証明書ソリューションに関するよくあるご質問
SSLサーバ証明書について
使用している暗号化方式は何ですか?
エントラストのすべてのSSLサーバ証明書は、SSL(Secure Socket Layer)とTLS(Transport Layer Security)に対応しています。
EVマルチドメイン証明書とは何ですか。
CAブラウザフォーラム(CABF)という業界標準団体で規定した、共通のルールに沿って身元確認を行った上で発行される、より信頼性の高い証明書です。主要ブラウザの特定バージョン以上ではアドレスバーが緑色で表示されます。
UCマルチドメイン証明書とは何ですか。
Microsoft社のExchange ServerやCommunications Serverのサービスが稼働するサーバ間通信を暗号化するための証明書です。サブジェクト代替名(SAN)により、複数のサーバ間通信を暗号化できます。
ワイルドカード証明書とは何ですか。
一枚の証明書で複数のサーバとのSSL/TLS通信が行える証明書です。証明書の発行先の名称にワイルドカード(*:アスタリスク)が使用されるため、このように呼ばれます。
ワイルドカードはトップドメインを複数入れることはできますか?
できます。
ワイルドカードに2段階のサブドメインを入れることはできますか?
できます。
承認担当者とは何ですか。また、その役割と資格は何ですか?
承認担当者は、技術担当者になる方を承認する担当者となります。承認担当者は証明書の発行先のドメインを所有する組織に所属している必要があります。
技術担当者とは別の方をご指定いただく必要がございます(ただし従業員(構成員)10名以下の企業(組織)の場合は除く)。
技術担当者とは何ですか。また、その役割と資格は何ですか。
技術担当者は、実際に証明書のダウンロードやWebサーバなどへの証明書の配置などの実作業を担当する方となります。技術担当者は必ずしもドメイン所有組織に所属している必要はなく、Webサーバの保守運営を担当されている社外の方でも構いません。
承認担当者とは別の方をご指定いただく必要がございます(ただし従業員(構成員)10名以下の企業(組織)の場合は除く)。
上級承認担当者とは何ですか。また、その役割と資格は何ですか。
EVマルチドメイン証明書を発行する際に必要です。上級承認者は承認担当者を承認していただく必要がございます。証明書の発行先のドメインを所有する組織に所属しており、かつManager職以上の役職に就任されている方に限ります。
承認担当者、技術担当者とは別の方をご指定いただく必要がございます。
中間証明書とは何ですか。また利用する意味は何ですか。
ルート認証局から認証局自身の証明書を発行してもらった認証局を中間認証局といいます。この中間認証局に発行された証明書を中間証明書といいます。一般にルート認証局同士の信頼パスを構築する際に利用されます。
ライセンス数の考え方を教えてください。
A. FQDNの数=ライセンス数となります。Subject Alt Name(SAN)や、ワイルドカード証明書を利用することにより、証明書の枚数を削減することが可能となります。詳細は弊社へご相談ください。
Advantage SSLの暗号化強度を教えてください。
暗号化の強度ですが、弊社の証明書では128bitから256bitまでの暗号化通信を許容いたします。具体的な暗号化アルゴリズムは、SSLのネゴシエーション(シェイクハンド)の過程でWebサーバとWebブラウザ間で同意が取れたものが利用されます。したがいまして証明書によって利用される鍵長は制限されません。
CSR(証明書発行要求)とは何ですか。またどのように作るのでしょうか。
CSRは、証明書に記載する必要事項(サブジェクト名など)や公開鍵を記載したエンコードされたテキストファイルです。CSRの作成方法はWebサーバにより異なります。作成方法は以下のURL(英語)をご参照ください。https://www.entrust.com/knowledgebase/ssl/ssl-tls-certificate-installation-help
CSRの作成は、誰が実施するのでしょうか。
申請者側(Webサーバ上)で作成してください。CSR作成時に公開鍵とともに私有鍵も生成されますので、こちらを安全に保管できるようにしていただく必要がございます。
最長の有効期限は何年間ですか?
