織部門用

い

7. 主体者 subjectAltName 利用者電子用い

(6) 署用証明書

1. 国 C JP

2. 都道府県 ST 利用管理者及利用者所属組織所在地都道府県

原則事前 RA 録機関所在地用い表

3. 場所 L 利用管理者及利用者所属組織所在地市区町村

原則事前 RA 録機関所在地用い表

用

6. ンネ CN 利用管理者及利用者所属組織原則

事前 RA 録利用機関 (英語表 ) 用い

3.1.2 前意味持必要性

本CA 行証明書ン証明書及 S/MIME証明書国及

場所利用管理者及利用者日本学術機関い用供あ

示用い本CA 行署用証明書国及場所

利用管理者及利用者所属学術機関所在地示用い

本CA 行証明書組織及組織単検証者利用管理者及利用者

所属組織あ確認参照

本CA 行証明書ンネ及主体者検証者

FQDN 致い確認参照

(25)

利用者氏利用者識子文列や数利用者含組織利用者

含役職組織部門致い確認参

照

本CA 行署用証明書ンネ検証者提供者

前致い確認参照

3.1.3 前匿性又仮性

本CA 行証明書前匿や仮録行わい

前関要件本 CP 3.1.1 前種類及 3.1.2 前意味持

必要性

3.1.4種々前形式解釈規則

様々前形式解釈規則 ITU-T X.500 識規定従う

3.1.5 前意性

証明書載前本CA 行全証明書い意性備え

3.1.6認識認証及商標役割

本CA 証明書申請載称い知的産権いう検

証行わい利用管理者第者録商標や関連称本CA 申請

い本CA 録商標等理利用管理者第者間紛起場

合仲裁や紛解決行わい本CA 紛理利用管理者証明書

申請拒絶や行証明書失効権利

3.2初回識認証

3.2.1秘密鍵所持証明方法

利用管理者及利用者公開鍵対秘密鍵所い証明利用

管理者及利用者公開鍵自己署行い本CA 公開鍵署検証

公開鍵対秘密鍵所持いいう確認方法

3.2.2組織認証

3.2.2.1 利用機関確認実施手規定

(26)

(1) 録担当者任命

利用機関 NII 定手録担当者任命

RA 届出

録担当者実在性確認利用機関行わ

(2) 利用機関扱うン本人性確認

利用機関当該ン対証明書行

や利用管理者及利用者対録 S/MIME証明書

行いン録担当者合意得

(3) 確認実施手規定

利用機関利用管理者及利用者申請録担当者

あ以手い規定 NII 定手

RA 届出

利用管理者及利用者実在性本人性確認

実在性( 管理責任及ン実在性)確認

3.2.2.2RA 事前行う確認作業

RA 事前作業以行う

(1) 利用機関実在性

RA NII 定手利用機関実在性確認行

う

(2) 利用機関扱うン実在性

RA NII 定手ン実在性確認行う

(3) 確認実施手審査

RA 利用機関届出確認実施手い NII 定手

審査行う

審査結果備確認実施手届出認

備あ届出必要応届出行利用機関対

(27)

3.2.3個人認証

RA 事前作業以行う

(1) 録担当者本人性確認

RA NII 定手録担当者本人性確認行う

(2) 録担当者用証明書行

RA 本人性確認行録担当者対 NII 以定 CA 録

担当者用証明書行

認証局：国立情報学研究所運用支援認証局

証明書 OID： 1.3.6.1.4.1.32264.3.2.2.1

RA 証明書行申請都度行う確認以行う

(1) 録担当者本人性確認

録担当者本人性 NII 行録担当者用証明書認証経申

請行わ確認行う

録担当者証明書行申請都度行う確認以行う

(1) 利用管理者及利用者実在性本人性確認

録担当者利用機関定手利用管理者及

利用者実在性及本人性確認行う

3.2.4検証対象い利用管理者及利用者情報

RA ン本人性録担当者実在性利用管理者及利用者実在性本

人性及実在性本人性確認行わい

ン本人性利用機関事前確認行わ

ン対証明書行合意確認

録担当者実在性 NII 行録担当者用証明書確認

い

利用管理者及利用者実在性本人性及実在性利用機関

定確認実施手録担当者確認行わ

本人性利用管理者自身確認行わ録担当者

利用管理者申請付あ本人性確認い

(28)

3.2.5権限確認

RA 録担当者用証明書認証証明書関申請行う

録担当者権限い確認行う

3.2.6相互運用基準

本 CA Security Communication RootCA2 及 Security Communication

ECCRootCA1 方向相互認証証明書行い

3.3鍵更新申請時本人性確認及認証

3.3.1通常鍵更新時本人性確認及認証

鍵更新時本人性確認及認証本CP 3.2 初回識認証様

3.3.2証明書失効鍵更新本人性確認及認証

証明書失効鍵更新時本人性確認及認証本CP 3.2初回識認

証様

3.4失効申請時本人性確認及認証

RA 証明書失効申請都度行う確認以行う

(1) 録担当者本人性

録担当者本人性 NII 行録担当者用証明書認証経申

請行わ確認行う

RA 録担当者実在性利用管理者及利用者本人性及本人性

確認行わい

録担当者実在性 NII 行録担当者用証明書確認

い

利用管理者及利用者本人性利用機関定確認実施手

録担当者確認行わ

本人性利用管理者自身行わ録担当者利用

管理者申請付あ本人性確認い

利用管理者確認

(29)

4.証明書対運用要件

4.1証明書申請

4.1.1証明書申請者

証明書行申請行う者本CP 1.3.6.2 録担当者定義

録担当者実在性及本人性 RA 確認場合限本CP 1.3.3

利用管理者定義利用管理者含

4.1.2申請手及責任

証明書行申請行う者本CP及 CPS 容諾 NII 定

手基本CA 対確情報提出

証明書行申請行う者本 CP 3.2.4 検証対象い利用管理者及利用者

情報真性い責任う

4.2証明書申請手

4.2.1本人性及資格確認

本CA 本CP 3.2初回識認証載情報申請情報審査

行う

4.2.2証明書申請認又

本CA NII 定手基証明書行申請関情報い

審査行う

審査結果備申請認

備あ申請い申請備容応申請行者

申請再提出行う提出申請書類返い

4.2.3証明書申請手期間

本CA 認行申請い適時証明書行録行う

4.2.4CAA 確認

本CA 申請情報審査時 CAA 確認本CA DNS CAA

(30)

4.3証明書行

4.3.1証明書行時本CA 機能

本CA 行申請付証明書行録作業行う行録作業

証明書行利用管理者及利用者証明書配付

証明書行い本CP公開前目的証明書行作業

行う

4.3.2証明書行通知

本CA 利用管理者及利用者対証明書渡通知

録担当者対証明書行完了通知

4.4証明書領

4.4.1証明書領確認

本CA 利用管理者及利用者証明書配付証明書領

4.4.2本CA 証明書公開

本CA 利用管理者及利用者証明書公開行わい

4.4.3他関係者通知

本CA 録担当者除第者対証明書行通知行わい

4.5鍵証明書用途

4.5.1利用者秘密鍵証明書使用

本 CP 1.4.1 適証明書使用様利用者 1.4.1適証明書

使用載用途当該証明書及対応秘密鍵利用

そ他用途利用い

4.5.2検証者公開鍵証明書使用

検証者公開鍵及証明書使用本CA 行証明書信性検証

本CA 行証明書検証信前本CP及 CPS 容

(31)

