Skip to main content

PQC ML-DSA 証明書を発行する

DigiCert​​®​​ Trust Lifecycle Manager を使用して、キーサイズが以下の ML-DSA アルゴリズムを用いたプライベートな耐量子コンピュータ暗号(PQC)証明書の発行と管理(失効、停止/再開、またはエスクロー/リカバリ)を行います。

鍵タイプ

キーサイズ / 署名アルゴリズム

MLDSA

  • MLDSA-44

  • MLDSA-65

  • MLDSA-87

開始する前に

DigiCert® Private CA で使用可能なプライベート発行 CA が少なくとも 1 つ必要です。

注記

CA の確認または作成に関するサポートが必要な場合、デジサートのアカウント担当者またはシステム管理者にお問い合わせください。

使用可能な証明書テンプレート

DigiCert® Private CA のプライベート発行 CA から ML-DSA 証明書を申請するために、Trust Lifecycle Manager証明書プロファイルを作成するには、次のベーステンプレートを使用します。対応する登録方法には、CSR、EST、REST API が含まれます。

証明書プロファイルの作成

ML-DSA 証明書を発行するための PQC 証明書プロファイルを作成するには、次の手順を実行します。

  1. Trust Lifecycle Manager のメインメニューから、[Policies > Certificate profiles]を選択します。

  2. [テンプレートからプロファイルを作成]の操作を選択します。

  3. 証明書プロファイル作成のベースとして、上記の表で示したテンプレートのうちいずれか 1 つを選択します。

    プロファイル作成ウィザードを進め、下記で説明する PQC 関連オプションに重点を置き、ビジネス要件に応じてその他の選択をします。各画面で入力してから、[次へ]を選択して次の画面に進みます。

  4. プロファイル作成ウィザードの最初の[プライマリオプション]画面で、次の項目を設定します。

    • 一般情報: 証明書に該当する事業部門と発行 CA を選択します。

    • 登録方法: 次のうちから 1 つ選択します。

      • CSR: Web ベースの登録フローを使用して CSR から登録します。

      • EST: EST プロトコルを使用してリモートクライアントから登録します(S/MIME 証明書では使用不可)。

      • REST API: Trust Lifecycle Manager REST API を使用して CSR から登録します(DigiCert クラウドキーエスクロー機能のサポートを含む)。

    • 認証方法: 選択した登録方法に対応する使用可能な認証方法のうち 1 つを選択します。

  5. [証明書のオプション]画面で次の操作を実行します。

    • キータイプ: MLDSA を選択します。

    • キーサイズ: ML-DSA 証明書の登録を許可するキーサイズを少なくとも 1 つ選択します。

    • 鍵預託オプション: 対応するベーステンプレートと REST API 登録方法を選択した場合、このプロファイルから発行された ML-DSA 証明書に対して、ここで DigiCert クラウドキーエスクロー機能を有効にできます。

  6. [追加のオプション]画面で次の操作を実行します。

    • 証明書の配布形式: X.509 または PKCS#7 のいずれの形式で証明書を配布するかを選択します。PKCS#7 の場合、CA チェーンを含める方法のオプションを選択します。

  7. [作成]を選択して新規証明書プロファイルを保存します。

テスト用の CSR と秘密鍵

次の CSR の例を使用して、DigiCert​​®​​ Trust Lifecycle Manager API または Web ベースの登録による ML-DSA 証明書の発行をテストします。

各 CSR ファイルと対応する PEM エンコード形式の秘密鍵をダウンロードするには、次のリンクを選択します。

OpenSSL コマンド

上記の CSR秘密鍵のペアは、以下の表に示す OpenSSL コマンドを使用して生成されたものです。

重要

これらのコマンドには、OpenSSL バージョン 3.5.0 以降が必要です。

キーのタイプ/サイズ

OpenSSL コマンド

MLDSA-44

openssl req -new -newkey mldsa44 -keyout digicert_mldsa-44.key -out digicert_mldsa-44.csr -nodes -subj "/CN=MLDSA44 Example/O=DigiCert, Inc./C=US"

MLDSA-65

openssl req -new -newkey mldsa65 -keyout digicert_mldsa-65.key -out digicert_mldsa-65.csr -nodes -subj "/CN=MLDSA65 Example/O=DigiCert, Inc./C=US"

MLDSA-87

openssl req -new -newkey mldsa87 -keyout digicert_mldsa-87.key -out digicert_mldsa-87.csr -nodes -subj "/CN=MLDSA87 Example/O=DigiCert, Inc./C=US"

Web ベースの登録による ML-DSA 発行をテストする

対応する認証方法のいずれか 1 つを使用して Web ベースの登録により CSR から PQC ML-DSA 証明書の発行をテストするには、次の手順に従います。

開始する前に

  • CSR 登録方法を使用する ML-DSA 証明書(キータイプが MLDSA)用の PQC 証明書プロファイルを作成します。プロファイル保存時に生成された登録 URL をコピーします。

  • ML-DSA 証明書プロファイルで設定した、許可されたキーサイズのいずれか 1 つに対応するテスト用 CSR を上記の表からダウンロードします。

PQC 証明書を申請する

  1. Web ブラウザを使用して、作成した PQC 証明書プロファイルの登録 URL にアクセスします。この URL は、プロファイル詳細ページ、またはセルフサービスポータルが有効化されている場合はそこから取得できます。

  2. 登録フォームに必要事項を入力し、上記の表からテスト用 CSR をアップロードします。

  3. [送信]を選択して登録申請を送信します。

登録申請を承認する

  1. マネージャーまたはユーザーと証明書マネージャーのロールを設定されたユーザーとして、Trust Lifecycle Manager にログインします。

  2. 保留中の登録申請を読み込むには、次の方法のうちいずれか 1 つを使用します。

    • Trust Lifecycle Manager のメインメニューから [Inventory > Enrollments]を選択します。必要に応じてリストをフィルタリングします。

    • [ダッシュボード]ページの[保留中の申請]ウィジェットで、[承認待ち]の下にある番号付きリンクを選択し、保留中の登録を読み込みます。

  3. PQC 証明書申請に対する保留中の登録を検索します。シート ID を選択して承認前に登録内容を確認します。あるいは、即時承認する場合は、アクション(アイコン)メニューを開き、[承認]を選択します。

証明書をダウンロードする

  1. 登録申請を承認後、ダウンロードリンク付きのメールが申請者宛てに送信されます。

  2. 確認メールに記載されたリンクを選択し、指示に従って新しい PQC 証明書をダウンロードします。

このセクションの内容: