平素より、グローバルサインのサービスをご愛顧いただき誠にありがとうございます。
クライアント証明書の一部の中間CA証明書におきまして、失効処理を行うこととなりました。当該の失効に伴い、ご利用の証明書の再発行等の対応が必要となります。対象サービス・内容等の詳細は下記をご参照ください。
お客様にはご面倒をおかけいたしますが、ご理解くださいますよう、よろしくお願い申し上げます。
対象サービス
・マネージドPKI Lite
・S/MIME用証明書
失効の対象となる中間CA証明書
| 中間CA証明書 | 失効日 |
|---|---|
| GlobalSign PersonalSign 2 CA - SHA256 - G3(R3) | 2021年2月24日(水) |
新たな中間CA証明書と切り替え日
| 新たな中間CA証明書 | 切り替え日 |
|---|---|
| GlobalSign GCC R3 PersonalSign 2 CA 2020(R3) | 2020年11月11日(水) |
お客様へのお願い
対象サービスをご利用のお客様は、証明書のご利用用途によって必要となる作業が異なってまいります。
大変お手数ですが、下記の表にて必要となる作業をご確認のうえ、ご対応をお願いいたします。
※証明書の再発行は無償です。
※中間CA証明書の切り替え後に発行される証明書は対象外です。
| 証明書の有効期限日 | 対象サービスごとの利用用途 | ||
|---|---|---|---|
| マネージドPKI Lite(クライアント認証でご利用のお客様) | マネージドPKI Lite(S/MIMEでご利用のお客様) S/MIME用証明書 |
||
| ~2020年11月10日 | 更新を行わない場合 | 対応不要 | 対応不要 |
| 更新を行う場合 | ・新中間CA証明書の切り替え日以降に、証明書の再発行およびインストール(新中間CA証明書を含む) ・サーバへの新たな中間CA証明書の追加設定 ・CRL、OCSPのURLの追加設定 |
・新中間CA証明書の切り替え日以降に、証明書の再発行およびインストール(新中間CA証明書を含む) | |
| 2020年11月11日 ~2021年2月23日 |
更新・再発行を行わない場合 | 対応不要 | 対応不要 |
| 切り替え日以前に更新を行う場合 | ・新中間CA証明書の切り替え日以降に、証明書の再発行およびインストール(新中間CA証明書を含む) ・サーバへの新たな中間CA証明書の追加設定 ・CRL、OCSPのURLの追加設定 |
・新中間CA証明書の切り替え日以降に、証明書の再発行およびインストール(新中間CA証明書を含む) | |
| 切り替え日以降に更新、再発行を行う場合 | ・更新または再発行した証明書のインストール(新中間CA証明書を含む) ・サーバへの新たな中間CA証明書の追加設定 ・CRL、OCSPのURLの追加設定 |
・更新または再発行した証明書のインストール(新中間CA証明書を含む) | |
| 2021年2月24日~ | ・新中間CA証明書の切り替え日以降に、証明書の再発行およびインストール(新中間CA証明書を含む) ・サーバへの新たな中間CA証明書の追加設定 ・CRL、OCSPのURLの追加設定 |
・新中間CA証明書の切り替え日以降に、証明書の再発行およびインストール(新中間CA証明書を含む) | |
再発行について
マネージドPKI Lite
再発行の方法は管理者ガイド(ePKI Administrator Guide)P44~45に記載されています。管理者画面より管理者ガイドをダウンロードください。
S/MIME用証明書
再発行の方法はこちら
変更の背景
グローバルサインでは、SSLサーバ証明書の業界団体であるCA/ブラウザフォーラムの取り決める規定に常に準拠する認証局運営を行ってまいりましたが、このたびCA/ブラウザフォーラムとRFC※の規定の間に相反を確認いたしました。仕様の見直しを行った結果、新たな中間CA証明書に移行することを決定いたしました。
※RFCとは
Request for Commentsの略。インターネット技術を議論し、技術的な仕様を標準化する任意団体であるIETF(Internet Engineering Task Force)が発行している、技術仕様などについての文書データベース。インターネットで用いられるさまざまな技術の運用や約束事に関する、事項の提案やコメントなど幅広い情報共有を行うために公開されており、記録された各文書には「RFC XXXX」のように固有の番号が割り振られる。
FAQ
- Q:新中間CA証明書を設定しなかった場合はどうなりますか。
- 2020年11月11日(水)以降は、新しい中間CA証明書から証明書が発行されます。SSL/TLSサーバでクライアント認証を利用している場合は、新しい中間CA証明書から発行された証明書では正常にクライアント認証が行えなくなります。
※ご利用のアプリケーションの仕様や設定によって上記挙動は異なる場合がございます。 - Q:現行の中間CA証明書が失効された後はどうなりますか。
- 現行の中間CA証明書は2021年2月24日(水)に失効となります。SSL/TLSサーバでクライアント認証を利用している場合は、現行の中間CA証明書から発行された証明書では正常にクライアント認証が行えなくなります。
S/MIME署名(暗号化)を利用している場合は、現行の中間CA証明書から発行された証明書ではS/MIME署名(暗号化)を行うことができなくなります。また、現行の中間CA証明書から発行された証明書で過去にS/MIME署名(暗号化)されたメールの閲覧時に警告が表示されます。
※ご利用のアプリケーションの仕様や設定によって上記挙動は異なる場合がございます。
※過去にS/MIME署名(暗号化)されたメールが閲覧できなくなる恐れがございますので、クライアント証明書は削除されないようご注意ください。 - Q:中間CA証明書が変更になることで、証明書のインストール方法に変更はありますか?
- インストールの方法に変更はございません。
クライアント証明書FAQ:証明書の設定について - Q:中間CA証明書が変更になることで、クライアント認証の設定に変更はありますか?
- SSL/TLSサーバでクライアント認証を利用している場合は、新しい中間CA証明書も追加で設定ください。
クライアント証明書FAQ:サーバへの設定について
※上記サポートページに設定方法を掲載予定です。
また、変更日以降に発行または再発行される証明書のCRL配布ポイントやOCSPのURLも変更となります。
OCSPやCRLの取得先URLをスクリプト等に直接記述して取得している場合は、新しいURLの追加や修正が必要となります。
マネージドPKI Lite 新しいCRL配布ポイント:
http://crl.globalsign.com/gsgccr3personalsign2ca2020.crl
マネージドPKI Lite 新しいOCSP:
http://ocsp.globalsign.com/gsgccr3personalsign2ca2020 - Q:新しい中間CA証明書から発行される証明書のCRL/OCSPはいつから取得可能ですか?
- 2020年11月11日(水)から取得可能になる予定です。切り替え日より前にアクセスした場合はエラーとなりますので、ご注意ください。
お問い合わせ
ご質問や不明な点などございましたら、下記よりお問い合わせください。
- E-mail : support-jp@globalsign.com
- Tel:03-4545-1800 受付10:00~18:00(土日祝日除く)