最長で1年(397日)間になります。
お試し版の証明書はありますでしょうか。
はい、ございます。CMS(証明書管理ツール)をご用意させていただきます。製品版と同様の証明書になりますので認証も事前にお受けいただきます。
CPS(認証運用規定)はどこに記載されていますか。
こちら(URL: https://www.entrust.com/legal-compliance)に各証明書の種類ごとのCPS(日本語)がございますので、ご購入前にご確認ください。
Entrust SSL/TLS証明書はブラウザによってどのように信頼されますか?
Entrust SSL/TLS証明書は、ほとんどのブラウザによって自動的かつ透過的に信頼されます。この信頼は、Entrustルート証明書がほとんどの主要なブラウザとルート証明書プログラムに組み込まれているために確立されます。
Entrustはどのサイズのキーを使用しますか?
サーバで作成される公開鍵は、サーバソフトウェアによって異なりますが、2048bit以上である必要があります。この公開鍵はEntrustデジタル証明書に含まれています。Entrust SSL/TLS証明書の署名に使用されるEntrust秘密鍵は2048bitです。
Entrust SSL/TLS証明書はどのブラウザで動作しますか?
私たちが発行するEntrust SSL/TLS証明書は、すべての主要ブラウザで機能します。
Entrust SSL/TLS証明書はどのサーバで動作しますか?
Entrust証明書は、業界標準とRFCに準拠しており、証明書の要件を提供するサーバベンダーです。
Entrustチェーン証明書は必要ですか?
はい。有効日が2010年12月31日を超えるすべての証明書には、チェーン証明書が必要です。すべてのExtremeValidation証明書にはチェーン証明書が必要です。
DVの取り扱いはありますか?
弊社はEVとOVのみを取り扱っておりますベンダーになります。企業の実在性を示す認証を実施した証明書以外の販売は行っておりません。
AdvantageSSLには追加でSANを利用できますか?
無償で付与されますベースドメインと他のドメインを含むFQDN1枚以外は追加することはできません。マルチドイメイン証明書やワイルドカード証明書は有償で追加が可能です。
ルートおよび中間証明書の入手方法は?
以下のサイトからルート証明書だけでなく中間証明書も入手可能です。https://www.entrust.com/resources/certificate-solutions/tools/root-certificate-downloads
EVとOVの証明書の違いとは?
EV証明書は、詳細な在籍認証によりまして、OVよりも高い信頼性を持つことが可能でございます。
*EV証明書の認証は下記のとおりです。OV証明書の場合は2、3、5のみ行います。
- お客様によるCSR等の登録・申請を行っていただきます。
- Entrust社にて企業情報をデータベースで確認いたします。
- ドメインの所有者様に、そのドメインに対する証明書発行の了承をいただくメールを送付し、了承の旨のご対応をいただきます。(DNS TXTやWeb Server作成でも対応可)
- お客様の人事部門に架電、上級担当者様の役職名を確認させていただきます。
- 承認担当者様(管理者)へ架電の上、必要事項の確認を行います。
- 契約承認者様に架電の上、必要事項の確認を行います。(承認担当者様と契約承認者様が同一人物でも可)
- 上級担当者様に架電の上、必要事項の確認を行います。
*その他の、ドメイン認証、企業認証は同じ内容にて実施いたします。
SSL証明書をクレジット決済で購入する方法はありますか?
下記のリンクよりご購入いただくことができます。
https://www.entrust.com/digital-security/certificate-solutions/products/digital-certificates/tls-ssl-certificates
EV証明書の発行申請をする際に入力する各担当者のAuthorizationContact、HigherAuthority、ContractSigner、AccountAdministratorとは?
- Authorization Contact:発行承認担当者
- HigherAuthority:発行承認担当者の上席の方となります。役職はManager以上
- ContractSigner: AuthorizationContactと同一人物で問題ございません。
- AccountAdministrator:実際にCSR等を入力して証明書を作成する担当者
- 弊社にご発注いただきます。
- 弊社に証明書を申請していただくWebサイトへのアクセスするためのコードを電子メールでご担当者様宛にお送りいたします。
- ご連絡先とCSR(証明書発行要求)をご用意ください。
- 入力いただきました情報をもとに弊社内でドメインの所有権や所有者の実在性確認などの審査を行います。
- 審査の最終段階としてお電話による口頭での確認を行わせていただきます。日本人スタッフによる日本語での確認となります。
- すべての審査が正しく終了しますと証明書が発行され、ダウンロードしていただくWebサイトのURLをご担当者様にメールでお送りいたします。
- 証明書をダウンロードしていただき、Webサーバ等にインストールしていただきます(お客様作業)。
- このドキュメントは、Adobeの信頼プロセスを使用して信頼された有効な署名で認証されており、作成者はこのドキュメントを失効させることができません。認定付きドキュメントでユーザは、フォーム入力やドキュメント署名ができる場合があります。
- このドキュメントは、Adobeの信頼プロセスを使用して信頼された有効な署名で署名されており、作成者はこのドキュメントを失効させることができません。
- このドキュメントは信頼されていない証明書を使用して署名されており、検証できません。
- このドキュメントは、署名後に変更または改ざんされています。
- Microsoft Windowsオペレーティングシステム7および8.1
- Microsoft Windowsサーバー オペレーティング システム2008および2012
- Microsoft Internet Explorer 10および11
- SafeNetソフトウェア(Entrust Datacardからご購入時に提供)
- Microsoft Windowsオペレーティングシステム7、8.1および10
- Microsoft Windowsサーバー オペレーティング システム2008および2012
- Adobe Reader
- Adobe Acrobat
- Microsoft Office WordおよびExcel
- OpenOffice
- LibreOffice
- SafeNetソフトウェア(Entrust Datacardからご購入時に提供)
- Adobe Reader、AcrobatなどのPDFソフトウェアと互換性があり、証明書の署名入りPDFドキュメントをサポート
- Microsoft WordおよびExcel
- 変更不可
- フォームへのフィールド入力のみ可能
- ドキュメントへのコメントは可能
- 誰か(作成者以外も可能)がドキュメントに同意または承認の署名を施すと、承認用署名が適用されます。承認や認証の場合は必ず、ドキュメントのウィンドウ上部の青いバーに証明書のステータスが表示されます。
- 民間組織:法人化管轄区域にある法人設立機関への(またはそのような法人設立機関の働きによる)登録申請によって誕生した非政府法人(株式は公開または非公開)。
- 政府機関:政府が運営する法的実体。国または国の下位行政単位(州、省、市、群など)の行政機関が運営する機関、部局、省庁などの要素。
- 事業体:民間組織でも政府機関でもない任意のエンティティ。例には無限責任組合、非法人組織、個人事業などがあります。
- ドメイン名
- 組織名
- 法人設立管轄区域
- 市町村
- 都道府県(記載がある場合)
- 国 – 必須項目
- 加入者自身が、Entrust Multi-Domain EV TLS/SSL Certificateの失効手続きをリクエストした。
- 元のEntrust Multi-Domain EV TLS/SSL Certificateリクエストが承認されておらず、遡及的に承認が付与されないことを加入者が示した。
- 加入者の秘密鍵(Entrust Multi-Domain EV TLS/SSL Certificateの公開鍵に対応)が侵害を受けた、またはEntrust Multi-Domain EV TLS/SSL Certificateが不正使用されたという合理的な証拠をEntrustが入手した。
- 加入者が『Subscriber Agreement』(加入者契約)の定める重要な義務事項に違反していることが、通知またはその他の形でEntrustの知るところとなった。
- 加入者がEntrust Multi-Domain EV TLS/SSL Certificateに登録されているドメイン名を使用する権限が、裁判所または仲裁人によって取り消されたこと、または加入者がドメイン名を更新していないことが、通知またはその他の形でEntrustの知るところとなった。
- Entrust Multi-Domain EV TLS/SSL Certificateの記載情報に重大な変化が生じたことが、通知またはその他の形でEntrustの知るところとなった。
- CAの一存で、懸案のEntrust Multi-Domain EV TLS/SSL CertificateがこれらのガイドラインやCAのEVポリシーの条件を遵守しないで発行されたと判断された。
- Entrust Multi-Domain EV TLS/SSL Certificateに表示される情報のいずれかが正確ではないとEntrustが判断した。
- Entrustは何らかの理由で事業を止めたが、懸案のEV証明書の失効サポートを別のEV CAに依頼しなかった。
- これらのガイドラインに基づいてEntrust Multi-Domain EV TLS/SSL Certificateを発行するEntrustの権利は、[引き続きCRLまたはOCSPリポジトリを維持するための取り決めをCAが行わない限り] 有効期限切れとなるか、失効となるか、終了します。
- 該当するEntrust Multi-Domain EV TLS/SSL Certificateに対するEntrustの秘密鍵が侵害を受けた。
- 加入者が申請権利剥奪者または取引禁止対象者としてブラックリストに追加されたこと、または加入者の運営拠点がCAの運営管轄の法律で禁止された仕向け地であることが、通知またはその他の形でEntrustの知るところとなった。
- 申し立てのあった問題の性質。
- 特定のEV証明書またはWebサイトに関して寄せられた「Certificate Problem Report」(証明書問題報告)の数。
- 申立人の身元(Webサイトが違法行為に従事しているという申し立てが法執行機関の職員から寄せられた場合は、注文した商品が一切届かないという一般消費者からの申し立てより重視されるなど)。
- 関連する現行法。
- 簡素化された登録手続き
- 管理の運営と委任
- クライアント管理(アウトソーシング業者、Webホスティング業者、ISP向け)
- 各種オンデマンドサービス
- コスト削減
- 監査および報告ツール
- ゼロフットプリント管理クライアント
- 豊富な証明書タイプの選択肢と柔軟性
- 強力な検証プロセス
- Entrust Certificate Services(ECS)の詳細については、以下を参照してください。 https://www.entrust.com/digital-security/certificate-solutions/products/digital-certificates/tls-ssl-certificates/entrust-certificate-services
- セルフサービスで証明書署名リクエスト(CSR)を生成します。証明書署名リクエストの詳細については、CSRに関するよくある質問のセクションを参照してください。
- 懸案のドメイン名を自ら所有していること。お客様の会社、またはお客様の会社の親会社もしくは子会社が所有者として登録されていない場合、Entrustはサーバー証明書を処理できません。
- 第三者機関の検索ディレクトリを使用して見つけることができる会社の電話番号。
- 連絡先情報が正確であること。申請中に次の3つの連絡先を提供する必要があります。
- 有効な支払い情報(有効な『Entrust Purchase Order』(注文書)番号、有効なクレジットカード情報またはプロモーションコード)
- 承認担当連絡先
- 技術担当連絡先
- 請求担当連絡先
- 証明書署名リクエスト(CSR)
- 申請組織に関する情報(登記名、所在地、電話番号など)
- 申請組織がCSRに含まれるドメイン名を使用する権限。
- 技術担当連絡先が承認事業者によって雇用されている事実
- 公の情報で確認できる、申請組織の会社情報。
- ドメイン登録管理組織から割り当てられるドメイン所有権
- 承認担当連絡先への電話で裏付けられた技術担当連絡先の雇用の事実。
- クライアントと交渉している組織が、証明書で特定されている組織名で運営されている正当な組織であること
- 検証済みの組織がドメインの所有者として登録されていること
- 証明書を受け取った個人が、ステップ1で検証された組織の正式な代表者であること
- メール:Entrustは、登録されたドメイン所有者にメールを送信して、サブスクライバーがEntrustに証明書を要求することについて、所有者が承認していることを確認します。ドメインのプライバシー制限により、この情報が利用できない場合があります。
- DNS認証:Entrustは、サブスクライバーがドメインDNSレコードの特定のセクションに投稿できるランダムな値を、サブスクライバーに提供できます。これにより、サブスクライバーは、ドメインDNSレコードを制御できることをEntrustに示します。
- CSRのドメイン名が認定機関に登録されていません。
- 証明書の申請書に記載されている住所が、事業の有効な所在地ではありません。
- CSRの形式が正しくありません。
- お客様の会社は、申請書に記載されている住所に公に登録されている電話番号がありません。
- 承認担当連絡先から技術担当連絡先を雇用している事実を確認できません。
- 申請組織に関する情報(組織名、国など)
- Webサーバーの公開鍵
- サーバーの秘密鍵と一意で完全一致すること
- チャレンジパスフレーズまたは失効パスフレーズには、特殊文字やシフト文字を使用しないでください。 サポートされていない文字です。 具体例を以下に列挙します。 “.,;-@#$%^&!*)(-+=< />?/:
- [Organization](組織)や [Organization Unit](組織単位)レベルで特殊文字やシフト文字を使用しないでください。 サポートされていない文字です。 具体例を以下に列挙します。 “.,;-@#$%^&!*)(-+=< />?/:
- ビット長が2048を超える鍵は使用しないでください。 長いビット長はサポートされていません。
- CSRはBase 64(pem)書式でエンコードされている必要があります。一部のFTPプログラムやテキスト エディタ プログラムは、書式が乱れる原因となることがあります。
- WebMethodsサーバーを使用している場合は、失効パスフレーズを入力しないでください。 このパスフレーズは、Entrust証明書の登録時にオンラインで入力したパスフレーズとは完全に別のものです。ご注意ください。
- UNIXシステムでIKEMANを使用している場合も、CSRを作成するとき句読文字や特殊文字を使用しないでください。 これには“.,;-@#$%^&!*)(-+=< />?/:が含まれます
- サーバー証明書ウィザードからIIS 5または6の更新機能を使用しないでください。Microsoftサポート情報記事Q 295281の手順を参照してください。注意: 別のCA(Verisign)で取得した証明書を更新する場合も、同じサポート情報記事を参照してください。
- 自己署名証明書は使用しないでください。 これは証明書署名リクエスト(CSR)PKCS#10リクエストと異なります。
- お使いのサーバーで新しい鍵ペア(CSR)を作成してください。
- Entrust Certificate Services(ECS)サポートにサービスリクエストを残してください。
- お問い合わせ内にお客様の注文番号、ドメイン名、再発行の理由を記し、CSRを貼り付けてください。CSRは直接メール([保護されたメールアドレス])でお送りいただく方法もあります。「.com」を含むファイル名は使用しないでください。
- 内容の検証後、リクエストが承認されると、再発行された証明書を含む電子メールをEntrustから技術担当連絡先にお送りします。
- 秘密鍵の紛失または盗難が発生した
- 証明書の内容が無効になった(会社の名称が変更されたなど)
- 証明書が悪用されている
- 失効が正当だと認められる状況が別途発生した
- 代わりの証明書を再発行した場合、元のEntrust TLS/SSL証明書は自動的に取り消されます。 何らかの事情でEntrustがお客様のTLS/SSL証明書を失効させざるを得なくなった場合は、Entrustから失効通知が届きます。
- 加入者自身が、Entrust Multi-Domain EV TLS/SSL Certificateの失効手続きをリクエストした。
- 元のEntrust Multi-Domain EV TLS/SSL Certificateリクエストが承認されておらず、遡及的に承認が付与されないことを加入者が示した。
- 加入者の秘密鍵(Entrust Multi-Domain EV TLS/SSL Certificateの公開鍵に対応)が侵害を受けた、またはEntrust Multi-Domain EV TLS/SSL Certificateが不正使用されたという合理的な証拠をEntrustが入手した。
- 加入者が『Subscriber Agreement』(加入者契約)の定める重要な義務事項に違反していることが、通知またはその他の形でEntrustの知るところとなった。
- 加入者がEntrust Multi-Domain EV TLS/SSL Certificateに登録されているドメイン名を使用する権限が、裁判所または仲裁人によって取り消されたこと、または加入者がドメイン名を更新していないことが、通知またはその他の形でEntrustの知るところとなった。
- Entrust Multi-Domain EV TLS/SSL Certificateの記載情報に重大な変化が生じたことが、通知またはその他の形でEntrustの知るところとなった。
- CAの一存で、懸案のEntrust Multi-Domain EV TLS/SSL CertificateがこれらのガイドラインやCAのEVポリシーの条件を遵守しないで発行されたと判断された。
- Entrust Multi-Domain EV TLS/SSL Certificateに表示される情報のいずれかが正確ではないとEntrustが判断した。
- Entrustは何らかの理由で事業を止めたが、懸案のEV証明書の失効サポートを別のEV CAに依頼しなかった。
- これらのガイドラインに基づいてEntrust Multi-Domain EV TLS/SSL Certificateを発行するEntrustの権利は、[引き続きCRLまたはOCSPリポジトリを維持するための取り決めをCAが行わない限り] 有効期限切れとなるか、失効となるか、終了します。
- 該当するEntrust Multi-Domain EV TLS/SSL Certificateに対するEntrustの秘密鍵が侵害を受けた。
- 加入者が申請権利剥奪者または取引禁止対象者としてブラックリストに追加されたこと、または加入者の運営拠点がCAの運営管轄の法律で禁止された仕向け地であることが、通知またはその他の形でEntrustの知るところとなった。
*AuthorizationContact、ContractSigner、AccountAdministratorは同一人物で問題ございません。
SSLサーバ証明書は、メールサーバの暗号化通信にも利用可能でしょうか?
A. POP over SSL/TLSおよびSMTP over SSL/TLSで、サーバ証明書をお使いいただくことが可能です。通常、POP over SSL/TLSはポート995、SMTP over SSL/TLSはポート465を使用しますので、メールクライアントとメールサーバの両方に、上記ようなポートを使用して通信する設定が必要です。
また、S/MIMEをご希望の場合には、別なソリューションとなります。
Entrust SSL / TLS証明書はブラウザによってどのように信頼されますか?
Entrust TLS/SSL証明書は、ほとんどのブラウザで自動的かつ透過的に信頼されます。この信頼は、ほとんどの主要なブラウザとルート証明書プログラムにEntrustルート証明書が組み込まれているからこそ、確立されます。
Entrustはどのサイズのキーを使用しますか?
サーバで作成される公開鍵は、サーバソフトウェアによって異なりますが、2048bit以上である必要があります。この公開鍵はEntrustデジタル証明書に含まれています。Entrust SSL/TLS証明書の署名に使用されるEntrust秘密鍵は2048bitです。
Entrust TLS/SSL Certificateはどのブラウザで動作しますか?
Entrustが発行するEntrust TLS/SSL Certificates(Entrust SSL/TLS証明書)は、すべての主要ブラウザで機能します。次のリンク(Digital Certificates – Browser Compatibility)で互換性一覧表をご確認ください。
当社のEntrust TLS/SSL証明書は、どのサーバに対応していますか?
Entrust証明書は、業界標準とRFC、Entrustが証明書要件を提供するサーバベンダーに準拠しています。インストール中の特別な要件や問題については、こちらをクリックして、テクニカルサポートチームにお問い合わせください。
「Entrust Chain Certificate」(Entrust中間証明書)は必要ですか?
はい。有効期限の日付が2010年12月31日より後の証明書すべてに、中間証明書が必要です。すべての拡張検証証明書に中間証明書が必要です。補足情報については、こちらを参照してください。
Entrust Certificate Services(ECS)に追加のサポートを依頼するには、どのような方法で問い合わせたらよいですか?
Entrust Certificate Services(ECS)サポート部門に24時間年中無休でお問い合わせいただけます。ただし契約や問題の内容によって料金が発生する場合があります。詳細についてはこちらをクリックしてください。すべての電話連絡は24時間年中無休で応答を受け、精査の対象となります。
SSLサーバ証明書の導入の流れに関するご質問
認証(発行)手続きの発行までのフローを教えてください。
おおよその流れは以下のとおりです。
*手順3の申請情報を入力してから5〜10営業日程度お時間をいただいております(途中の作業状況に応じて変化いたします)
現金振り込みによる決済は可能でしょうか。
はい、可能です。お問い合わせフォームよりご依頼ください。お問い合わせフォーム
Webサイトへアクセスするためのコードは誰に送られるのでしょうか。
基本的にはご注文いただきましたご担当者様となります。こちらに関してはお見積書からのご発注の際に調整可能ですので担当営業までご相談ください。
ドメイン認証の有効期間は製品によってその適用期間は異なりますか?
ドメイン認証は一回認証されますと、OVの場合は27か月、EVの場合は13か月有効となります。
AWSサービスにて利用を想定しており、証明書をACMへインポートした後に、Cloud Frontへ配置する方法は?
AWSをご利用になられます場合、通常のサーバの手順と異なりまして、ルート証明書のインストールは不要でございますが、中間証明書が必要となります。
インストールの際に、CA証明書+中間証明書を証明書チェーンにまとめる必要があります。
この取り扱い方法につきましては、下記のAWSのサイト「CloudFrontでSSL/TLSの証明書を使用するための要件」をご参照願います。
https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html#https-requirements-intermediate-certificates
EV証明書の在籍認証で、Higher Authorityへの確認の電話を日時指定することは可能でしょうか?
日本語での対応をご希望の場合には、弊社の日本の認証チームの業務時間内であればご相談いただくことが可能ですので、事前に弊社窓口へご相談ください。
SSLサーバー証明書導入後の設定や変更に関するご質問
一部の組み込みのブラウザで信頼パスが構築できません。
この事象のため、ルート証明書が更新されています。この事象が発生する場合は、以下のURLをご参照いただき、ルート証明書の更新を行ってください。Entrust CA(2048)ルート証明書の更新:
https://www.entrust.com/ja/resources/certificate-solutions/tools/root-certificate-downloads
CMSの全権管理者(Super Administrator)を変更するにはどうしたらいいですか。
弊社にお電話、またはメールでお問い合わせください。お問い合わせフォーム
Microsoft Internet Explorerで「このWebサイトのセキュリティ証明書には問題があります」と表示されて通信できません。
Windowsアップデートを行ってルート証明書を更新してください。なお、一部のルート証明書の更新は「カスタム」(Windows XP)や「オプション」(Windows 7)から選択しないと更新されませんのでご注意ください。
事業統合で社名が変わります。証明書の社名も変えたいのですがどうしたらいいですか。
申し訳ございませんが異なる社名に変更する場合は、再度ご購入いただく必要があります。
証明書を失効したいのですが、どうしたらいいですか。
以下のURLから失効手続きを行ってください。
https://web.entrustdatacard.com/revoke-a-certificate/
私有鍵(秘密鍵)をなくしてしまったのですが、どうしたらいいですか。
CSRを再作成し、CSRとともに再発行手続き(私有鍵の紛失)を弊社カスタマーサポート宛にご依頼ください。お問い合わせフォーム
証明書の更新は、具体的にいつから受け付けているのでしょうか。
証明書の有効期限が切れる1か月前から手続きが可能になります。
証明書の更新期限は通知されますでしょうか。
通知されます。証明書の有効期限の1か月前と10日前にご案内メールをお送りさせていただいております。
証明書の再発行に関する条件はあるのでしょうか。
こちら(URL: https://www.entrust.com/get-support/ssl-certificate-support/ssl-certificate-replacement/)に各証明書ごとのポリシー(英語)が記載しておりますのでご確認ください。
既存の証明書の有効期限が切れる前に更新手続きをした場合、更新した証明書の有効期間はいつから起算されますか?
更新した証明書の有効期間は、既存の証明書の有効期限が切れた翌日から起算されます。(例えば、有効期限が切れる1か月前に1年の更新手続きをした場合、更新した証明書は1年1か月の間有効になります。)
ただし、証明書の有効期間はガイドラインにより上限が定められているため、398日を超える有効期間で発行することができません。
そのため、証明書更新時に残りの有効期間と更新期間の合計が上限を超える場合は、超えた分の有効期間が短くなります。
発行済の証明書にSANsを追加して発行したい
CMS発行のをお使いのお客様は、証明書発行後1か月以内ですと、CMS上でSANsの追加、再発行のお手続きが可能です。
また、証明書発行着1か月以上経過してしまった場合には、弊社のサポートにて対応いたしますので、新しいCSRと証明書の情報を弊社担当窓口へお知らせください。
Webサイトに証明書を導入して、サービスを開始しましたが、特定のエンドユーザから次のような警告が出てくる。
================================================== ==
証明書がありません。Chromeは証明書を要求しました。証明書を選択すると、今後、このアプリケーションがサーバからこのアイデンティティで認識されることを許可することとなります。
アプリケーションはリクエスト中のサーバをxxxxxxxxxx.jp:443と認識しました。このアプリケーションが信頼できる場合のみ証明書へのアクセスを付与してください。
===============================================
エンドユーザ環境:Galaxy Note 9/Android 8/Chrome
Webサーバへの証明書は正しくインストールされている前提で、証明書が相互認証が有効になっているWebサーバにインストールされている可能性があります。
当該サイトにアクセスする端末は、認証用のクライアント証明書を提供するようにも問えられますため、これらのモバイル端末の認証では使用できるクライアント証明書がないために、このエラーが発生しています。
相互認証が不要であれば、Webサーバ側の設定にて、この機能をオフにすることで、この問題を解消することができると思われます。
Secure Email証明書について
通信には、双方ともEntrustのS/MIME証明書である必要はありますか?
