2023年9月1日 10:00追記
本お知らせ内の記載に関して修正事項がございます。 詳細は下記をご参照ください。
8月27日までに申請し、8月31日までに発行が完了していないオーダーにつきましては、利用者様が取得URLにアクセスした際に、画面上で取得エラーメッセージが表示されます。大変お手数ではございますが、新規にて申請を行ってくださいますようお願いいたします。
なお、取得エラーとなったオーダーは30日経過後に自動キャンセルされ、ライセンスは元に戻ります。ただし、申請し直しの際に、ライセンスが不足する場合は、大変お手数ですが、先に取得エラーとなったオーダーをキャンセルの上、お手続きください。
2023年8月9日 15:40追記
本お知らせ内の記載に関して修正事項がございます。 詳細は下記をご参照ください。
2023年8月28日に予定している変更内容
8月27日以前に証明書を申請し、8月28日以降に発行となる場合は、従来の仕様にて証明書を発行いたします。ただし、S/MIME BRの施行日である9月1日までに発行されなかった場合は、自動的にキャンセルとなりますので、お手数ですが新規にてご申請の上、発行くださいますようお願い申し上げます。
■証明書取得用URLの取得期限
証明書取得メール内に記載の取得用URLの有効期間が、現行の30日間から24時間に変更となります。
未取得のまま24時間が経過した場合は、証明書取得メール内のURLにアクセスの上、証明書利用者様ご自身で、再送のお手続き行っていただくことで、有効なURLが記載されたメールが送付されます。
なお、再送メールに記載のURLも同様に24時間以内の取得期限となりますのでご注意ください。再送のお手続きは、自動キャンセルのタイミングまで何度でも行うことができます。
※未取得の証明書の自動キャンセルに関しましては、従来通りの仕様でございます。新規および更新の場合は初回メール送信から30日後、再発行の場合は初回メール送信から7日後に自動キャンセルとなります。
証明書取得用URLの有効期間は、S/MIME BR(Legacy)対応用中間CAとアクセス認証用中間CAの両方の中間CAにおいて、24時間制限の仕様変更を予定しておりましたが、制限の緩和を決定いたしまして、従来通り30日の有効期間となります。
※未取得の証明書の自動キャンセルに関しましては、従来通りの仕様でございます。新規および更新の場合は初回メール送信から30日後、再発行の場合は初回メール送信から7日後に自動キャンセルとなります。
※8月28日より前に申請した証明書を8月28日以降に取得する場合、9月1日まではご取得いただけますがそれ以降は自動的にキャンセルとなります。キャンセルされた証明書につきましては、お手数ですが新規にてご申請の上、取得くださいますようお願いいたします。
------------
2023年7月26日 16:15追記
本お知らせ内の記載に関して修正事項がございます。
詳細は下記をご参照ください。
■証明書の拡張キー使用法(EKU)について
証明書の拡張キー使用法(EKU)が、以下の表の通り変更となります。
2023年8月28日以降発行分
| DN(E)にメールアドレスが含まれる | DN(E)にメールアドレスが含まれない | |
|---|---|---|
| アクセス認証用中間CA | EKU:clientAuth | EKU: |
| S/MIME BR(Legacy)対応用中間CA | EKU:emailProtection,clientAuth | |
→アクセス認証用中間CAでDN(E)にメールアドレスが含まれない場合のEKUは、clientAuth のみとなります。
平素より、グローバルサインのサービスをご愛顧いただき誠にありがとうございます。
S/MIME用証明書に関しまして、CA/Browserフォーラムによる新たな基準「S/MIME Baseline Requirement(以下、S/MIME BRと表記)」が制定されました。 当該基準に準拠するため、マネージドPKI Lite byGMOのサービスの一部を変更いたします。
前回のお知らせからも内容、変更日について変更点があり、本お知らせ内容が最新の内容となります。
各変更予定日で従来の中間CA(以下、アクセス認証用中間CAと記載)と新中間CA(以下、S/MIME BR(Legacy)対応用中間CAと記載)のそれぞれに変更がございます。
対象サービス
マネージドPKI Lite byGMO
S/MIME用証明書
※S/MIME用証明書につきましては、2023年8月28日をもちましてサービスを終了いたします。詳細はこちらをご確認ください。
変更日
2023年4月24日 (月) ※変更済み
2023年6月10日 (土) ※変更済み
2023年7月31日 (月)
2023年8月28日 (月)
2023年4月24日、6月10日に変更済みの登録・審査に関する内容
■法人登録番号
| 2023年4月24日の変更内容 | 2023年6月10日の変更内容 |
|---|---|
| ・新規に作成されたプロファイルについて、法人登録番号(NTR)の登録を開始いたしました ・4/22以前に作成された既存プロファイルについては、お客様側で任意での登録が可能となりました |
・既存および新規プロファイルについて、法人登録番号としてVAT(国税庁法人番号)またはGOV(法人番号のない公共団体)が登録可能となります |
■プロファイル審査情報の利用可能期間
| 2023年4月24日の変更内容 | 2023年6月10日の変更内容 |
|---|---|
| ・新規に作成されたプロファイルの利用可能期間は、審査完了後824日となりました ・4/22以前に作成され、法人登録番号の登録がないプロファイルの利用可能期間に制限はありません |
変更点無し |
※審査が完了したプロファイルの次回更新申請は、有効期間終了日の90日前から可能となります。有効期限前にGSパネルよりプロファイルの更新申請を行う必要がございます。
2023年7月31日に予定している変更内容
■登録・審査に関する変更
法人登録番号はS/MIME BR(Legacy)対応用中間CAの場合は、法人登録番号の登録が必須、アクセス認証用中間CAの場合は、法人登録番号の登録は任意となります。
以下の項目に記載する内容は、S/MIME BR(Legacy)対応用中間CAについてのみの変更となります。アクセス認証用中間CAをご利用の場合は、影響はございません。
■メールドメインの登録必須化および審査情報利用期間の制限
プロファイルにメールドメイン情報のご登録および審査が必須となり、その審査情報利用期間は397日となります。ご登録がお済みではない場合、お手数ですがプロファイル内のメールドメイン追加項目よりご申請の上、ドメイン認証にご対応くださいますようお願いいたします。また、審査情報利用期間(397日)が過ぎてしまった場合は更新(ドメイン再認証)が必要となりますので、ご注意ください。
ご登録のないドメインを含むメールアドレスでの証明書発行はできかねますので、ご利用予定のメールドメインはすべてご登録ください。
※ドメイン認証は、通常2~3営業日ほどかかります。
※本仕様適用日以降すぐにS/MIME BR(Legacy)対応用中間CAにて証明書発行を希望される場合は、2023年7月31日から2023年8月28日までに新プロファイルを申請の上、プロファイル審査およびドメイン認証にご対応ください。
※ご登録が可能なメールドメインは自社および関連会社のもののみとなります。
※複数プロファイルをお持ちの場合は、同一ドメインであってもプロファイル毎にご登録が必要です。
※ドメイン審査の更新は有効期間終了日の90日前から可能となります。
■DN(ディスティングイッシュネーム)情報の制限
DN(ディスティングイッシュネーム)としてご登録が可能な情報に制限がかかります。OrganizationIdentifier(法人登録番号)が新たな項目として追加されます。
※は必須項目です
CN(Common Name)※
| 変更前 | 変更後 | 入力例 |
|---|---|---|
| 任意の値 | 担当者の氏名あるいは自社・関連会社のメールアドレス ※メールアドレスを指定する場合は、ディスティングイッシュネームのE(メールアドレス)と一致する必要があります。 |
Taro Yamadaあるいは[email protected] |
O(Organization)※
| 変更前 | 変更後 | 入力例 |
|---|---|---|
| 組織の正式名称 ※プロファイル情報より自動入力 |
変更なし | GlobalSign K.K. |
OU(Organization Unit)
| 変更前 | 変更後 | 入力例 |
|---|---|---|
| 組織での部署名 ※プロファイル情報より自動入力 |
S/MIME BR(Legacy)対応用中間CA:ー(登録が不可となります) アクセス認証用中間CA:変更なし |
S/MIME BR(Legacy)対応用中間CA:ー(登録が不可となります) アクセス認証用中間CA:Sales dept |
OrganizationIdentifier(2.5.4.97)
※S/MIME BR(Legacy)対応用中間CAのみ必須
| 変更前 | 変更後 | 入力例 |
|---|---|---|
| ― | 組織の法人登録番号 ※プロファイル情報より自動入力 VAT(国税庁法人番号)またはGOV(法人番号のない公共団体) |
1011001040181 |
L(City or Locality)
| 変更前 | 変更後 | 入力例 |
|---|---|---|
| 組織が置かれている市区町村 ※プロファイル情報より自動入力 |
変更なし | Shibuya |
S(State or Province)
| 変更前 | 変更後 | 入力例 |
|---|---|---|
| 組織が置かれている都道府県 ※プロファイル情報より自動入力 |
変更なし | Tokyo |
C(Country)※
| 変更前 | 変更後 | 入力例 |
|---|---|---|
| 国を示す2文字のISO略語 ※プロファイル情報より自動入力 |
変更なし | 日本-JP |
E(メールアドレス)
| 変更前 | 変更後 | 入力例 |
|---|---|---|
| メールアドレス形式であれば制約なし | S/MIME BR(Legacy)対応用中間CA: 担当者の自社・関連会社のメールアドレス アクセス認証用中間CA:変更なし |
※E(メールアドレス)は、証明書に格納するか否かをお客様側でお選びいただけます。
※DN(ディスティングイッシュネーム)情報につきましては、サポートページをご参照ください。
※アクセス認証用中間CAを引き続きご利用される場合は、OU(Organization Unit)をご利用いただけます。
■S/MIME BR(Legacy)対応用中間CAに紐づくプロファイルの事前準備について
S/MIME BR(Legacy)対応用中間CAから証明書を発行できるようになるのは、8月28日のリリース以降となりますが、7月31日以降に、事前にGSパネル上で、S/MIME BR(Legacy)対応用中間CAのプロファイルをお申込みの上、プロファイルの審査、およびドメイン審査を済ませておくことで、8月28日以降にスムーズにS/MIME用途の証明書発行が可能となります。
2023年8月28日に予定している変更内容
8月27日以前に証明書を申請し、8月28日以降に発行となる場合は、従来の仕様にて証明書を発行いたします。ただし、S/MIME BRの施行日である9月1日までに発行されなかった場合は、自動的にキャンセルとなりますので、お手数ですが新規にてご申請の上、発行くださいますようお願い申し上げます。
■証明書取得用URLの取得期限
証明書取得メール内に記載の取得用URLの有効期間が、現行の30日間から24時間に変更となります。
未取得のまま24時間が経過した場合は、証明書取得メール内のURLにアクセスの上、証明書利用者様ご自身で、再送のお手続き行っていただくことで、有効なURLが記載されたメールが送付されます。
なお、再送メールに記載のURLも同様に24時間以内の取得期限となりますのでご注意ください。再送のお手続きは、自動キャンセルのタイミングまで何度でも行うことができます。
※未取得の証明書の自動キャンセルに関しましては、従来通りの仕様でございます。新規および更新の場合は初回メール送信から30日後、再発行の場合は初回メール送信から7日後に自動キャンセルとなります。
証明書取得用URLの有効期間は、S/MIME BR(Legacy)対応用中間CAとアクセス認証用中間CAの両方の中間CAにおいて、24時間制限の仕様変更を予定しておりましたが、制限の緩和を決定いたしまして、従来通り30日の有効期間となります。
※未取得の証明書の自動キャンセルに関しましては、従来通りの仕様でございます。新規および更新の場合は初回メール送信から30日後、再発行の場合は初回メール送信から7日後に自動キャンセルとなります。
※8月28日より前に申請した証明書を8月28日以降に取得する場合、9月1日まではご取得いただけますがそれ以降は自動的にキャンセルとなります。キャンセルされた証明書につきましては、お手数ですが新規にてご申請の上、取得くださいますようお願いいたします。
■証明書の利用用途について
S/MIME BR(Legacy)対応用中間CA
S/MIME BR(Legacy)対応用中間CAは、アクセス認証用中間CAとは別に新たに構築し、ルート証明書(R6)にチェーンいたします。
ルート証明書を分けて運用することで、各々の証明書に求められる要件を区分して管理することができ、業界が求めるガイドライン変更の影響を限定することができます。
| CN | シリアル番号 | |
|---|---|---|
| ルート証明書 | GlobalSign | 45e6bb038333c3856548e6ff4551 |
| 中間証明書 | GlobalSign GCC R6 SMIME CA 2023 | 7e87c3092ed766ef2f21e2a8d0a798f4 |
S/MIME BR(Legacy)対応用中間CAから発行するクライアント証明書は、「S/MIME」「クライアント認証」「MS Office製品への電子署名」のいずれの用途でもご利用になれますが、DN情報の「OU(部署名)」の項目を入れることができなくなり、専用BaseDNの利用ができなくなるため、認証用途でのご利用は非推奨となります。(前回のご案内からの変更点となります)
アクセス認証用中間CA
アクセス認証用中間CAより発行済みの証明書は、変更実施日以降も「S/MIME」「クライアント認証」「MS Office製品への電子署名」のいずれの用途でもご利用ができ、証明書の再発行が可能です。(前回のご案内からの変更点となります)ただし、再発行後の証明書ではS/MIME用途でのご利用ができなくなります。
「S/MIME」用途でのご利用を希望される場合は、管理パネル上でS/MIME BR(Legacy)対応用中間CAのプロファイルを申請の上、証明書を発行くださいますようお願いいたします。
※新規で作成するプロファイルは、S/MIME BR(Legacy)対応用中間CA、アクセス認証用中間CAのいずれかより選択が可能です(前回のご案内からの変更点となります)
※変更実施日以降に従来の中間CA(アクセス認証用中間CA)から発行する証明書のご利用用途は「クライアント認証」「MS Office製品への電子署名」に限定され、「S/MIME」のご利用ができなくなります。
※DN(ディスティングイッシュネーム)情報につきましては、サポートページをご参照ください。
| 2023年8月27日まで発行分 | S/MIME | クライアント認証 | MS Office製品への電子署名 |
|---|---|---|---|
| アクセス認証用中間CA | 〇 | 〇 | 〇 |
| 2023年8月28日以降発行分 | S/MIME | クライアント認証 | MS Office製品への電子署名 |
|---|---|---|---|
| アクセス認証用中間CA | × | 〇 | 〇 |
| S/MIME BR(Legacy)対応用中間CA | 〇 | △ | 〇 |
※アクセス認証用中間CAでは、証明書のDN(E)にメールアドレスを含んでいるか否かに関わらず、MS Office製品への電子署名が可能です。(前回のご案内からの変更点となります)
その他サードパーティーの製品ならびにアプリケーションでの電子署名の可否につきましてはお客様にてご検証をお願いいたします。
■証明書の拡張キー使用法(EKU)について
証明書の拡張キー使用法(EKU)が、以下の表の通り変更となります。
2023年8月27日まで発行分
| DN(E)にメールアドレスが含まれる | DN(E)にメールアドレスが含まれない | |
|---|---|---|
| アクセス認証用中間CA | EKU:emailProtection,clientAuth | EKU:clientAuth |
2023年8月28日以降発行分
| DN(E)にメールアドレスが含まれる | DN(E)にメールアドレスが含まれない | |
|---|---|---|
| アクセス認証用中間CA | EKU:clientAuth | EKU: |
| S/MIME BR(Legacy)対応用中間CA | EKU:emailProtection,clientAuth | |
※DN(ディスティングイッシュネーム)情報につきましては、サポートページをご参照ください。
■証明書へのメールアドレスの格納先について
証明書にメールアドレスを格納できるフィールドが以下の通り変更となります。
アクセス認証用中間CA
| DN(E)にメールアドレスが含まれる | RFC822nameにメールアドレスを含める | |
|---|---|---|
| 仕様変更前 | 必須 | 必須 |
| 仕様変更後 | 任意 | ― |
S/MIME BR(Legacy)対応用中間CA
| DN(E)にメールアドレスが含まれる | RFC822nameにメールアドレスを含める |
|---|---|
| 任意 | 必須 |
※アクセス認証用中間CAで、DN(E)にメールアドレスを含めたい場合は、証明書申請時に「アクセス認証にEメールアドレスを利用する」という項目のチェックを入れて頂くことで実現が可能です。
※RFC822nameとは、S/MIME利用のために利用される証明書内のフィールドです。本項目にメールアドレスが入っていなければ、S/MIME利用ができません。S/MIME BR(Legacy)対応用中間CAの場合は、事前にドメイン審査を完了した上で、証明書発行申請時にメールアドレスを入力いただくことで、本項目にもメールアドレスが自動追加されます。
※APIをご利用の場合は、メールアドレスの格納先を指定する必要があります。詳細はお問合せくださいますようお願いいたします。
■証明書取得用パスワードポリシーの変更
本項目に記載する内容は、S/MIME BR(Legacy)対応用中間CAでのみの変更となります。アクセス認証用中間CAをご利用の場合は、影響はございません。
