国立情報学研究所
ン
ン認証局
証明書
第
2.60
改 履歴
数 日付 容
1.00 2015.01.01 初 行
2.00 2015.04.01 ン 証明書 S/MIME証明書 署 用証明書
追加
用語 統
2.10 2016.03.14 OCSP 提供 い 明 追
用S/MIME証明書 追加
証明書 利用者条件 追
ン 証明書 用途 追
誤植 修
2.20 2016.12.20 認証局 NII Open Domain S/MIME CA 追加
用S/MIME証明書 変更
誤植 修
2.30 2017.02.28 署 用証明書 変更
OCSP 提供 い 明 修
OCSP 証明書 NII Open Domain Code
Signing CA - G2 追加
2.40 2017.09.08 CAA 関 述 追加
2.50 2018.02.26 認証局 NII Open Domain CA - G3 削除
認証局 NII Open Domain Code Signing CA 削除
ン S/MIME証明書 効期間 変更
OCSP 証明書 NII Open Domain CA -
G3 削除
CRL NII Open Domain CA - G3 NII
2.60 2018.03.26 認証局 NII Open Domain CA - G5 追加
認証局 NII Open Domain CA - G6 追加
定義 略語 ECDSA 追加
相互運用 基準 Security Communication ECCRootCA1 追加
証明書 NII Open Domain CA - G5
NII Open Domain CA - G6 追加
OCSP 証明書 NII Open Domain CA -
G5 NII Open Domain CA - G6 追加
証明書 証明書 行要求 CSR NII
目 次
1. ... - 1 -
1.1 概要 ... - 1 -
1.1.1 証明書 種類 ... - 2 -
1.1.2 身元確認 ... - 2 -
1.2 文書 前 識 ... - 3 -
1.3 PKI 関係者 ... - 3 -
1.3.1 認証局 CA ... - 3 -
1.3.2 録局 RA ... - 3 -
1.3.3 利用管理者... - 4 -
1.3.4 利用者 ... - 4 -
1.3.5 検証者 ... - 4 -
1.3.6 そ 他関係者 ... - 4 -
1.4 証明書 使用方法 ... - 5 -
1.4.1 適 証明書 使用 ... - 5 -
1.4.2 禁 証明書 使用 ... - 6 -
1.5 管理 ... - 6 -
1.5.1 本 管理 組織 ... - 6 -
1.5.2 問い合わ 先 ... - 6 -
1.5.3 CP 適合性 決定 者 ... - 6 -
1.5.4 CP 認手 ... - 6 -
1.6 定義 略語 ... - 6 -
2. 公開及 責任 ... - 11 -
2.1 ... - 11 -
2.2 認証情報 公開 ... - 11 -
2.3 公開 時期又 そ 度 ... - 11 -
2.4 管理 ... - 11 -
3. 識 及 認証 ... - 12 -
3.1 前決定 ... - 12 -
3.1.1 前 種類... - 12 -
3.1.2 前 意味 持 必要性 ... - 14 -
3.1.3 前 匿 性又 仮 性 ... - 15 -
3.1.4 種々 前形式 解釈 規則 ... - 15 -
3.1.5 前 意性 ... - 15 -
3.1.6 認識 認証及 商標 役割 ... - 15 -
3.2.1 秘密鍵 所持 証明 方法 ... - 15 -
3.2.2 組織 認証... - 15 -
3.2.3 個人 認証... - 17 -
3.2.4 検証対象 い利用管理者及 利用者情報 ... - 17 -
3.2.5 権限確認 ... - 18 -
3.2.6 相互運用 基準 ... - 18 -
3.3 鍵更新申請時 本人性確認及 認証 ... - 18 -
3.3.1 通常 鍵更新時 本人性確認及 認証 ... - 18 -
3.3.2 証明書失効 鍵更新 本人性確認及 認証 ... - 18 -
3.4 失効申請時 本人性確認及 認証 ... - 18 -
4. 証明書 対 運用 要件 ... - 19 -
4.1 証明書申請 ... - 19 -
4.1.1 証明書 申請者 ... - 19 -
4.1.2 申請手 及 責任 ... - 19 -
4.2 証明書申請手 ... - 19 -
4.2.1 本人性及 資格確認 ... - 19 -
4.2.2 証明書申請 認又 ... - 19 -
4.2.3 証明書申請手 期間 ... - 19 -
4.2.4 CAA 確認 ... - 19 -
4.3 証明書 行 ... - 20 -
4.3.1 証明書 行時 本CA 機能 ... - 20 -
4.3.2 証明書 行 通知 ... - 20 -
4.4 証明書 領 ... - 20 -
4.4.1 証明書 領確認 ... - 20 -
4.4.2 本CA 証明書 公開 ... - 20 -
4.4.3 他 関係者 通知 ... - 20 -
4.5 鍵 証明書 用途 ... - 20 -
4.5.1 利用者 秘密鍵 証明書 使用 ... - 20 -
4.5.2 検証者 公開鍵 証明書 使用 ... - 20 -
4.6 証明書更新 鍵更新 伴わ い証明書更新 ... - 21 -
4.7 証明書 鍵更新 鍵更新 伴う証明書更新 ... - 21 -
4.7.1 証明書鍵更新 要件 ... - 21 -
4.7.2 鍵更新申請者 ... - 21 -
4.7.3 鍵更新申請 処理手 ... - 21 -
4.7.4 証明書更新 通知 ... - 21 -
4.7.6 本CA 証明書 公開 ... - 21 -
4.7.7 他 関係者 通知 ... - 21 -
4.8 証明書 変更 ... - 22 -
4.8.1 証明書変更 要件 ... - 22 -
4.8.2 証明書 変更申請者 ... - 22 -
4.8.3 証明書変更 処理手 ... - 22 -
4.8.4 証明書変更 通知 ... - 22 -
4.8.5 変更 証明書 理 ... - 22 -
4.8.6 本CA 変更証明書 公開 ... - 22 -
4.8.7 他 関係者 通知 ... - 22 -
4.9 証明書 失効 時停 ... - 22 -
4.9.1 証明書失効事 ... - 22 -
4.9.2 失効申請者... - 23 -
4.9.3 失効申請 手 ... - 23 -
4.9.4 失効 猶 期間 ... - 23 -
4.9.5 本CA 失効申請 処理期間 ... - 23 -
4.9.6 検証者 失効情報確認 要件 ... - 23 -
4.9.7 CRL 行周期 ... - 24 -
4.9.8 CRL 格納 最大遅延時間 ... - 24 -
4.9.9 OCSP 提供... - 24 -
4.9.10 OCSP確認要件 ... - 24 -
4.9.11 そ 他 利用可能 失効情報検査手段 ... - 24 -
4.9.12 鍵 危殆化 特 要件 ... - 24 -
4.9.13 証明書 時停 ... - 24 -
4.9.14 証明書 時停 申請者 ... - 24 -
4.9.15 時停 申請 手 ... - 24 -
4.9.16 証明書 時停 限度 ... - 25 -
4.10 証明書 タ ... - 25 -
4.10.1 証明書 タ 容 ... - 25 -
4.10.2 利用時間 ... - 25 -
4.10.3 そ 他特徴... - 25 -
4.11 利用 終了 ... - 25 -
4.12 秘密鍵寄 鍵回復 ... - 25 -
4.12.1 寄 鍵回復 及 実施 ... - 25 -
4.12.2 ョンキ 化 鍵回復 及 実施 ... - 25 -
5.1 建物及 物理的管理 ... - 26 -
5.1.1 施設 所在 建物構造 ... - 26 -
5.1.2 物理的 ... - 26 -
5.1.3 電源及 空調設備 ... - 26 -
5.1.4 水害 ... - 26 -
5.1.5 火災防 及 保護対策 ... - 26 -
5.1.6 媒体保管場所 ... - 26 -
5.1.7 廃棄物 処理 ... - 26 -
5.1.8 ... - 26 -
5.2 手 的管理 ... - 26 -
5.2.1 信 役割 ... - 26 -
5.2.2 職務 必要 人数 ... - 27 -
5.2.3 個々 役割 対 識 認証 ... - 27 -
5.2.4 職務 割 必要 役割 ... - 28 -
5.3 要員管理 ... - 28 -
5.3.1 資格 経験及 身 証明 要件 ... - 28 -
5.3.2 経歴 調査手 ... - 28 -
5.3.3 研修要件 ... - 28 -
5.3.4 再研修 度及 要件 ... - 28 -
5.3.5 職務 ョン 度及 要件 ... - 28 -
5.3.6 認 い い行動 対 制裁 ... - 28 -
5.3.7 独立 契約者 要件 ... - 28 -
5.3.8 要員 提供 資料 ... - 28 -
5.4 査 録手 ... - 29 -
5.4.1 録 事 ... - 29 -
5.4.2 査 処理 度 ... - 29 -
5.4.3 査 保 期間 ... - 29 -
5.4.4 査 保護 ... - 29 -
5.4.5 査 手 ... - 29 -
5.4.6 査 集 部又 外部 ... - 29 -
5.4.7 ン 起 通知... - 29 -
5.4.8 脆弱性評価... - 29 -
5.5 録 化 ... - 29 -
5.5.1 録 種類 ... - 29 -
5.5.2 保 期間 ... - 29 -
5.5.4 手 ... - 30 -
5.5.5 録 タ タン 要件 ... - 30 -
5.5.6 集 部又 外部 ... - 30 -
5.5.7 情報 入手 検証 手 ... - 30 -
5.6 鍵 替え ... - 30 -
5.7 危殆化及 災害復 ... - 30 -
5.7.1 事故及 危殆化 扱い手 ... - 30 -
5.7.2 ン ュ タ 資源 ソ タ 破損 場合 対処 ... - 30 -
5.7.3 CA秘密鍵 危殆化 場合 対処 ... - 30 -
5.7.4 災害等 生 事業 性 ... - 30 -
5.8 CA又 RA 廃業 ... - 31 -
6. 術面 キュ 管理 ... - 32 -
6.1 鍵 生成 導入 ... - 32 -
6.1.1 鍵 生成 ... - 32 -
6.1.2 利用管理者及 利用者 対 秘密鍵 送付 ... - 32 -
6.1.3 本CA 公開鍵 送付 ... - 32 -
6.1.4 CA公開鍵 配付... - 32 -
6.1.5 鍵長 ... - 32 -
6.1.6 公開鍵 タ生成及 品質検査 ... - 32 -
6.1.7 鍵 使用目的 ... - 32 -
6.2 秘密鍵 保護及 暗 ュ 術 管理... - 33 -
6.2.1 暗 ュ 標準及 管理 ... - 33 -
6.2.2 複数人 秘密鍵 管理 ... - 33 -
6.2.3 秘密鍵 寄 ... - 33 -
6.2.4 秘密鍵 ... - 33 -
6.2.5 秘密鍵 ... - 33 -
6.2.6 暗 ュ 秘密鍵 格納 出 ... - 33 -
6.2.7 暗 ュ 秘密鍵保 ... - 33 -
6.2.8 秘密鍵 活性化方法 ... - 33 -
6.2.9 秘密鍵 非活性化方法 ... - 34 -
6.2.10 秘密鍵 廃棄方法 ... - 34 -
6.2.11 暗 ュ 評価 ... - 34 -
6.3 鍵 管理 関 そ 他 目 ... - 34 -
6.3.1 公開鍵 ... - 34 -
6.3.2 証明書 鍵 使用期間 ... - 34 -
6.5 ン ュ タ キュ 管理 ... - 34 -
6.6 術面 管理 ... - 34 -
6.6.1 開 管理 ... - 34 -
6.6.2 キュ ネ ン 管理 ... - 35 -
6.6.3 キュ 管理 ... - 35 -
6.7 ネ ワ キュ 管理 ... - 35 -
6.8 タ タン ... - 35 -
7. 証明書 CRL及 OCSP ... - 36 -
7.1 証明書 ... - 36 -
7.1.1 証明書 NII Open Domain CA - G4 ... - 36 -
7.1.2 証明書 NII Open Domain CA - G5 ... - 37 -
7.1.3 証明書 NII Open Domain CA - G6 ... - 39 -
7.1.4 ン 証明書 ... - 41 -
7.1.5 S/MIME証明書 ... - 42 -
7.1.6 署 用証明書 ... - 46 -
7.1.7 OCSP 証明書 ... - 47 -
7.1.8 用S/MIME証明書 ... - 51 -
7.2 CRL ... - 53 -
7.2.1 CRL NII Open Domain CA - G4 ... - 54 -
7.2.2 CRL NII Open Domain CA - G5 ... - 55 -
7.2.3 CRL NII Open Domain CA - G6 ... - 55 -
7.2.4 CRL NII Open Domain Code Signing CA - G2 ... - 56 -
7.2.5 CRL NII Open Domain S/MIME CA ... - 58 -
7.3 証明書 行要求 CSR ... - 59 -
7.3.1 証明書 証明書 行要求NII Open Domain CA - G4 CSR ... - 59 -
7.3.2 証明書 証明書 行要求NII Open Domain CA - G5 CSR ... - 60 -
7.3.3 証明書 証明書 行要求NII Open Domain CA - G6 CSR ... - 61 -
7.3.4 署 用証明書 証明書 行要求 CSR ... - 62 -
7.4 OCSP ... - 63 -
7.4.1 ョン番 ... - 63 -
7.4.2 OCSP 張 ... - 63 -
8. 準 性 査 そ 他 評価 ... - 64 -
8.1 査 度 ... - 64 -
8.2 査者 身元 資格 ... - 64 -
8.3 査者 被 査者 関係 ... - 64 -
8.5 査指摘事 対応 ... - 64 -
8.6 査結果 通知 ... - 64 -
9. 他 ネ 的 法的問題 ... - 65 -
9.1 料金 ... - 65 -
9.2 務 責任 ... - 65 -
9.3 機密情報 保持 ... - 65 -
9.3.1 秘密情報 範 ... - 65 -
9.3.2 秘密情報範 外 情報 ... - 65 -
9.3.3 秘密情報 保護 責任 ... - 65 -
9.4 個人情報 保護 ... - 65 -
9.5 知的 産権 ... - 66 -
9.6 表明保証 ... - 66 -
9.6.1 本CA 義務 責任 ... - 66 -
9.6.2 RA 義務 責任... - 66 -
9.6.3 機関 義務 責任 ... - 67 -
9.6.4 利用管理者及 利用者 義務 責任 ... - 67 -
9.6.5 検証者 義務 責任 ... - 68 -
9.6.6 IC 行業者 義務 責任 ... - 68 -
9.6.7 録担当者 義務 責任 ... - 68 -
9.7 限定保証 ... - 68 -
9.8 責任 制限 ... - 68 -
9.9 補償 ... - 69 -
9.10 文書 効期間 終了 ... - 69 -
9.10.1 文書 効期間 ... - 69 -
9.10.2 終了 ... - 69 -
9.10.3 終了 影響 条 ... - 69 -
9.11 関係者間 個々 通知 連絡 ... - 69 -
9.12 改訂 ... - 70 -
9.12.1 改訂手 ... - 70 -
9.12.2 通知方法 期間 ... - 70 -
9.12.3 OID 変更... - 70 -
9.13 紛 解決手 ... - 70 -
9.14 準 法... - 70 -
9.15 適用 法 遵 ... - 70 -
9.16 雑則 ... - 70 -
1.
1.1概要
国立情報学研究所 ン ン認証局 証明書 以 本 CP いう
大学共 利用機関法人 情報 研究機構 国立情報学研究所 以 NII い
う 運用 国立情報学研究所 ン ン認証局NII Open Domain CA - G4
NII Open Domain CA - G5 NII Open Domain CA - G6 NII Open Domain Code
Signing CA - G2及 NII Open Domain S/MIME CA 以 本CA いう 行
証明書 利用目的 適用範 利用申請手 示 証明書 関 規定
あ 本CA 株式会社 CA
利用 RA業務 NII 担う
運用維持 関 諸手 い 電子認証基 認証運用規程 以 CPS
いう 規定
NII Open Domain CA - G4 NII Open Domain CA - G5 NII Open Domain Code Signing CA - G2及 NII Open Domain S/MIME CA Security Communication
RootCA2 方向相互認証証明書 行 い NII Open Domain CA - G6
Security Communication ECCRootCA1 方向相互認証証明書 行
い
本 CA 証明書 行 者 証明書 行 前 自己 利用目的 本
CP CPS 照 合わ 評価 本CP及 CPS 諾 必要 あ
本CP 容 CPS 容 抵触 場合 本CP CPS 優先 適用
NII 契約関係 持 組織団体等 間 途規程等 在
場合 本CP CPS 規程等 文書 優先
本 CA CA/Browser Forum https://www.cabforum.org/ 公 開 Baseline
Requirements 準 い
本CP 本CA 関 術面 運用面 展や改良 伴い そ 映
必要 応 改訂
本CP IETF 認証局運用 ワ 提唱 RFC3647 Internet X.509
Public Key Infrastructure Certificate Policy and Certification Practices Framework
準 い
2016 12 26日以降 S/MIME用途 NII Open Domain CA - G4 証明書
2016 12 25日 行申請 行 S/MIME用途 証明書 い 効期
間 本CP 適用
1.1.1証明書 種類
本CA 行 証明書 以 あ
CA 称 証明書 種類
NII Open Domain CA - G4 証明書
ン 証明書
S/MIME証明書
OCSP 証明書
NII Open Domain CA – G5 証明書 SHA-256
OCSP 証明書
NII Open Domain CA – G6 証明書 ECDSA
OCSP 証明書
NII Open Domain Code Signing CA - G2
署 用証明書
OCSP 証明書
NII Open Domain
S/MIME CA S/MIME証明書
1.1.2身元確認
本CA 以 確認 行う
証明書 種類 確認 容
証明書 利用機関 実在性
利用機関 扱う ン 実在性
録担当者 本人性
ン 証明書 利用機関 実在性
録担当者 本人性
S/MIME証明書 利用機関 実在性
利用機関 扱う ン 実在性
録担当者 本人性
署 用証明書 利用機関 実在性
本CA 以 確認 直接行わ 申請 機関あ い そ 録担当者 委任
証明書 種類 確認 容
証明書 利用機関 扱う ン 本人性
利用管理者及 利用者 実在性 本人性
実在性
ン 証明書 利用管理者及 利用者 実在性 本人性
S/MIME証明書 利用機関 扱う ン 本人性
利用管理者及 利用者 実在性 本人性
署 用証明書 利用管理者及 利用者 実在性 本人性
1.2文書 前 識
本CP 式 称 国立情報学研究所 ン ン認証局 証明書 い
う
本CP 録 意 識 子 以 OID いう 割 当
い 本CP OID及 参照 CPS OID 以 あ
CP/CPS OID
国立情報学研究所 ン ン認証局
証明書 CP
1.3.6.1.4.1.32264.3.2.1.1
電子認証基 認証運用規程 CPS 1.2.392.200091.100.401.1
1.3PKI 関係者
1.3.1認証局 CA
CA Certification Authority:認証局 IA Issuing Authority: 行局 及
RA Registration Authority: 録局 構成 IA 証明書 行
失効 CRL Certificate Revocation List:証明書失効 開示 OCSP Online
Certificate Status Protocol 証明書 タ 情報 提供等 行う
本CA CA 運営主体 定 CP CPS 遵 及 個人情報 厳 扱い 条
件 契約 交わ 業務 部又 全部 外部 委
1.3.2 録局 RA
RA 利用機関 実在性 機関 扱う ン 実在性 録担当者 本人
性確認 行う
証明書 行 失効申請及 更新申請 録担当者 本人性確認及 証明書
RA 利用管理者及 利用者 実在性及 本人性 確認 場合 利用管理
者 直接申請
1.3.3利用管理者
利用管理者 NII 定 各種規定 合意 本CA 行 証明書 所
証明書 載 公開鍵 対 秘密鍵 管理 人 組織
利用管理者 本CP及 CPS 容 諾 録担当者 介 証明書
行申請 行う
利用管理者 範 次
• 教員 職員等 学術機関 所属 者 あ 本CA又 録担当者 本人性及
実在性 確認 者
• 学術機関 何 契約関係 あ 等 学術機関 所属 者 当該利用管理者
実在性 本人性 確認 者
1.3.4利用者
利用者 本CA 行 証明書 所 証明書 載 公開鍵 対
秘密鍵 管理 人 組織
利用者 範 次
学術機関 所属 者
学術機関 認 役職 組織 係 班や課 単
学術機関 認 業務 証明書 必要 者
1.3.5検証者
検証者 本CP及 CPS 信 利用管理者及 利用者 証明書 検証 者
又 ン ュ タ
1.3.6そ 他関係者
1.3.6.1 利用機関
利用機関 NII 定 機関 要件 満 本CA 事前 確
認 組織
1.3.6.2 録担当者
録担当者 本CA 行 証明書 利用管理者 申請 い 利用管理
者及 利用者 本人性 実在性 確認 者 録担当者 利用管理者
1.4証明書 使用方法
1.4.1適 証明書 使用
本CA 行 証明書 次 目的 利用
証明書 種類 証明書 用途
証明書
本 CP 及 NII 定 手 実在
性 確認 人又 組織 対 以 用途
証明書 行
認証
通信経路 タ暗 化
ン 証明書
本 CP 及 NII 定 手 実在性
確認 人又 組織 対 以 用途 証
明書 行
ン 認証
Web 制御
タ 電子署
証明書 利用 動作試験
S/MIME証明書
本 CP 及 NII 定 手 実在性
確認 人又 組織 対 以 用途 証
明書 行
ン 認証
Web 制御
タ 電子署
電子 電子署 及 電子 暗 化
署 用証明書
本 CP 及 NII 定 手 実在性
確認 人又 組織 対 以 用途 証
明書 行
電子署
OCSP 証明書
本 CP 定 証明書 タ 情報 タ
提供 以 用途 証明書 行
1.4.2禁 証明書 使用
本CA 本CP 基 行 証明書 1.4.1適 証明書 使用 載 目
的以外 利用 い
1.5 管理
1.5.1本 管理 組織
本CP 維持 管理 NII 行う
1.5.2問い合わ 先
本CP 関 連絡先 次 あ
称:大学共 利用機関法人 情報 研究機構 国立情報学研究所
所:〒101-8430 東京都千代 区 橋2 目1番2
学術基 推逭部 学術基 課
TEL:03-4212-2218
:certs@nii.ac.jp
1.5.3CP 適合性 決定 者
本CP 容 い NII 適合性 決定
1.5.4CP 認手
本CP NII 認 効
1.6定義 略語
<A~Z>
CA Certification Authority :認証局
証明書 行 更新 失効 CA秘密鍵 生成 保護 利用管理者及 利用者 録等
行う主体 いう
CAA (Certification Authority Authorization)
ン 使用 権限 い DNS 中 ン 対 証明書 行
認証局情報 述 意 い認証局 証明書 行 防 機能 いう
CP/CPS Certificate Policy:証明書 /Certification Practices Statement:認証 実施規程
CP :CA 証明書 行 際 運用方針 定 文書
CPS:CA 信 性 全性 対外的 示 CA 運用 証明書 鍵 生
成 管理 責任等 関 定 文書 証明書 何 運用方針
示 対 認証実施規程 運用方針 う 適用 示
CRL Certificate Revocation List :証明書失効
証明書 効期間中 証明書 載 容 変更 秘密鍵 紛失等 事 失効
証明書情報 載 いう
ECDSA Elliptic curve digital signature algorithm)
楕 曲線電子署 いう RSA 短い鍵長 等 全性 持
FIPS140-2
米国NIST National Institute of Standards and Technology 策定 暗 ュ
関 キュ 認定基準 いう 最 1 最高 4 定義
い
FQDN Fully Qualified Domain Name
ン 省 略 完全 指定 形式 例 え
www ン nii.ac.jp あ 場合 FQDN www.nii.ac.jp
HSM Hardware Security Module
秘密鍵 生成 保管 利用 い キュ 確保 目的 使用 耐タ
ン 機能 備え 暗 装置 いう
IA Issuing Authority : 行局
CA 業務 う 証明書 行 更新 失効 CA秘密鍵 生成 保護
維持 管理等 行う主体 いう
OCSP Online Certificate Status Protocol
OID Object Identifier : 識 子
ネ ワ 相互接 性や 等 意性 維持管理 枠組 あ
国際的 録機関 録 世界中 ネ ワ 間 意 数 いう
PKI Public Key Infrastructure :公開鍵基
電子署 暗 化 認証 い キュ 術 実現 公開鍵暗 方式
いう暗 術 用い 基 いう
RA Registration Authority : 録局
CA 業務 う 申込情報 審査 証明書 行 必要 情報 録 IA 対 証明
書 行要求等 行う主体 いう
RFC3647 Request For Comments 3647
ン タ ネ 関 術 標 準 定 団 体 あ IETF The Internet
Engineering Task Force 行 文書 あ CP/CPS ワ 規定 文
書 いう
RSA
公開鍵暗 方式 普及 い 最 標準的 暗 術 あ
SHA-1 Secure Hash Algorithm 1
電子署 使わ ュ関数 要約関数 あ 生成 ュ値
長 160 あ
SHA-256 Secure Hash Algorithm 256
電子署 使わ ュ関数 要約関数 あ 生成 ュ値
長 256 あ SHA-1 高い強度 持
<あ~ >
計算や問題 解決 手 方式
鍵
公開鍵暗 方式 い 秘密鍵 公開鍵 構成 鍵 対 いう
査
CA や 操作 無 検査 録 CA
動作履歴や 履歴等 いう
公開鍵
公開鍵暗 方式 い 用い 鍵 方 いい 秘密鍵 対応 通信相手
相手方 公開 鍵 いう
実在性
管理責任及 ン 実在性 い NII 定 要件
満 あ
本人性
鍵 う 秘密鍵 外部 漏 い う利用管理者及 利用者 管理 い
利用機関 実在性
利用機関 NII 定 利用機関 要件 満 あ
タ タン
電子 作成日時や 処理 実行 日時等 録 タ
いう
電子証明書
あ 公開鍵 載 者 保 証明 電子 タ いう CA
電子署 施 そ 当性 保証
録担当者 実在性
当該 利用機関 行 失効 更新 申請 行う NII
録担当者 本人性
証明書 行 失効 更新 申請 間違い 録担当者 行わ
あ
ン 実在性
ン NII 定 ン 要件 満 あ
ン 本人性
利用機関 扱う ン 使用 い 当該 ン 録担
当者 合意 得 い
ュ関数
え 原文 固定長 列 生成 演算手法 いう
タ 送信側 信側 ュ値 比較 通信途中 原文 改
い い 検出
秘密鍵
公開鍵暗 方式 い 用い 鍵 方 いい 公開鍵 対応 本人
保 鍵 いう
CA
提供 認証 称 いう
CA証明書及 CRL等 格納 公表 タ いう
利用管理者 実在性
NII 定 利用管理者及 利用者 要件 満 あ
利用管理者 本人性
NII 定 各種規程 合意 い 及 録担当者 申請 間違い 利
2.公開及 責任
2.1
本CA 24時間365日利用 う 維持管理 行う 証明書
タ 情報 24時間365日利用 う OCSP 維持管理 行う
利用可能 時間 い 保 等 利用 い場合 あ
2.2認証情報 公開
本 CA CA証明書及 そ ュ値 証明書失効 以 CRL いう
本CP及 CPS 公開 利用管理者 利用者及 検証者 ン ン
閲覧 う 本CA 証明書及 署 用証明書
タ 情報 OCSP 利用管理者 利用者及 検証者 ン ン
参照 う そ 他 証明書 OCSP タ
情報 提供 行わ い
2.3公開 時期又 そ 度
本CA 通常24時間 新 CRL 行 公開
証明書 失効 行わ 場合 新 CRL 行 行 都度 公開
本CP及 CPS 改訂 都度 公開
2.4 管理
利用管理者 利用者及 検証者 公開情報 関 随時
参照 般的 Web ンタ
3.識 及 認証
3.1 前決定
3.1.1 前 種類
本CA 行 証明書 載 行者及 主体者 前 ITU-T X.500
識 形式 従 設定
本CA 行 証明書 情報 含
(1) 証明書 NII Open Domain CA - G4
1. 国 C JP
2. 都道府県 ST 使用 い
3. 場所 L Academe
4. 組織 O 利用管理者及 利用者 所属 載
管理 主体 組織 原則 事前 RA 録
利用機関 (英語表 ) 用い
5. 組織単 OU 任意選択 入欄 OU 欄 組織
部門等 例え 工学部 理学部 法学部 各学部 区 使
用
6. ンネ CN 本CA 行 証明書 ン
い 使用 FQDN
7. 主体者 subjectAltName 張 本 CA 行 証明書 ン
い 使用 及 必要 応 alias
い FQDN
(2) 証明書 NII Open Domain CA - G5
1. 国 C JP
2. 都道府県 ST 証明書 任意 指定可能
3. 場所 L 証明書 任意 指定可能
4. 組織 O 利用管理者及 利用者 所属 載
管理 主体 組織 原則 事前 RA 録
利用機関 (英語表 ) 用い
5. 組織単 OU 任意選択 入欄 OU 欄 組織
部門等 例え 工学部 理学部 法学部 各学部 区 使
用
い 使用 FQDN
7. 主体者 subjectAltName 張 本 CA 行 証明書 ン
い 使用 及 必要 応 alias
い FQDN
(3) 証明書 NII Open Domain CA - G6
1. 国 C JP
2. 都道府県 ST 証明書 任意 指定可能
3. 場所 L 証明書 任意 指定可能
4. 組織 O 利用管理者及 利用者 所属 載
管理 主体 組織 原則 事前 RA 録
利用機関 (英語表 ) 用い
5. 組織単 OU 任意選択 入欄 OU 欄 組織
部門等 例え 工学部 理学部 法学部 各学部 区 使
用
6. ンネ CN 本CA 行 証明書 ン
い 使用 FQDN
7. 主体者 subjectAltName 張 本 CA 行 証明書 ン