4.6証明書更新鍵更新伴わい証明書更新

本CA 鍵更新伴わい証明書更新認い

4.7証明書鍵更新鍵更新伴う証明書更新

4.7.1証明書鍵更新要件

証明書更新証明書効期間満了場合や危殆化等理秘密鍵利

用場合新生成鍵使行う

失効証明書又効期限証明書鍵更新伴わ更新

い

4.7.2鍵更新申請者

本CP 4.1.1証明書申請者様

4.7.3鍵更新申請処理手

本CP 4.1.2申請手及責任 4.2証明書申請手及 4.3.1証明書行時

本CA 機能様

申請行う者本人性確認及資格確認い本CA 本CP 3.3鍵

更新申請時本人性確認及認証載情報申請行う者審査行

う

4.7.4証明書更新通知

本CP 4.3.2証明書行通知様

4.7.5証明書領確認

本CP 4.4.1証明書領確認様

4.7.6本CA 証明書公開

本CP 4.4.2本CA 証明書公開様

(32)

4.8証明書変更

4.8.1証明書変更要件

証明書変更効期限失効いい証明書載容変更生場

合新生成鍵使行う

4.8.2証明書変更申請者

本CP 4.1.1証明書申請者様

4.8.3証明書変更処理手

本CA 機能様

申請行う者本人性確認及資格確認い本CA 本CP 3.3鍵

更新申請時本人性確認及認証載情報申請行う者審査行

う

4.8.4証明書変更通知

本CP 4.3.2証明書行通知様

4.8.5変更証明書理

本CP 4.4.1証明書領確認様

4.8.6本CA 変更証明書公開

本CP 4.4.2本CA 証明書公開様

本CP 4.4.3他関係者通知様

4.9証明書失効時停

4.9.1証明書失効事

本CA 次事生場合録担当者申請基証明書失効行う

証明書載情報変更あ場合

秘密鍵盗難紛失漏洩利用等秘密鍵危殆化又危殆化

そあ場合

(33)

証明書利用中場合

本CA 次事生場合本CA 断証明書失効

利用管理者利用者及録担当者本 CP CPS 関連規程又法基

義務履行いい場合

本CA 終了場合

本CA 秘密鍵危殆化又危殆化そあ断場合

本CA 失効必要断そ他状況認場合

4.9.2失効申請者

証明書失効申請行う者録担当者本CP 4.9.1

証明書失効事該当本CA 断場合本CA 失効申請者得

4.9.3失効申請手

本CA 機能様

申請行う者本人性確認及資格確認い本CA 本CP 3.4失

効申請時本人性確認及認証載情報申請行う者審査行う

4.9.4失効猶期間

失効申請失効事象生速や行わい

4.9.5本CA 失効申請処理期間

本CA 効失効申請付速や証明書失効処理行い CRL

当該証明書情報映

4.9.6検証者失効情報確認要件

本CA 行証明書 CRL 格納先あ URL 載

証明書及署用証明書い CRL 他 OCSP URL 載

そ他証明書 OCSP URL 載い

CRL及 OCSP 般的 Web ンタ用い

CRL 効期限証明書情報含い

検証者利用管理者及利用者証明書い効性確認

(34)

4.9.7CRL 行周期

CRL 失効処理無わ 24時間更新行う証明書失効処理

行わ場合そ時 CRL 更新行う

CRL 効期間 96時間

4.9.8CRL 格納最大遅延時間

本CA 行 CRL 時映

4.9.9OCSP 提供

NII Open Domain CA - G4 NII Open Domain CA- G5 NII Open Domain CA- G6

OCSP 通証明書タ情報提供行う

NII Open Domain Code Signing CA - G2 OCSP 通署用

証明書タ情報提供行う

そ他CA い OCSP 提供い

4.9.10OCSP確認要件

本CA 行証明書い検証者効性確認行わい

掲載い CRL 証明書及署用証明書失効

録無確認い場合 OCSP 提供証明書及

署用証明書タ情報確認行わい

4.9.11そ他利用可能失効情報検査手段

規定い

4.9.12鍵危殆化特要件

規定い

4.9.13証明書時停

本CA 証明書時停行わい

4.9.14証明書時停申請者

規定い

4.9.15 時停申請手

(35)

