[重要]コードサイニング証明書における要件変更について
(2022年11月予定)

RMSが販売するDigiCert（デジサート）
OVコードサイニング証明書の仕様が変更となります。

当該要件では、2022年11月15日 (UTC)以降に発行されるコードサイニング証明書の秘密鍵は、FIPS140 Level2、 Common Criteria EAL 4+、または同等のセキュリティ要件を満たすハードウェアに格納されなければならないと定められており、変更によって、OVコードサイニング証明書はEVコードサイニング証明書と同等に秘密鍵を安全に保護することができるようになります。
変更の詳細は、下記をご参照ください。

RMSでは引き続きサービスの向上に努めてまいりますので、今後ともご愛顧を賜りますようお願い申し上げます。
※1 Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates

>> https://cabforum.org/wp-content/uploads/Baseline-Requirements-for-the-Issuance-and-Management-of-Code-Signing.v2.8.pdf

1.適用予定日 2022年11月頃　※2023年6月頃に延期予定です。

※ 日程は確定次第ご案内いたします。

2.変更内容

適用日以降に発行されるコードサイニング証明書(新規/更新/再発行を含む)は、以下の変更が予定されています。

2-1. コードサイニング証明書の新規/更新申請について申請の際の入力項目、および証明書の取得手順が変更となります。

変更前：申請時にCSRを提出し、DigiCertの認証完了後に証明書を取得し、クライアント端末/サーバにインストールする。
または、CSRは提出せずに申請し、DigiCertの認証完了後にDigiCertの鍵生成ツールを利用してクライアント端末のブラウザ上で鍵ペアを生成、証明書を取得しクライアント端末/サーバにインストールする。

変更後：
申請の際に、証明書を格納するためのオプション（プロビジョニング方式）を選択する。
オプションには、
a) DigiCertが提供するトークンを利用する、
b) ご自身で準備した要件を満たすトークンを利用する、
c) ハードウェアセキュリティモジュール(以下、HSM)を利用する、
があり、この中からひとつ選択して申請を完了する。

DigiCertによる認証完了後に、選択したプロビジョニング方式に応じて、鍵ペアを作成、証明書をハードウェアにインストールする。

2-2. 再発行について

適用日前に発行済みの証明書を適用日以降に再発行する場合も当要件が適用されます。
手元に要件を満たすハードウェアがない場合は、その時点でDigiCertからトークンを購入できるようにご案内いたします（予定）。
再発行のお手続きの詳細は、確定次第ご案内いたします。

2-3. 署名の手順について

適用日以降に発行され、トークンやHSMに格納されたコードサイニング証明書を使用するには、トークンまたはHSMにアクセスし、そこに保存されている証明書を使用するための認証情報が必要となります。

例えば、トークンを利用してコード署名を行うには、トークンをコンピュータに接続し、その後、トークン上のコードサイニング証明書を使用してコードに署名するためにパスワードが必要です。

3. ご参考）DigiCert® Secure Software Manager のご紹介

当該要件に伴い、証明書は個別のトークン/HSM単位で管理が必要となります。
リモートワークの浸透や、複数の作業者がコードの署名に携わる場合は、これまで以上に鍵の保管、管理方法の見直しが求められます。

DigiCert® Secure Software Managerでは、クラウド型のHSMと統合し鍵と証明書を一元管理します。
複数の開発担当者やユーザが、随時必要に応じて素早く簡単にツール、アプリケーションやライブラリ等「コード」型のあらゆるソフトウェアに署名することができます。

主な機能
- HSMキーストレージ
- 秘密鍵・証明書、および署名作業を集中管理
- 社内/部門のセキュリティポリシーを適用
- CI/CDパイプラインとの統合

Secure Software Managerについて詳しくは、こちら
>>https://brandkeeper.jp/codesign/