EVコードサイニング証明書を再発行する
EV認証(EV)コードサイニング証明書を再発行する方法を学びます
重要
業界では、コードサイニング証明書の最小鍵強度がRSA 3072ビットに移行されました。
業界規定の変更に適合するため、デジサートはコードサイニング証明書プロセスを以下のように変更しました。
鍵がRSA 3072ビット以上のコードサイニング証明書のみを発行する*
コードサイニング証明書とEVコードサイニング証明書の発行に新しいRSAとECCの中間CA証明書とルート証明書を使用する
eTokenとHSMの変更
デジサートは、以下の2つのeTokenをサポートしています。
RSA 4096ビットおよびECCP-256ビットの鍵証明書用の5110 CC
ECC P-256およびP-384ビットの鍵証明書用の5110 FIPS
HSMには以下の要件があります。
RSA 3072ビットまたはECC P-256ビット以上の鍵長をサポートすること
FIPS 140-2レベル2以上、またはCommon Criteria EAL4以上に準拠するデバイスであること
注記
2021年6月1日より前に発行された既存の2048ビット鍵のコードサイニング証明書はすべて引き続き有効です。これらの証明書は、その有効期限が切れるまでコード署名のための使用を継続できます。
開始する前に
HSMデバイスのEVコードサイニング証明書を再発行する場合は、申請と共に証明書署名要求(CSR)を送信する必要があります。セキュリティを維持するため、証明書はRSA 3072ビットまたはECC P-256ビット以上の鍵長を使用する必要があります。申請用のCSRを作成するには、HSMプロバイダーのドキュメントを参照してください。
注記
申請と共にCSRを送信することが必要とされるのは、HSMデバイスのみです。EV CSセキュアトークンの再発行フォームには、CSRを送信するオプションが含まれていません。
セキュリティを確保するため、証明書は少なくとも2048ビットの鍵長を使用する必要があります。申請用のCSRを作成するには、HSMプロバイダーのドキュメントを参照してください。
EV CS証明書を再発行する
CertCentralアカウントの左側にあるメインメニューで、[証明書]>[オーダー]の順に進みます。
[オーダー]ページの[オーダー番号]列で、再発行するEVコードサイニング証明書の[クイックビュー]リンクをクリックします。
右側の[オーダー番号]詳細ペインで、[証明書を再発行する]をクリックします。
HSMデバイスのみ – セキュアトークンを使用している場合は、ステップ5に進んでください。
[オーダー番号XXXの証明書を再発行する]ページで、CSRをアップロード、または[CSRを追加する]ボックスにCSRを貼り付けます。
注記
申請と共にCSRを送信することが必要とされるのは、HSMデバイスのみです。セキュアートークンを使用している場合、フォームにこのオプションは表示されません。
署名ハッシュ
異なる署名ハッシュを選択する特定の理由がある場合を除いて、デジサートはデフォルトの署名ハッシュであるSHA-256の使用をお勧めします。
サーバープラットフォーム
再発行された証明書を使用するプラットフォームを選択します。
再発行の理由
証明書再発行の理由を入力します。
[再発行を申請する]をクリックします。
次のステップ
EV CS証明書の再発行に対する承認が必要になる場合があります。承認が必要な場合は、証明書再発行申請を承認する必要があることを知らせるEメールが組織のEV CS認証済連絡先に送信されます。承認の受け取り後、デジサートがEVコードサイニング証明書を再発行します。
EVコードサイニング証明書の再発行後は、証明書をインストールする必要があります。「DigiCert® EVコードサイニング証明書のセキュアトークンへのインストール手順」を参照してください。
その後、コードの署名を開始できます。「SignToolを使用したEV Authenticode®プログラムの署名およびタイムスタンプ手順」を参照してください。