4.9.16証明書時停限度

規定い

4.10証明書タ

4.10.1証明書タ容

検証者 OCSP 通証明書及署用証明書タ情

報確認

4.10.2 利用時間

本CA 24時間365日証明書タ情報確認うOCSP 管

理利用可能時間い保等利用い場

合あ

4.10.3そ他特徴

規定い

4.11利用終了

利用管理者及利用者本利用終了場合録担当者介証明書

失効申請行わい

4.12秘密鍵寄鍵回復

本CA 利用管理者及利用者所秘密鍵寄行わい

4.12.1寄鍵回復及実施

規定い

4.12.2 ョンキ化鍵回復及実施

(36)

5.設備運営運用統制

5.1建物及物理的管理

5.1.1施設所在建物構造

本い CPS 規定

5.1.2物理的

本い CPS 規定

5.1.3電源及空調設備

本い CPS 規定

5.1.4水害

本い CPS 規定

5.1.5火災防及保護対策

本い CPS 規定

5.1.6媒体保管場所

本い CPS 規定

5.1.7廃棄物処理

本い CPS 規定

5.1.8

本い CPS 規定

5.2手的管理

5.2.1信役割

本い CPS 規定役割以外役割定

1 RA責任者

(37)

2 RA管理者

RA管理者事前作業以行う

利用機関実在性確認

利用機関扱うン実在性確認

確認実施手審査

録担当者本人性確認

3 証明書自動行支援

証明書自動行支援申請都度作業以行う

録担当者本人性確認

証明書申請関情報審査

証明書行更新失効操作

4 録担当者

録担当者申請都度作業以行う

証明書行申請

証明書更新申請

証明書失効申請

5.2.2職務必要人数

本い CPS 規定以外

1 RA責任者

RA責任者 1

2 RA管理者

RA管理者複数

3 証明書自動行支援

証明書自動行支援 1系統

5.2.3個々役割対識認証

本CA 本CA 関ン認証

権限者識認証及認可権限操作あ確認

(38)

5.2.4職務割必要役割

本い CPS 規定

RA管理者任命 RA責任者可能

RA責任者 RA管理者職務兼務可能

5.3要員管理

5.3.1資格経験及身証明要件

本い CPS 準

5.3.2経歴調査手

本い CPS 準

5.3.3研修要件

本い CPS 準

5.3.4再研修度及要件

本い CPS 準

5.3.5職務ョン度及要件

本い CPS 準

5.3.6認いい行動対制裁

本い CPS 準

5.3.7独立契約者要件

本い CPS 準

5.3.8要員提供資料

(39)

5.4 査録手

5.4.1 録事

本い CPS 準

5.4.2 査処理度

本い CPS 準

5.4.3 査保期間

本い CPS 準

5.4.4 査保護

本い CPS 準

5.4.5 査手

本い CPS 準

5.4.6 査集部又外部

本い CPS 準

5.4.7 ン起通知

本い CPS 準

5.4.8脆弱性評価

本い CPS 準

5.5 録化

5.5.1 録種類

本い CPS 準

5.5.2 保期間

本い CPS 準

5.5.3 保護

(40)

5.5.4 手

本い CPS 準

5.5.5 録タタン要件

本い CPS 準

5.5.6 集部又外部

本い CPS 準

5.5.7 情報入手検証手

本い CPS 準

5.6鍵替え

本CA 秘密鍵秘密鍵対応証明書効期間本CA 行証明書最

大効期間短前新秘密鍵生成及証明書行行う新い秘

密鍵生成新い秘密鍵使証明書及 CRL 行行う

5.7危殆化及災害復

本CA 本CA 秘密鍵危殆化場合又事故災害等本CA 運用停

伴う事象生場合速や業務復向対応行う

利用機関録担当者利用管理者利用者及そ他関係者対必要情報連

絡

5.7.1事故及危殆化扱い手

含

5.7.2 ンュタ資源ソタ破損場合対処

含

5.7.3CA秘密鍵危殆化場合対処

含

5.7.4災害等生事業性

(41)

5.8CA又 RA 廃業

本CA又 RA 終了場合終了 30日前利用機関録担当者利

用管理者利用者及そ他関係者対終了事実通知又公表所定終了

(42)