い 使用 及 必要 応 alias
い FQDN
(4) ン 証明書
1. 国 C JP
2. 都道府県 ST 使用 い
3. 場所 L Academe
4. 組織 O 利用管理者及 利用者 所属 組織 原則 事
前 RA 録 利用機関 (英語表 ) 用い
5. 組織単 OU 任意選択 入欄 OU 欄 組織
部門 例え 工学部 理学部 法学部 各学部 及 学籍番 等
利用管理者及 利用者 区 使用
6. ンネ CN 利用者氏 利用者 識 子 文 列や数 利用
者 含 組織 利用者 含 役職 組織 部門 用
い
(5)S/MIME証明書
2. 都道府県 ST 使用 い
3. 場所 L Academe
4. 組織 O 利用管理者及 利用者 所属 組織 原則 事
前 RA 録 利用機関 (英語表 ) 用い
5. 組織単 OU 任意選択 入欄 OU 欄 組織
部門 例え 工学部 理学部 法学部 各学部 及 学籍番 等
利用管理者及 利用者 区 使用
6. ンネ CN 利用者氏 利用者 識 子 文 列や数 利用
者 含 組織 利用者 含 役職 組織 部門 用
い
7. 主体者 subjectAltName 利用者 電子 用い
(6) 署 用証明書
1. 国 C JP
2. 都道府県 ST 利用管理者及 利用者 所属 組織 所在地 都道府県
原則 事前 RA 録 機関所在地 用い 表
3. 場所 L 利用管理者及 利用者 所属 組織 所在地 市区町村
原則 事前 RA 録 機関所在地 用い 表
4. 組織 O 利用管理者及 利用者 所属 組織 原則 事
前 RA 録 利用機関 (英語表 ) 用い
5. 組織単 OU 任意選択 入欄 OU 欄 組織
部門等 例え 工学部 理学部 法学部 各学部 区 使
用
6. ンネ CN 利用管理者及 利用者 所属 組織 原則
事前 RA 録 利用機関 (英語表 ) 用い
3.1.2 前 意味 持 必要性
本CA 行 証明書 ン 証明書及 S/MIME証明書 国 及
場所 利用管理者及 利用者 日本 学術機関 い 用 供 あ
示 用い 本CA 行 署 用証明書 国 及 場所
利用管理者及 利用者 所属 学術機関 所在地 示 用い
本CA 行 証明書 組織 及 組織単 検証者 利用管理者及 利用者
所属 組織 あ 確認 参照
本CA 行 証明書 ンネ 及 主体者 検証者
FQDN 致 い 確認 参照
利用者氏 利用者 識 子 文 列や数 利用者 含 組織 利用者
含 役職 組織 部門 致 い 確認 参
照
本CA 行 署 用証明書 ンネ 検証者 提供者
前 致 い 確認 参照
3.1.3 前 匿 性又 仮 性
本CA 行 証明書 前 匿 や仮 録 行わ い
前 関 要件 本 CP 3.1.1 前 種類 及 3.1.2 前 意味 持
必要性
3.1.4種々 前形式 解釈 規則
様々 前 形式 解釈 規則 ITU-T X.500 識 規定 従う
3.1.5 前 意性
証明書 載 前 本CA 行 全証明書 い 意性 備え
3.1.6認識 認証及 商標 役割
本CA 証明書申請 載 称 い 知的 産権 い う 検
証 行わ い 利用管理者 第 者 録商標や関連 称 本CA 申請
い 本CA 録商標等 理 利用管理者 第 者間 紛 起 場
合 仲裁や紛 解決 行わ い 本CA 紛 理 利用管理者 証明書
申請 拒絶や 行 証明書 失効 権利
3.2初回 識 認証
3.2.1秘密鍵 所持 証明 方法
利用管理者及 利用者 公開鍵 対 秘密鍵 所 い 証明 利用
管理者及 利用者 公開鍵 自己署 行い 本CA 公開鍵 署 検証
公開鍵 対 秘密鍵 所持 い いう確認方法
3.2.2組織 認証
3.2.2.1 利用機関 確認実施手 規定
(1) 録担当者 任命
利用機関 NII 定 手 録担当者 任命
RA 届 出
録担当者 実在性確認 利用機関 行わ
(2) 利用機関 扱う ン 本人性確認
利用機関 当該 ン 対 証明書 行
や 利用管理者及 利用者 対 録 S/MIME証明書
行 い ン 録担当者 合意 得
(3) 確認実施手 規定
利用機関 利用管理者及 利用者 申請 録担当者
あ 以 手 い 規定 NII 定 手
RA 届 出
利用管理者及 利用者 実在性 本人性確認
実在性( 管理責任及 ン 実在性)確認
3.2.2.2RA 事前 行う確認作業
RA 事前 作業 以 行う
(1) 利用機関 実在性
RA NII 定 手 利用機関 実在性 確認 行
う
(2) 利用機関 扱う ン 実在性
RA NII 定 手 ン 実在性 確認 行う
(3) 確認実施手 審査
RA 利用機関 届 出 確認実施手 い NII 定 手
審査 行う
審査 結果 備 確認実施手 届出 認
備 あ 届出 必要 応 届出 行 利用機関 対
3.2.3個人 認証
RA 事前 作業 以 行う
(1) 録担当者 本人性確認
RA NII 定 手 録担当者 本人性 確認 行う
(2) 録担当者用証明書 行
RA 本人性確認 行 録担当者 対 NII 以 定 CA 録
担当者用証明書 行
認証局 :国立情報学研究所 運用支援認証局
証明書 OID: 1.3.6.1.4.1.32264.3.2.2.1
RA 証明書 行申請 都度行う確認 以 行う
(1) 録担当者 本人性確認
録担当者 本人性 NII 行 録担当者用証明書 認証 経 申
請 行わ 確認 行う
録担当者 証明書 行申請 都度行う確認 以 行う
(1) 利用管理者及 利用者 実在性 本人性確認
録担当者 利用機関 定 手 利用管理者及
利用者 実在性及 本人性 確認 行う
3.2.4検証対象 い利用管理者及 利用者情報
RA ン 本人性 録担当者 実在性 利用管理者及 利用者 実在性 本
人性及 実在性 本人性 確認 行わ い
ン 本人性 利用機関 事前 確認 行わ
ン 対 証明書 行 合意 確認
録担当者 実在性 NII 行 録担当者用証明書 確認
い
利用管理者及 利用者 実在性 本人性及 実在性 利用機関
定 確認実施手 録担当者 確認 行わ
本人性 利用管理者自身 確認 行わ 録担当者
利用管理者 申請 付 あ 本人性 確認 い
3.2.5権限確認
RA 録担当者用証明書 認証 証明書 関 申請 行う
録担当者 権限 い 確認 行う
3.2.6相互運用 基準
本 CA Security Communication RootCA2 及 Security Communication
ECCRootCA1 方向相互認証証明書 行 い
3.3鍵更新申請時 本人性確認及 認証
3.3.1通常 鍵更新時 本人性確認及 認証
鍵更新時 本人性確認及 認証 本CP 3.2 初回 識 認証 様
3.3.2証明書失効 鍵更新 本人性確認及 認証
証明書失効 鍵更新時 本人性確認及 認証 本CP 3.2初回 識 認
証 様
3.4失効申請時 本人性確認及 認証
RA 証明書 失効申請 都度行う確認 以 行う
(1) 録担当者 本人性
録担当者 本人性 NII 行 録担当者用証明書 認証 経 申
請 行わ 確認 行う
RA 録担当者 実在性 利用管理者及 利用者 本人性及 本人性
確認 行わ い
録担当者 実在性 NII 行 録担当者用証明書 確認
い
利用管理者及 利用者 本人性 利用機関 定 確認実施手
録担当者 確認 行わ
本人性 利用管理者自身 行わ 録担当者 利用
管理者 申請 付 あ 本人性 確認 い
利用管理者 確認
4.証明書 対 運用 要件
4.1証明書申請
4.1.1証明書 申請者
証明書 行申請 行う 者 本CP 1.3.6.2 録担当者 定義
録担当者 実在性及 本人性 RA 確認 場合 限 本CP 1.3.3
利用管理者 定義 利用管理者 含
4.1.2申請手 及 責任
証明書 行申請 行う者 本CP及 CPS 容 諾 NII 定
手 基 本CA 対 確 情報 提出
証明書 行申請 行う者 本 CP 3.2.4 検証対象 い利用管理者及 利用者
情報 真 性 い 責任 う
4.2証明書申請手
4.2.1本人性及 資格確認
本CA 本CP 3.2初回 識 認証 載 情報 申請情報 審査
行う
4.2.2証明書申請 認又
本CA NII 定 手 基 証明書 行申請 関 情報 い
審査 行う
審査 結果 備 申請 認
備 あ 申請 い 申請 備 容 応 申請 行 者
申請 再提出 行う 提出 申請書類 返 い
4.2.3証明書申請手 期間
本CA 認 行 申請 い 適時証明書 行 録 行う
4.2.4CAA 確認
本CA 申請情報 審査時 CAA 確認 本CA DNS CAA
4.3証明書 行
4.3.1証明書 行時 本CA 機能
本CA 行申請 付 証明書 行 録作業 行う 行 録作業
証明書 行 利用管理者及 利用者 証明書 配付
証明書 行 い 本CP公開前 目的 証明書 行作業
行う
4.3.2証明書 行 通知
本CA 利用管理者及 利用者 対 証明書 渡 通知
録担当者 対 証明書 行 完了 通知
4.4証明書 領
4.4.1証明書 領確認
本CA 利用管理者及 利用者 証明書 配付 証明書 領
4.4.2本CA 証明書 公開
本CA 利用管理者及 利用者 証明書 公開 行わ い
4.4.3他 関係者 通知
本CA 録担当者 除 第 者 対 証明書 行通知 行わ い
4.5鍵 証明書 用途
4.5.1利用者 秘密鍵 証明書 使用
本 CP 1.4.1 適 証明書 使用 様 利用者 1.4.1適 証明書
使用 載 用途 当該証明書及 対応 秘密鍵 利用
そ 他 用途 利用 い
4.5.2検証者 公開鍵 証明書 使用
検証者 公開鍵及 証明書 使用 本CA 行 証明書 信 性 検証
本CA 行 証明書 検証 信 前 本CP及 CPS 容
4.6証明書更新 鍵更新 伴わ い証明書更新
本CA 鍵更新 伴わ い証明書 更新 認 い
4.7証明書 鍵更新 鍵更新 伴う証明書更新
4.7.1証明書鍵更新 要件
証明書 更新 証明書 効期間 満了 場合や 危殆化等 理 秘密鍵 利
用 場合 新 生成 鍵 使 行う
失効 証明書又 効期限 証明書 鍵 更新 伴わ 更新
い
4.7.2鍵更新申請者
本CP 4.1.1証明書 申請者 様
4.7.3鍵更新申請 処理手
本CP 4.1.2申請手 及 責任 4.2証明書申請手 及 4.3.1証明書 行時
本CA 機能 様
申請 行う者 本人性確認及 資格確認 い 本CA 本CP 3.3鍵
更新申請時 本人性確認及 認証 載 情報 申請 行う者 審査 行
う
4.7.4証明書更新 通知
本CP 4.3.2証明書 行 通知 様
4.7.5証明書 領確認
本CP 4.4.1証明書 領確認 様
4.7.6本CA 証明書 公開
本CP 4.4.2本CA 証明書 公開 様
4.7.7他 関係者 通知
4.8証明書 変更
4.8.1証明書変更 要件
証明書 変更 効期限 失効 い い証明書 載 容 変更 生 場
合 新 生成 鍵 使 行う
4.8.2証明書 変更申請者
本CP 4.1.1証明書 申請者 様
4.8.3証明書変更 処理手
本CP 4.1.2申請手 及 責任 4.2証明書申請手 及 4.3.1証明書 行時
本CA 機能 様
申請 行う者 本人性確認及 資格確認 い 本CA 本CP 3.3鍵
更新申請時 本人性確認及 認証 載 情報 申請 行う者 審査 行
う
4.8.4証明書変更 通知
本CP 4.3.2証明書 行 通知 様
4.8.5変更 証明書 理
本CP 4.4.1証明書 領確認 様
4.8.6本CA 変更証明書 公開
本CP 4.4.2本CA 証明書 公開 様
4.8.7他 関係者 通知
本CP 4.4.3他 関係者 通知 様
4.9証明書 失効 時停
4.9.1証明書失効事
本CA 次 事 生 場合 録担当者 申請 基 証明書 失効 行う
証明書 載情報 変更 あ 場合
秘密鍵 盗難 紛失 漏洩 利用等 秘密鍵 危殆化 又 危殆化
そ あ 場合
証明書 利用 中 場合
本CA 次 事 生 場合 本CA 断 証明書 失効
利用管理者 利用者及 録担当者 本 CP CPS 関連 規程又 法 基
義務 履行 い い場合
本CA 終了 場合
本CA 秘密鍵 危殆化 又 危殆化 そ あ 断 場合
本CA 失効 必要 断 そ 他 状況 認 場合
4.9.2失効申請者
証明書 失効 申請 行う 者 録担当者 本CP 4.9.1
証明書失効事 該当 本CA 断 場合 本CA 失効申請者 得
4.9.3失効申請 手
本CP 4.1.2申請手 及 責任 4.2証明書申請手 及 4.3.1証明書 行時
本CA 機能 様
申請 行う者 本人性確認及 資格確認 い 本CA 本CP 3.4失
効申請時 本人性確認及 認証 載 情報 申請 行う者 審査 行う
4.9.4失効 猶 期間
失効 申請 失効 事象 生 速や 行わ い
4.9.5本CA 失効申請 処理期間
本CA 効 失効 申請 付 速や 証明書 失効処理 行い CRL
当該証明書情報 映
4.9.6検証者 失効情報確認 要件
本CA 行 証明書 CRL 格納先 あ URL 載
証明書及 署 用証明書 い CRL 他 OCSP URL 載
そ 他 証明書 OCSP URL 載 い
CRL及 OCSP 般的 Web ンタ 用い
CRL 効期限 証明書情報 含 い
検証者 利用管理者及 利用者 証明書 い 効性 確認
4.9.7CRL 行周期
CRL 失効処理 無 わ 24時間 更新 行う 証明書 失効処理
行わ 場合 そ 時 CRL 更新 行う
CRL 効期間 96時間
4.9.8CRL 格納 最大遅延時間
本CA 行 CRL 時 映
4.9.9OCSP 提供
NII Open Domain CA - G4 NII Open Domain CA- G5 NII Open Domain CA- G6
OCSP 通 証明書 タ 情報 提供 行う
NII Open Domain Code Signing CA - G2 OCSP 通 署 用
証明書 タ 情報 提供 行う
そ 他CA い OCSP 提供 い
4.9.10OCSP確認要件
本CA 行 証明書 い 検証者 効性 確認 行わ い
掲載 い CRL 証明書及 署 用証明書 失効
録 無 確認 い場合 OCSP 提供 証明書及
署 用証明書 タ 情報 確認 行わ い
4.9.11そ 他 利用可能 失効情報検査手段
規定 い
4.9.12鍵 危殆化 特 要件
規定 い
4.9.13証明書 時停
本CA 証明書 時停 行わ い
4.9.14証明書 時停 申請者
規定 い
4.9.15 時停 申請 手
4.9.16証明書 時停 限度
規定 い
4.10証明書 タ
4.10.1証明書 タ 容
検証者 OCSP 通 証明書及 署 用証明書 タ 情
報 確認
4.10.2 利用時間
本CA 24時間365日 証明書 タ 情報 確認 うOCSP 管
理 利用可能 時間 い 保 等 利用 い場
合 あ
4.10.3そ 他特徴
規定 い
4.11利用 終了
利用管理者及 利用者 本 利用 終了 場合 録担当者 介 証明書
失効申請 行わ い
4.12秘密鍵寄 鍵回復
本CA 利用管理者及 利用者 所 秘密鍵 寄 行わ い
4.12.1寄 鍵回復 及 実施
規定 い
4.12.2 ョンキ 化 鍵回復 及 実施
5.設備 運営 運用統制
5.1建物及 物理的管理
5.1.1施設 所在 建物構造
本 い CPS 規定
5.1.2物理的
本 い CPS 規定
5.1.3電源及 空調設備
本 い CPS 規定
5.1.4水害
本 い CPS 規定
5.1.5火災防 及 保護対策
本 い CPS 規定
5.1.6媒体保管場所
本 い CPS 規定
5.1.7廃棄物 処理
本 い CPS 規定
5.1.8
本 い CPS 規定
5.2手 的管理
5.2.1信 役割
本 い CPS 規定 役割以外 役割 定
1 RA責任者
2 RA管理者
RA管理者 事前 作業 以 行う
利用機関 実在性 確認
利用機関 扱う ン 実在性 確認
確認実施手 審査
録担当者 本人性 確認
3 証明書自動 行支援
証明書自動 行支援 申請 都度 作業 以 行う
録担当者 本人性 確認
証明書 申請 関 情報 審査
証明書 行 更新 失効操作
4 録担当者
録担当者 申請 都度 作業 以 行う
証明書 行申請
証明書 更新申請
証明書 失効申請
5.2.2職務 必要 人数
本 い CPS 規定 以外
1 RA責任者
RA責任者 1
2 RA管理者
RA管理者 複数
3 証明書自動 行支援
証明書自動 行支援 1系統
5.2.3個々 役割 対 識 認証
本CA 本CA 関 ン 認証
権限者 識 認証及 認可 権限 操作 あ 確認
5.2.4職務 割 必要 役割
本 い CPS 規定
RA管理者 任命 RA責任者 可能
RA責任者 RA管理者 職務 兼務 可能
5.3要員管理
5.3.1資格 経験及 身 証明 要件
本 い CPS 準
5.3.2経歴 調査手
本 い CPS 準
5.3.3研修要件
本 い CPS 準
5.3.4再研修 度及 要件
本 い CPS 準
5.3.5職務 ョン 度及 要件
本 い CPS 準
5.3.6認 い い行動 対 制裁
本 い CPS 準
5.3.7独立 契約者 要件
本 い CPS 準
5.3.8要員 提供 資料
5.4 査 録手
5.4.1 録 事
本 い CPS 準
5.4.2 査 処理 度
本 い CPS 準
5.4.3 査 保 期間
本 い CPS 準
5.4.4 査 保護
本 い CPS 準
5.4.5 査 手
本 い CPS 準
5.4.6 査 集 部又 外部
本 い CPS 準
5.4.7 ン 起 通知
本 い CPS 準
5.4.8脆弱性評価
本 い CPS 準
5.5 録 化
5.5.1 録 種類
本 い CPS 準
5.5.2 保 期間
本 い CPS 準
5.5.3 保護
5.5.4 手
本 い CPS 準
5.5.5 録 タ タン 要件
本 い CPS 準
5.5.6 集 部又 外部
本 い CPS 準
5.5.7 情報 入手 検証 手
本 い CPS 準
5.6鍵 替え
本CA 秘密鍵 秘密鍵 対応 証明書 効期間 本CA 行 証明書 最
大 効期間 短 前 新 秘密鍵 生成及 証明書 行 行う 新 い秘
密鍵 生成 新 い秘密鍵 使 証明書及 CRL 行 行う
5.7危殆化及 災害復
本CA 本CA 秘密鍵 危殆化 場合又 事故 災害等 本CA 運用 停
伴う事象 生 場合 速や 業務復 向 対応 行う
利用機関 録担当者 利用管理者 利用者及 そ 他関係者 対 必要情報 連
絡
5.7.1事故及 危殆化 扱い手
含
5.7.2 ン ュ タ 資源 ソ タ 破損 場合 対処
含
5.7.3CA秘密鍵 危殆化 場合 対処
含
5.7.4災害等 生 事業 性
5.8CA又 RA 廃業
本CA又 RA 終了 場合 終了 30日前 利用機関 録担当者 利
用管理者 利用者及 そ 他関係者 対 終了 事実 通知又 公表 所定 終了
6. 術面 キュ 管理
6.1鍵 生成 導入
6.1.1鍵 生成
本 CA FIPS140-2 3 準 キ ュ ュ
Hardware Security Module:以 HSM いう CA 鍵 生成
鍵 生成作業 複数 権限者 操作 行う
利用管理者及 利用者 鍵 利用管理者及 利用者自身 生成 又 本
CA 施設 い 生成
6.1.2利用管理者及 利用者 対 秘密鍵 送付
利用管理者及 利用者 秘密鍵 利用管理者及 利用者自身 生成 本CA 利
用管理者及 利用者秘密鍵 生成 場合 秘密鍵 使用 PIN 秘密鍵
全 方法 利用管理者及 利用者 送付
6.1.3本CA 公開鍵 送付
本CA 利用管理者及 利用者公開鍵 送付 ン ン若 ン
全 方法 行わ
6.1.4CA公開鍵 配付
本CA CA公開鍵 入手
6.1.5鍵長
本CA 鍵 RSA方式鍵長2048
6.1.6公開鍵 タ生成及 品質検査
本CA 公開鍵 タ 生成及 タ 強度 検証 鍵 生成 使用
暗 装置 実装 機能 用い 行わ
利用管理者及 利用者 公開鍵 タ 生成及 品質検査 い 規定
い
6.1.7鍵 使用目的
本CA 証明書 KeyUsage keyCertSign,cRLSign 設定
本CA 行 利用管理者及 利用者 証明書 KeyUsage digitalSignature,
6.2秘密鍵 保護及 暗 ュ 術 管理
6.2.1暗 ュ 標準及 管理
本 CPS 準
利用管理者及 利用者 秘密鍵 い 規定 い
6.2.2複数人 秘密鍵 管理
本 CPS 準
利用管理者及 利用者 秘密鍵 活性化 非活性化 等 操作
利用管理者及 利用者 管理 全 行わ い
6.2.3秘密鍵 寄
本 CPS 準
本CA 利用管理者及 利用者 秘密鍵 寄 行わ い
6.2.4秘密鍵
本 CPS 準
利用管理者及 利用者 秘密鍵 利用管理者及 利用者 管
理 全 保管 い
6.2.5秘密鍵
本 CPS 準
利用管理者及 利用者 秘密鍵 行わ い
6.2.6暗 ュ 秘密鍵 格納 出
本 CPS 準
利用管理者及 利用者 秘密鍵 い 規定 い
6.2.7暗 ュ 秘密鍵保
本 CPS 準
利用管理者及 利用者 秘密鍵 い 規定 い
6.2.8秘密鍵 活性化方法
本 CPS 準
6.2.9秘密鍵 非活性化方法
本 CPS 準
利用管理者及 利用者 秘密鍵 い 規定 い
6.2.10秘密鍵 廃棄方法
本 CPS 準
利用管理者及 利用者 秘密鍵 い 規定 い
6.2.11暗 ュ 評価
本 CPS 準
利用管理者及 利用者 秘密鍵 い 規定 い
6.3鍵 管理 関 そ 他 目
6.3.1公開鍵
本 い CPS 規定
6.3.2証明書 鍵 使用期間
本CA 秘密鍵及 公開鍵 効期間 10 以