証明書取得用パスワードのポリシーが、申請方法(鍵生成オプション)に応じて変更となります。
| 鍵生成オプション | 変更前 | 変更後 |
|---|---|---|
| Microsoft EdgeのInternet Explorer互換モードによる発行 | 半角英数8文字以上 | 変更なし |
| .pfx(PKCS#12)としてダウンロードする | 半角英数12文字以上 | GSパネル上で自動生成されたパスワードのみ利用可能 (半角英数大文字小文字記号含む17桁以上) |
※自動生成されたパスワードはCSVにて一括でご覧いただけます。
※APIご利用の場合も影響を受けます。詳細はお問合せくださいますようお願いいたします。
◆変更点まとめ・仕様について
概要
| アクセス認証用中間CA | S/MIME BR(Legacy)対応用中間CA | |
|---|---|---|
| 説明 | 従来の中間CA証明書の名称です。 主に、アクセス認証の利用用途で証明書を発行する場合に利用します。 |
7月31日に新たに設置される中間CA証明書です。 主に、S/MIMEの利用用途で証明書を発行する場合に利用します。 |
| ルート証明書 | R3 | R6 |
| 8月27日以前の利用用途 | S/MIME、アクセス認証、MS Office製品への署名 | ― |
| 8月28日以降の利用用途 | アクセス認証、MS Office製品への署名 | S/MIME、MS Office製品への署名 ※アクセス認証での利用は非推奨となります。 |
仕様
| アクセス認証用中間CA | S/MIME BR(Legacy)対応用中間CA | |
|---|---|---|
| プロファイルの追加登録 | 任意 既に登録されている既存のプロファイルをそのまま利用可能です。 異なるプロファイル情報で証明書発行を希望される場合は、追加登録をお願いします。 |
必須 アクセス認証用中間CAからの発行に利用していたプロファイルは基本的にご利用いただけません。新たにプロファイルを追加登録し、審査完了後、証明書の発行を行ってください。 |
| プロファイル審査情報の利用可能期間 | 4/22以前に作成され、法人登録番号の登録がない場合、制限なし 上記に該当しない場合は824日 |
824日 |
| メールドメイン登録 | 任意 | 必須(自社・関連会社のドメインに限ります) |
| メールドメイン認証情報の利用可能期間 | 制限なし | 397日 |
DN
| アクセス認証用中間CA | S/MIME BR(Legacy)対応用中間CA | |
|---|---|---|
| CN(Common Name)※必須 | 任意の値 | 担当者の氏名あるいは自社・関連会社のメールアドレス |
| O(Organization)※必須 | 組織の正式名称 ※プロファイル情報より自動入力 |
組織の正式名称 ※プロファイル情報より自動入力 |
| OU(Organization Unit) | 組織での部署名 ※プロファイル情報より自動入力 |
登録不可 |
| OrganizationIdentifier(2.5.4.97) ※S/MIME BR(Legacy)対応用中間CAのみ必須 |
任意 組織の法人登録番号 ※プロファイル情報より自動入力 VAT(国税庁法人番号)またはGOV(法人番号のない公共団体) ※詳しくは「■登録・審査に関する変更」の「法人登録番号」をご参照ください。 |
必須 組織の法人登録番号 ※プロファイル情報より自動入力 VAT(国税庁法人番号)またはGOV(法人番号のない公共団体) ※詳しくは「■登録・審査に関する変更」の「法人登録番号」をご参照ください。 |
| L(City or Locality) | 組織が置かれている市区町村 ※プロファイル情報より自動入力 |
組織が置かれている市区町村 ※プロファイル情報より自動入力 |
| S(State or Province) | 組織が置かれている都道府県 ※プロファイル情報より自動入力 |
組織が置かれている都道府県 ※プロファイル情報より自動入力 |
| C(Country)※必須 | 国を示す2文字のISO略語 ※プロファイル情報より自動入力 |
国を示す2文字のISO略語 ※プロファイル情報より自動入力 |
| E(メールアドレス) | メールアドレス形式であれば制約なし | 担当者の自社・関連会社のメールアドレス |
お客様にはご面倒をおかけいたしますが、ご理解、ご協力くださいますよう、よろしくお願い申し上げます。
お問い合わせ
ご質問や不明な点などございましたら、下記よりお問い合わせください。
- E-mail : support-jp@globalsign.com
- Tel:03-6370-6500 受付10:00~18:00(土日祝日除く)