6. 術面キュ管理

6.1鍵生成導入

6.1.1鍵生成

本 CA FIPS140-2 3 準キュュ

Hardware Security Module：以 HSM いう CA 鍵生成

鍵生成作業複数権限者操作行う

利用管理者及利用者鍵利用管理者及利用者自身生成又本

CA 施設い生成

6.1.2利用管理者及利用者対秘密鍵送付

利用管理者及利用者秘密鍵利用管理者及利用者自身生成本CA 利

用管理者及利用者秘密鍵生成場合秘密鍵使用 PIN 秘密鍵

全方法利用管理者及利用者送付

6.1.3本CA 公開鍵送付

本CA 利用管理者及利用者公開鍵送付ンン若ン

全方法行わ

6.1.4CA公開鍵配付

本CA CA公開鍵入手

6.1.5鍵長

本CA 鍵 RSA方式鍵長2048

6.1.6公開鍵タ生成及品質検査

本CA 公開鍵タ生成及タ強度検証鍵生成使用

暗装置実装機能用い行わ

利用管理者及利用者公開鍵タ生成及品質検査い規定

い

6.1.7鍵使用目的

本CA 証明書 KeyUsage keyCertSign,cRLSign 設定

本CA 行利用管理者及利用者証明書 KeyUsage digitalSignature,

(43)

6.2秘密鍵保護及暗ュ術管理

6.2.1暗ュ標準及管理

本 CPS 準

利用管理者及利用者秘密鍵い規定い

6.2.2複数人秘密鍵管理

本 CPS 準

利用管理者及利用者秘密鍵活性化非活性化等操作

利用管理者及利用者管理全行わい

6.2.3秘密鍵寄

本 CPS 準

本CA 利用管理者及利用者秘密鍵寄行わい

6.2.4秘密鍵

本 CPS 準

利用管理者及利用者秘密鍵利用管理者及利用者管

理全保管い

6.2.5秘密鍵

本 CPS 準

利用管理者及利用者秘密鍵行わい

6.2.6暗ュ秘密鍵格納出

本 CPS 準

6.2.7暗ュ秘密鍵保

本 CPS 準

6.2.8秘密鍵活性化方法

本 CPS 準

(44)

6.2.9秘密鍵非活性化方法

本 CPS 準

6.2.10秘密鍵廃棄方法

本 CPS 準

6.2.11暗ュ評価

本 CPS 準

6.3鍵管理関そ他目

6.3.1公開鍵

本い CPS 規定

6.3.2証明書鍵使用期間

本CA 秘密鍵及公開鍵効期間 10 以

利用管理者及利用者秘密鍵及公開鍵効期間証明書 25 ヶ以

ン証明書52ヶ以 S/MIME証明書52ヶ以署用証明書

25ヶ以

6.4秘密鍵活性化情報

本い CPS 規定

6.5 ンュタキュ管理

本い CPS 規定

6.6 術面管理

6.6.1 開管理

(45)

6.6.2 キュネン管理

本い CPS 規定

6.6.3 キュ管理

本い CPS 規定

6.7ネワキュ管理

本い CPS 規定

6.8タタン

(46)

7.証明書 CRL及 OCSP

7.1証明書

本示タい IETF RFC 5280 準

そ以通あ

7.1.1 証明書 NII Open Domain CA - G4

表

7-1-1

証明書

NII Open Domain CA - G4

基本領域設定容 critical

Version Version 3 -

Serial Number 例) 0123456789 -

Signature Algorithm sha256WithRSAEncryption -

Issuer Country C=JP -

Locality L=Academe -

Organization O= National Institute of Informatics -

Common Name CN= NII Open Domain CA - G4 -

Validity NotBefore 例) 2018/01/01 12:00:00 GMT -

NotAfter 例) 2020/02/01 12:00:00 GMT -

Subject Country C=JP 固定値 -

Locality L=Academe 固定値 -

Organization O="主体者組織 "

利用機関毎任意指定

例)O= National Institute of Informatics

-

Organizational Unit OU="主体者組織単 "

証明書毎任意指定

例)OU=Cyber Science Infrastructure Development Department

-

Common Name CN=" FQDN"

例) cn=upki-portal.nii.ac.jp

-

Subject Public Key Info 主体者公開鍵2048 -

張領域設定容 critical

(47)

ExtendedKeyUsage serverAuth,clientAuth

そ他必要応設定

n

CertificatePolicies [1]Certificate Policy:

Policy Identifier

=1.3.6.1.4.1.32264.3.2.1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS

Qualifier:

https://repo1.secomtrust.net/spcpp/c ps/index.html

n

CRL Distribution Points URL=http://repo1.secomtrust.net/sp pca/nii/ odca3/fullcrlg4.crl

n

SubjectAltName dNSName : FQDN

必要応複数設定可

n

Authority information Access URL=http://niig4.ocsp.secomtrust.ne t

n

Authority Key Identifier 行者公開鍵識子

行者公開鍵 160bit SHA-1 ュ値

n

Subject Key Identifier 主体者公開鍵識子

主体者公開鍵 160bit SHA-1 ュ値

n

表

7-1-2

証明書

NII Open Domain CA - G5

Version Version 3 -

(48)

StateOrProvince ST=証明書毎任意指定 -

Locality L=証明書毎任意指定 -

-

KeyUsage digitalSignature, keyEncipherment y

n

Policy Identifier

Qualifier:

https://repo1.secomtrust.net/sppca/n ii/odca3/

[2]Certificate Policy: Policy Identifier

=2.23.140.1.2.2

n

CRL Distribution Points URL=http://repo1.secomtrust.net/sp pca/nii/odca3/fullcrlg5.crl

n

(49)

n

Certificate Transparency用張 SignedCertificateTimestampList 値

n

表

7-1-3

証明書

NII Open Domain CA - G6

Version Version 3 -

Signature Algorithm ecdsa-with-SHA384 -

NotAfter 例) 2020/02/01 12:00:00 GMT -

StateOrProvince ST=証明書毎任意指定 -

Locality L=証明書毎任意指定 -

-

(50)

Subject Public Key Info 主体者公開鍵384

secp384r1 限定

-

n

Policy Identifier

Qualifier:

[2]Certificate Policy: Policy Identifier

=2.23.140.1.2.2

n

Certificate Transparency用張 SignedCertificateTimestampList 値

(51)

7.1.4 ン証明書

表

7-1-4

ン

証明書

Version Version 3 -

NotAfter 例) 2020/05/01 12:00:00 GMT -

-

Common Name CN="利用管理者及利用者氏又

識子"

例) cn=Ichiro Suzuki

-

(52)

CertificatePolicies [1]Certificate Policy: Policy Identifier

Qualifier:

https://repo1.secomtrust.net/spcpp /cps/index.html

n

7.1.5S/MIME証明書

表7-1-5-1 2016 12 25日行 S/MIME証明書適用

表7-1-5-2 2016 12 26日以降行 S/MIME証明書

適用

表

7-1-5-1 S/MIME

証明書

Version Version 3 -

NotAfter 例) 2017/05/01 12:00:00 GMT -

(53)

-

識子"

-

ExtendedKeyUsage clientAuth, EmailProtection n

Policy Identifier

Qualifier:

n

Subject Alt Name rfc822Name=" "

例 rfc822Name=certs@nii.ac.jp

n

(54)

表

7-1-5-2 S/MIME

証明書

Version Version 3 -

Organization O=National Institute of Informatics -

Common Name CN=NII Open Domain S/MIME CA -

NotAfter 例) 2020/05/01 12:00:00 GMT -

-

識子"

-

ExtendedKeyUsage clientAuth, EmailProtection n

Policy Identifier

(55)

Qualifier:

Subject Alt Name rfc822Name=" "

例 rfc822Name=certs@nii.ac.jp

n

CRL Distribution Points URL=http://repo1.secomtrust.net/sp pca/nii/odca3/fullcrlsm.crl

n

(56)