利用管理者及 利用者 秘密鍵及 公開鍵 効期間 証明書 25 ヶ 以
ン 証明書52ヶ 以 S/MIME証明書52ヶ 以 署 用証明書
25ヶ 以
6.4秘密鍵 活性化情報
本 い CPS 規定
6.5 ン ュ タ キュ 管理
本 い CPS 規定
6.6 術面 管理
6.6.1 開 管理
6.6.2 キュ ネ ン 管理
本 い CPS 規定
6.6.3 キュ 管理
本 い CPS 規定
6.7ネ ワ キュ 管理
本 い CPS 規定
6.8タ タン
7.証明書 CRL及 OCSP
7.1証明書
本 示 タ い IETF RFC 5280 準
そ 以 通 あ
7.1.1 証明書 NII Open Domain CA - G4
表
7-1-1
証明書
NII Open Domain CA - G4
基本領域 設定 容 critical
Version Version 3 -
Serial Number 例) 0123456789 -
Signature Algorithm sha256WithRSAEncryption -
Issuer Country C=JP -
Locality L=Academe -
Organization O= National Institute of Informatics -
Common Name CN= NII Open Domain CA - G4 -
Validity NotBefore 例) 2018/01/01 12:00:00 GMT -
NotAfter 例) 2020/02/01 12:00:00 GMT -
Subject Country C=JP 固定値 -
Locality L=Academe 固定値 -
Organization O="主体者組織 "
利用機関毎 任意 指定
例)O= National Institute of Informatics
-
Organizational Unit OU="主体者組織単 "
証明書毎 任意 指定
例)OU=Cyber Science Infrastructure Development Department
-
Common Name CN=" FQDN"
証明書毎 任意 指定
例) cn=upki-portal.nii.ac.jp
-
Subject Public Key Info 主体者 公開鍵2048 -
張領域 設定 容 critical
ExtendedKeyUsage serverAuth,clientAuth
そ 他必要 応 設定
n
CertificatePolicies [1]Certificate Policy:
Policy Identifier
=1.3.6.1.4.1.32264.3.2.1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS
Qualifier:
https://repo1.secomtrust.net/spcpp/c ps/index.html
n
CRL Distribution Points URL=http://repo1.secomtrust.net/sp pca/nii/ odca3/fullcrlg4.crl
n
SubjectAltName dNSName : FQDN
必要 応 複数設定可
n
Authority information Access URL=http://niig4.ocsp.secomtrust.ne t
n
Authority Key Identifier 行者 公開鍵識 子
行者公開鍵 160bit SHA-1 ュ値
n
Subject Key Identifier 主体者 公開鍵識 子
主体者公開鍵 160bit SHA-1 ュ値
n
7.1.2 証明書 NII Open Domain CA - G5
表
7-1-2
証明書
NII Open Domain CA - G5
基本領域 設定 容 critical
Version Version 3 -
Serial Number 例) 0123456789 -
Signature Algorithm sha256WithRSAEncryption -
Issuer Country C=JP -
Organization O= National Institute of Informatics -
Common Name CN= NII Open Domain CA - G5 -
Validity NotBefore 例) 2018/01/01 12:00:00 GMT -
Subject Country C=JP 固定値 -
StateOrProvince ST=証明書毎 任意 指定 -
Locality L=証明書毎 任意 指定 -
Organization O="主体者組織 "
利用機関毎 任意 指定
例)O= National Institute of Informatics
-
Organizational Unit OU="主体者組織単 "
証明書毎 任意 指定
例)OU=Cyber Science Infrastructure Development Department
-
Common Name CN=" FQDN"
証明書毎 任意 指定
例) cn=upki-portal.nii.ac.jp
-
Subject Public Key Info 主体者 公開鍵2048 -
張領域 設定 容 critical
KeyUsage digitalSignature, keyEncipherment y
ExtendedKeyUsage serverAuth,clientAuth
そ 他必要 応 設定
n
CertificatePolicies [1]Certificate Policy:
Policy Identifier
=1.3.6.1.4.1.32264.3.2.1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS
Qualifier:
https://repo1.secomtrust.net/sppca/n ii/odca3/
[2]Certificate Policy: Policy Identifier
=2.23.140.1.2.2
n
CRL Distribution Points URL=http://repo1.secomtrust.net/sp pca/nii/odca3/fullcrlg5.crl
n
SubjectAltName dNSName : FQDN
必要 応 複数設定可
n
Authority information Access URL=http://niig5.ocsp.secomtrust.ne t
Authority Key Identifier 行者 公開鍵識 子
行者公開鍵 160bit SHA-1 ュ値
n
Subject Key Identifier 主体者 公開鍵識 子
主体者公開鍵 160bit SHA-1 ュ値
n
Certificate Transparency用 張 SignedCertificateTimestampList 値
n
7.1.3 証明書 NII Open Domain CA - G6
表
7-1-3
証明書
NII Open Domain CA - G6
基本領域 設定 容 critical
Version Version 3 -
Serial Number 例) 0123456789 -
Signature Algorithm ecdsa-with-SHA384 -
Issuer Country C=JP -
Organization O= National Institute of Informatics -
Common Name CN= NII Open Domain CA - G6 -
Validity NotBefore 例) 2018/01/01 12:00:00 GMT -
NotAfter 例) 2020/02/01 12:00:00 GMT -
Subject Country C=JP 固定値 -
StateOrProvince ST=証明書毎 任意 指定 -
Locality L=証明書毎 任意 指定 -
Organization O="主体者組織 "
利用機関毎 任意 指定
例)O= National Institute of Informatics
-
Organizational Unit OU="主体者組織単 "
証明書毎 任意 指定
例)OU=Cyber Science Infrastructure Development Department
-
Common Name CN=" FQDN"
証明書毎 任意 指定
例) cn=upki-portal.nii.ac.jp
Subject Public Key Info 主体者 公開鍵384
secp384r1 限定
-
張領域 設定 容 critical
KeyUsage digitalSignature, keyEncipherment y
ExtendedKeyUsage serverAuth,clientAuth
そ 他必要 応 設定
n
CertificatePolicies [1]Certificate Policy:
Policy Identifier
=1.3.6.1.4.1.32264.3.2.1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS
Qualifier:
https://repo1.secomtrust.net/sppca/n ii/odca3/
[2]Certificate Policy: Policy Identifier
=2.23.140.1.2.2
n
CRL Distribution Points URL=http://repo1.secomtrust.net/sp pca/nii/odca3/fullcrlg6.crl
n
SubjectAltName dNSName : FQDN
必要 応 複数設定可
n
Authority information Access URL=http://niig6.ocsp.secomtrust.ne t
n
Authority Key Identifier 行者 公開鍵識 子
行者公開鍵 160bit SHA-1 ュ値
n
Subject Key Identifier 主体者 公開鍵識 子
主体者公開鍵 160bit SHA-1 ュ値
n
Certificate Transparency用 張 SignedCertificateTimestampList 値
7.1.4 ン 証明書
表
7-1-4
ン
証明書
基本領域 設定 容 critical
Version Version 3 -
