このガイドでは、SSL.com の eSigner クラウド署名サービスがサードパーティのデジタル証明書とそれに関連する秘密鍵を保存する方法について説明します。eSigner は、USB トークンや特別なハードウェアを必要とせずに、どこからでもドキュメントやコードに世界的に信頼されているデジタル署名とタイムスタンプを追加できる便利で安全な方法を提供します。クラウドベースの FIPS 準拠のハードウェア アプライアンスを利用する eSigner は、証明書と鍵を安全に保存し、個々の認証情報、または eSigner Express アプリや Cloud Signature Consortium (CSC) 準拠の API などのプラットフォームを介してアクセスできます。
サードパーティの証明書を eSigner に保存するユースケースとしては、次のようなものがあります。
-
- 既存の証明書eSigner の使用を希望する顧客は、まだ期限が切れていない外部証明書を所有しており、その有効期間を最大化したいと考えているか、SSL.com 以外の公的に信頼されている他の証明機関からの証明書を使用する義務がある可能性があります。
- eIDAS準拠証明書文書署名証明書は、欧州連合の eIDAS (電子 ID、認証、信頼サービス) またはその他の地域標準要件に準拠している必要があります。欧州電気通信標準化機構 (ETSI) によって監査され、eIDAS 準拠の証明書を発行する認証局 (CA) の証明書も、eSigner で使用できます。SSL.com には優先パートナーがあり、お客様が eIDAS 準拠の証明書を入手していない場合は、その購入をお手伝いできます。
- 既存の証明書eSigner の使用を希望する顧客は、まだ期限が切れていない外部証明書を所有しており、その有効期間を最大化したいと考えているか、SSL.com 以外の公的に信頼されている他の証明機関からの証明書を使用する義務がある可能性があります。
特に、eSignerはコード署名証明書の秘密鍵の保管に大きな価値をもたらします。2023年6月1日以降、証明機関/ブラウザ(CA/B)フォーラムは、すべての種類のコード署名証明書(個人認証、組織認証、拡張認証)の秘密鍵を、少なくともFIPS 140-2レベル2に準拠したハードウェア暗号モジュールに保管することを義務付けました。この新しい鍵保管要件は、コード署名鍵のセキュリティ強化を目的としています。以前の規則では、OVおよびIVコード署名証明書を、証明書と秘密鍵の両方を含むローカルに保存された.pfxファイルとして生成できました。新しい要件では、秘密鍵の保管に暗号化されたUSBトークンまたはその他のFIPS準拠ハードウェアアプライアンスの使用のみが許可されるため、悪意のある攻撃者によるコード署名鍵の盗難や悪用が大幅に減少することが期待されます。
クラウド署名サービスである eSigner は、Github Actions、Jenkins、Gitlab CI、Travis、BitBucket、Azure DevOps、Circle CI などの一般的な CI/CD ツールとの自動コード署名と堅牢な統合を可能にするため、トークンベースのコード署名の制限も克服します。
ステップ1: eSignerサブスクリプションを購入する
このサービスは SSL.com コード署名およびドキュメント署名のすべてのお客様にご利用いただけ、Adobe Acrobat、Microsoft Office などの主要なソフトウェアや、Windows および Linux などのオペレーティング システムとの互換性が保証されます。
eSignerサブスクリプションの購入方法については、 サービスページ.
ステップ2: リクエスト CSR SSL.comから
デジタル証明書を申請する場合、組織は証明書署名要求(CSR)をSSL.comのような信頼できる認証局に送信します。この暗号化されたメッセージには、加入者の名前、ドメイン名、場所、国などの重要な詳細と、証明書の公開鍵が含まれています。 CSR 加入者は秘密鍵を使用して、提供された情報の信頼性を確認します。
ステップ3: サードパーティCAから証明書を注文して発行する
- サードパーティ CA の Web サイトにアクセスします。
- 証明書を購入する予定の認証局の Web サイトにアクセスします。
- 証明書の種類を選択:
- 署名のニーズに応じて必要な証明書の種類を選択します。eIDAS 準拠のドキュメント署名証明書の場合、法人向け Advanced eSeal と自然人向け Advanced eSignatures のみがサポートされています。
- 送信 CSR:
- 証明書の注文手続き中に、 CSR SSL.com 提供。
- 完全な検証:
- CA の手順に従ってください。これには、eSeal の場合は組織および法定代理人 (または正式に権限を与えられた代理人) の検証、eSignatures の場合は個人の検証が含まれます。
- これには、追加の文書の提供や、公証人/弁護士/公認会計士との対面による本人確認など、特定の検証手順の完了が必要になる場合があります。
- 証明書を発行:
- 検証が成功すると、CA は証明書を発行します。
- 発行された証明書をダウンロードします。
ステップ4: 発行された証明書をSSL.comに送信する
ダウンロードされた証明書は、加入者に割り当てられた SSL.com エージェントに送信されます。加入者に割り当てられた SSL.com エージェントは、署名証明書が eSigner で使用できるようになるまで更新を提供します。
ステップ5: eSignerで証明書をテストする
コード署名に使用できる eSigner ツールは 3 つあります。
- 電子署名エクスプレス: SSL.com アカウントの資格情報を使用してログインし、署名するファイルをアップロードできるブラウザベースのアプリです。
- eSigner クラウド キー アダプター/eSigner CKA: CNG インターフェイス (KSP キー サービス プロバイダー) を使用して、certutil.exe や signtool.exe などのツールがエンタープライズ コード署名操作に eSigner Cloud Signature Consortium (CSC) 準拠の API を使用できるようにする Windows ベースのアプリケーションです。
- 電子署名者 CodeSignTool: 安全でプライバシー重視のマルチプラットフォームJavaコマンドラインユーティリティ。Microsoft AuthenticodeおよびJavaコードオブジェクトにリモート署名します。 電子署名者 EVコード署名証明書。
ドキュメントの署名に使用できる eSigner ツールは 4 つあります。
- 電子署名エクスプレス。 SSL.com アカウントの資格情報を使用してログインし、署名するファイルをアップロードできるブラウザベースのアプリです。
- 電子署名者 DocSignTool安全でプライバシーを重視したマルチプラットフォームのJavaコマンドラインユーティリティで、PDFファイルにリモート署名できます。 電子署名者 文書署名証明書。
- 電子署名者 CSC APIクラウド署名コンソーシアム(CSC)APIを使用して、ドキュメントハッシュとPDFファイルにデジタル署名します。これは、 curl or Postman.
- eSigner ドキュメント署名ゲートウェイファイルを送信したりカスタム ソフトウェアを開発したりせずに、文書の機密性を維持したい企業向けのシンプルなソリューションです。
- ドキュメント署名監視フォルダー大量の電子文書 (PDF を含む) をフォルダーに配置するだけで署名できる Windows および Linux 用の署名サービスです。
eSigner の使用中に問題が発生した場合は、アカウント マネージャーにお気軽にお問い合わせください。
ご注意SSLコード署名証明書の秘密鍵はエクスポートできません。また、証明書をダウンロード可能な.pfxファイルとして発行することもできません。証明書は、FIPS 140-2認証済みのYubiKey USBトークン、SSLのeSignerクラウド署名サービス、またはサポートされているクラウドHSMなど、承認された安全な方法を使用して生成および保存する必要があります。