7.1.6 署用証明書

表

7-1-6

署

用証明書

Version Version 3 -

Locality L=Academe

Common Name CN= NII Open Domain Code Signing

CA - G2

-

NotAfter 例) 2020/05/01 12:00:00 GMT -

stateOrProvince ST="都道府県"

利用機関毎指定

例)ST=Tokyo

-

Locality L="市区町村"

利用機関毎指定

例)L=Chiyoda-ku

-

Common Name CN="主体者組織 "

例) cn= National Institute of Informatics

-

(57)

ExtendedKeyUsage codeSigning n

Policy Identifier

Qualifier:

https://repo1.secomtrust.net/spcpp/cp s/index.html

n

CRL Distribution Points URL=http://repo1.secomtrust.net/spp ca/nii/odca3/fullcrlcsg2.crl

n

Authority information Access URL=http://niicsg2.ocsp.secomtrust.n et

n

7.1.7OCSP 証明書

表

7-1-7-1 OCSP

証明書

NII Open Domain CA - G4

Version Version 3 -

NotAfter 例) 2019/01/01 00:00:00 GMT -

(58)

Locality L=Academe 固定値 - Organization O= National Institute of Informatics -

Common Name OCSP 必須 -

KeyUsage digitalSignature y

ExtendedKeyUsage OCSPSigning n

OCSP No Check Null n

Policy Identifier

Qualifier:

n

Authority Key Identifier 行者公開鍵 SHA-1 ュ値

160

n

Subject Key Identifier 主体者公開鍵 SHA-1 ュ値

160

n

表

7-1-7-2 OCSP

証明書

NII Open Domain CA - G5

Version Version 3 -

NotAfter 例) 2019/01/01 00:00:00 GMT -

(59)

OCSP No Check Null n

Policy Identifier

Qualifier:

n

160

n

160

n

表

7-1-7-3 OCSP

証明書

NII Open Domain CA - G6

Version Version 3 -

Signature Algorithm ecdsa-with-SHA384 -

NotAfter 例) 2019/01/01 00:00:00 GMT -

(60)

Qualifier:

n

160

n

160

n

表

7-1-7-4 OCSP

証明書

NII Open Domain Code Signing

CA - G2

Version Version 3 -

Common Name CN= NII Open Domain Code

Signing CA - G2

-

NotAfter 例) 2019/01/01 00:00:00 GMT -

(61)

Qualifier:

n

160

n

160

n

7.1.8 用S/MIME証明書

表7-1-8-1 2016 12 25日行用S/MIME証

明書適用表7-1-8-2 2016 12 20日以降行

用S/MIME証明書適用

表

7-1-8-1

用

S/MIME

証明書

Version Version 3 -

NotAfter 例) 2020/05/01 12:00:00 GMT -

Organization O=SECOM Trust Systems Co.,Ltd -

Organizational Unit OU=UPKI Digital Certificate Issuance Service

NIIODCA3 CP V2 6 国立情報学研究所 オープンドメイン認証局 証明書ポリシ (Certificate Policy)

国立情報学研究所

ン

ン認証局

証明書

第

2.60

表

7-1-1

証明書

NII Open Domain CA - G4

表

7-1-2

証明書

NII Open Domain CA - G5

表

7-1-3

証明書

NII Open Domain CA - G6

表

7-1-4

ン

証明書

表

7-1-5-1 S/MIME

証明書

表

7-1-5-2 S/MIME

証明書

表

7-1-6

署

用証明書

表

7-1-7-1 OCSP

証明書

NII Open Domain CA - G4

表

7-1-7-2 OCSP

証明書

NII Open Domain CA - G5

表

7-1-7-3 OCSP

証明書

NII Open Domain CA - G6

表

7-1-7-4 OCSP

証明書

NII Open Domain Code Signing

CA - G2

表

7-1-8-1

用

S/MIME

証明書

NIIODCA3 CP V2 6 国立情報学研究所オープンドメイン認証局証明書ポリシ (Certificate Policy)