Serial Number 例) 0123456789 -
Signature Algorithm sha256WithRSAEncryption -
Issuer Country C=JP -
Locality L=Academe -
Organization O= National Institute of Informatics -
Common Name CN= NII Open Domain CA - G4 -
Validity NotBefore 例) 2018/04/01 12:00:00 GMT -
NotAfter 例) 2020/05/01 12:00:00 GMT -
Subject Country C=JP 固定値 -
Locality L=Academe 固定値 -
Organization O="主体者組織 "
利用機関毎 任意 指定
例)O= National Institute of Informatics
-
Organizational Unit OU="主体者組織単 "
証明書毎 任意 指定
例)OU=Cyber Science Infrastructure Development Department
-
Common Name CN="利用管理者及 利用者氏 又
識 子"
証明書毎 任意 指定
例) cn=Ichiro Suzuki
-
Subject Public Key Info 主体者 公開鍵2048 -
張領域 設定 容 critical
KeyUsage digitalSignature, keyEncipherment y
CertificatePolicies [1]Certificate Policy: Policy Identifier
=1.3.6.1.4.1.32264.3.2.1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS
Qualifier:
https://repo1.secomtrust.net/spcpp /cps/index.html
n
CRL Distribution Points URL=http://repo1.secomtrust.net/sp pca/nii/odca3/fullcrlg4.crl
n
Authority Key Identifier 行者 公開鍵識 子
行者公開鍵 160bit SHA-1 ュ値
n
Subject Key Identifier 主体者 公開鍵識 子
主体者公開鍵 160bit SHA-1 ュ値
n
7.1.5S/MIME証明書
表7-1-5-1 2016 12 25日 行 S/MIME証明書 適用
表7-1-5-2 2016 12 26日以降 行 S/MIME証明書
適用
表
7-1-5-1 S/MIME
証明書
基本領域 設定 容 critical
Version Version 3 -
Serial Number 例) 0123456789 -
Signature Algorithm sha256WithRSAEncryption -
Issuer Country C=JP -
Locality L=Academe -
Organization O= National Institute of Informatics -
Common Name CN= NII Open Domain CA - G4 -
Validity NotBefore 例) 2015/04/01 12:00:00 GMT -
NotAfter 例) 2017/05/01 12:00:00 GMT -
Subject Country C=JP 固定値 -
Organization O="主体者組織 "
利用機関毎 任意 指定
例)O= National Institute of Informatics
-
Organizational Unit OU="主体者組織単 "
証明書毎 任意 指定
例)OU=Cyber Science Infrastructure Development Department
-
Common Name CN="利用管理者及 利用者氏 又
識 子"
証明書毎 任意 指定
例) cn=Ichiro Suzuki
-
Subject Public Key Info 主体者 公開鍵2048 -
張領域 設定 容 critical
KeyUsage digitalSignature, keyEncipherment y
ExtendedKeyUsage clientAuth, EmailProtection n
CertificatePolicies [1]Certificate Policy:
Policy Identifier
=1.3.6.1.4.1.32264.3.2.1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS
Qualifier:
https://repo1.secomtrust.net/spcpp /cps/index.html
n
Subject Alt Name rfc822Name=" "
証明書毎 任意 指定
例 rfc822Name=certs@nii.ac.jp
n
CRL Distribution Points URL=http://repo1.secomtrust.net/sp pca/nii/odca3/fullcrlg4.crl
n
Authority Key Identifier 行者 公開鍵識 子
行者公開鍵 160bit SHA-1 ュ値
n
Subject Key Identifier 主体者 公開鍵識 子
主体者公開鍵 160bit SHA-1 ュ値
表
7-1-5-2 S/MIME
証明書
基本領域 設定 容 critical
Version Version 3 -
Serial Number 例) 0123456789 -
Signature Algorithm sha256WithRSAEncryption -
Issuer Country C=JP -
Locality L=Academe -
Organization O=National Institute of Informatics -
Common Name CN=NII Open Domain S/MIME CA -
Validity NotBefore 例) 2018/04/01 12:00:00 GMT -
NotAfter 例) 2020/05/01 12:00:00 GMT -
Subject Country C=JP 固定値 -
Locality L=Academe 固定値 -
Organization O="主体者組織 "
利用機関毎 任意 指定
例)O= National Institute of Informatics
-
Organizational Unit OU="主体者組織単 "
証明書毎 任意 指定
例)OU=Cyber Science Infrastructure Development Department
-
Common Name CN="利用管理者及 利用者氏 又
識 子"
証明書毎 任意 指定
例) cn=Ichiro Suzuki
-
Subject Public Key Info 主体者 公開鍵2048 -
張領域 設定 容 critical
KeyUsage digitalSignature, keyEncipherment y
ExtendedKeyUsage clientAuth, EmailProtection n
CertificatePolicies [1]Certificate Policy:
Policy Identifier
=1.3.6.1.4.1.32264.3.2.1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS
Qualifier:
https://repo1.secomtrust.net/spcpp /cps/index.html
Subject Alt Name rfc822Name=" "
証明書毎 任意 指定
例 rfc822Name=certs@nii.ac.jp
n
CRL Distribution Points URL=http://repo1.secomtrust.net/sp pca/nii/odca3/fullcrlsm.crl
n
Authority Key Identifier 行者 公開鍵識 子
行者公開鍵 160bit SHA-1 ュ値
n
Subject Key Identifier 主体者 公開鍵識 子
主体者公開鍵 160bit SHA-1 ュ値
7.1.6 署 用証明書
表
7-1-6
署
用証明書
基本領域 設定 容 critical
Version Version 3 -
Serial Number 例) 0123456789 -
Signature Algorithm sha256WithRSAEncryption -
Issuer Country C=JP -
Locality L=Academe
Organization O= National Institute of Informatics -
Common Name CN= NII Open Domain Code Signing
CA - G2
-
Validity NotBefore 例) 2018/04/01 12:00:00 GMT -
NotAfter 例) 2020/05/01 12:00:00 GMT -
Subject Country C=JP 固定値 -
stateOrProvince ST="都道府県"
利用機関毎 指定
例)ST=Tokyo
-
Locality L="市区町村"
利用機関毎 指定
例)L=Chiyoda-ku
-
Organization O="主体者組織 "
利用機関毎 任意 指定
例)O= National Institute of Informatics
-
Organizational Unit OU="主体者組織単 "
証明書毎 任意 指定
例)OU=Cyber Science Infrastructure Development Department
-
Common Name CN="主体者組織 "
利用機関毎 任意 指定
例) cn= National Institute of Informatics
-
Subject Public Key Info 主体者 公開鍵2048 -
KeyUsage digitalSignature, keyEncipherment y
ExtendedKeyUsage codeSigning n
CertificatePolicies [1]Certificate Policy:
Policy Identifier
=1.3.6.1.4.1.32264.3.2.1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS
Qualifier:
https://repo1.secomtrust.net/spcpp/cp s/index.html
n
CRL Distribution Points URL=http://repo1.secomtrust.net/spp ca/nii/odca3/fullcrlcsg2.crl
n
Authority information Access URL=http://niicsg2.ocsp.secomtrust.n et
n
Authority Key Identifier 行者 公開鍵識 子
行者公開鍵 160bit SHA-1 ュ値
n
Subject Key Identifier 主体者 公開鍵識 子
主体者公開鍵 160bit SHA-1 ュ値
n
7.1.7OCSP 証明書
表
7-1-7-1 OCSP
証明書
NII Open Domain CA - G4
基本領域 設定 容 critical
Version Version 3 -
Serial Number 例) 0123456789 -
Signature Algorithm sha256WithRSAEncryption -
Issuer Country C=JP -
Locality L=Academe -
Organization O= National Institute of Informatics -
Common Name CN= NII Open Domain CA - G4 -
Validity NotBefore 例) 2018/01/01 00:00:00 GMT -
NotAfter 例) 2019/01/01 00:00:00 GMT -
Locality L=Academe 固定値 - Organization O= National Institute of Informatics -
Common Name OCSP 必須 -
Subject Public Key Info 主体者 公開鍵2048 -
張領域 設定 容 critical
KeyUsage digitalSignature y
ExtendedKeyUsage OCSPSigning n
OCSP No Check Null n
CertificatePolicies [1]Certificate Policy:
Policy Identifier
=1.3.6.1.4.1.32264.3.2.1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS
Qualifier:
https://repo1.secomtrust.net/spcpp/c ps/index.html
n
Authority Key Identifier 行 者 公 開 鍵 SHA-1 ュ 値
160
n
Subject Key Identifier 主 体 者 公 開 鍵 SHA-1 ュ 値
160
n
表
7-1-7-2 OCSP
証明書
NII Open Domain CA - G5
基本領域 設定 容 critical
Version Version 3 -
Serial Number 例) 0123456789 -
Signature Algorithm sha256WithRSAEncryption -
Issuer Country C=JP -
Organization O= National Institute of Informatics -
Common Name CN= NII Open Domain CA - G5 -
Validity NotBefore 例) 2018/01/01 00:00:00 GMT -
NotAfter 例) 2019/01/01 00:00:00 GMT -
Subject Country C=JP 固定値 -
Organization O= National Institute of Informatics -
Common Name OCSP 必須 -
張領域 設定 容 critical
KeyUsage digitalSignature y
ExtendedKeyUsage OCSPSigning n
OCSP No Check Null n
CertificatePolicies [1]Certificate Policy:
Policy Identifier
=1.3.6.1.4.1.32264.3.2.1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS
Qualifier:
https://repo1.secomtrust.net/sppca/n ii/odca3/
n
Authority Key Identifier 行 者 公 開 鍵 SHA-1 ュ 値
160
n
Subject Key Identifier 主 体 者 公 開 鍵 SHA-1 ュ 値
160
n
表
7-1-7-3 OCSP
証明書
NII Open Domain CA - G6
基本領域 設定 容 critical
Version Version 3 -
Serial Number 例) 0123456789 -
Signature Algorithm ecdsa-with-SHA384 -
Issuer Country C=JP -
Organization O= National Institute of Informatics -
Common Name CN= NII Open Domain CA - G6 -
Validity NotBefore 例) 2018/01/01 00:00:00 GMT -
NotAfter 例) 2019/01/01 00:00:00 GMT -
Subject Country C=JP 固定値 -
Organization O= National Institute of Informatics -
Common Name OCSP 必須 -
Subject Public Key Info 主体者 公開鍵384 -
張領域 設定 容 critical
KeyUsage digitalSignature y
ExtendedKeyUsage OCSPSigning n
CertificatePolicies [1]Certificate Policy: Policy Identifier
=1.3.6.1.4.1.32264.3.2.1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS
Qualifier:
https://repo1.secomtrust.net/sppca/n ii/odca3/
n
Authority Key Identifier 行 者 公 開 鍵 SHA-1 ュ 値
160
n
Subject Key Identifier 主 体 者 公 開 鍵 SHA-1 ュ 値
160
n
表
7-1-7-4 OCSP
証明書
NII Open Domain Code Signing
CA - G2
基本領域 設定 容 critical
Version Version 3 -
Serial Number 例) 0123456789 -
Signature Algorithm sha256WithRSAEncryption -
Issuer Country C=JP -
Locality L=Academe -
Organization O= National Institute of Informatics -
Common Name CN= NII Open Domain Code
Signing CA - G2
-
Validity NotBefore 例) 2018/01/01 00:00:00 GMT -
NotAfter 例) 2019/01/01 00:00:00 GMT -
Subject Country C=JP 固定値 -
Locality L=Academe 固定値 -
Organization O= National Institute of Informatics -
Common Name OCSP 必須 -
Subject Public Key Info 主体者 公開鍵2048 -
張領域 設定 容 critical
KeyUsage digitalSignature y
ExtendedKeyUsage OCSPSigning n
CertificatePolicies [1]Certificate Policy: Policy Identifier
=1.3.6.1.4.1.32264.3.2.1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS
Qualifier:
https://repo1.secomtrust.net/spcpp/c ps/index.html
n
Authority Key Identifier 行 者 公 開 鍵 SHA-1 ュ 値
160
n
Subject Key Identifier 主 体 者 公 開 鍵 SHA-1 ュ 値
160
n
7.1.8 用S/MIME証明書
表7-1-8-1 2016 12 25日 行 用S/MIME証
明書 適用 表7-1-8-2 2016 12 20日以降 行
用S/MIME証明書 適用
表
7-1-8-1
用
S/MIME
証明書
基本領域 設定 容 critical
Version Version 3 -
Serial Number 例) 0123456789 -
Signature Algorithm sha256WithRSAEncryption -
Issuer Country C=JP -
Locality L=Academe -
Organization O= National Institute of Informatics -
Common Name CN= NII Open Domain CA - G4 -
Validity NotBefore 例) 2018/04/01 12:00:00 GMT -
NotAfter 例) 2020/05/01 12:00:00 GMT -
Subject Country C=JP 固定値 -
Organization O=SECOM Trust Systems Co.,Ltd -
Organizational Unit OU=UPKI Digital Certificate Issuance Service