いいえ、どちらもX.509証明書(パブリックまたはプライベートもしくは任意のベンダー)であれば十分です。
暗号化 — 双方ともX.509 S/MIME証明書を必要とします。
署名 — 署名者のみが証明書を必要とし、検証者は必要ありません。
暗号化する際、証明書はどのように交換しますか?
証明書を管理する中央ディレクトリは存在しないため、暗号化を希望するユーザは、手動で証明書を交換する必要があります。これは通常、暗号化証明書を「収集」または収集する署名付きメールを受信者に送信することによって行われます。
Entrustはこれら秘密鍵のバックアップを、どのように保護していますか?
秘密鍵は、Entrustの安全な施設に保管され、顧客がご自身では用意不可能なセキュリティレベルによって保護されます。これは、私たちが公的な証明書ビジネスに利用するものと同じレベルのセキュリティです。物理的なセキュリティ(部屋へのアクセス)、論理的なセキュリティ(アクセスの二重管理)、ストレージのセキュリティ(CAキーで暗号化され、整合性が保たれている)を含め、CA鍵と同じレベルの保護が提供されています。EntrustのIT担当者がアクセスできるようなものではありません。
再発行された証明書は1年の有効期限を持ちますか?
いいえ、再発行は無料なので、元の証明書と同じ有効期限となります。更新の場合のみに新しい期間が提供され、その結果、別のライセンス/インベントリを使用します。
MS Office文書の署名に、S/MIME証明書を使用できますか?
はい、可能です。
このIDは否認防止を提供しますか?
完全に自動化された鍵のバックアップを提供するため、Entrustでは、Entrustサーバで秘密鍵を生成し、それをP12形式でエンドユーザに提供します。これは二重使用の単一キーペアであるため、署名鍵もクライアント側ではなくEntrustサーバで生成されます。これは否認防止を不能とするかもしれません。貴社の法務チームにご相談されることをお勧めします。
個人のメールアカウントを使用して、会社が購入した証明書を取得できますか?
いいえ。安全なエンタープライズクラスのEメール証明書はクラスII証明書であるため、Entrustは組織とメールドメインを検証します。管理者は、証明書要求を承認または拒否することができます。リクエストがEntrustによってアカウントで既に確認されているメールドメインと一致しない場合、証明書をリクエストすることはできません。したがって、「hotmail」または「gmail」が組織が所有するドメインであることを確認できないため、これらのタイプのメールアドレスにS/MIME証明書を発行することはできません。ただし、メールドメインは確認されないため、hotmailアカウントでS/MIME証明書を発行することはできます。
通信するには、送信側と受信側の両方にEntrust Secure Email証明書が必要ですか?
いいえ、どちらもX.509証明書(パブリックまたはプライベートの任意のベンダー)があれば十分です。
暗号化 — 両方にX.509 S/MIME証明書が必要です
署名 — 署名者のみ証明書が必要で、検証者には必要ありません
暗号化されている当事者間で証明書を交換するために、どのような方法が使われていますか?
証明書を公開する中央ディレクトリがないため、暗号化を希望するユーザは手動で証明書を交換する必要があります。よく使われる具体的手順は、送信者から署名済み電子メールを送り、送られた暗号化証明書を受信者が「収穫」または収集する方法です。
Entrustは秘密鍵のバックアップを保持していますが、どのような方法で秘密鍵を保護していますか?
鍵は一個人や一企業には実現困難な高度なセキュリティを完備したEntrustの自社施設で、安全に保管されています。Entrustが公開鍵証明書ビジネスで使用しているセキュリティ保護と同等の保護が施されています。物理的セキュリティ(部屋へのアクセス)、論理的セキュリティ(アクセスの二重管理)、ストレージセキュリティ(暗号化の上、CA鍵で完全性を確保)など、CA鍵と同等の保護が徹底されています。またEntrustのいかなるIT従業員も、アクセスできません。
再発行された証明書の有効期間は、1年間ですか?
いいえ、再発行は無料であるため、有効期限の日付は元の証明書と同じになります。有効期間が新しく設定されるのは、更新の場合に限られ、結果的に別のライセンス(インベントリ)を使用することになります。
MS Officeドキュメントの署名にセキュアEメール証明書を使用できますか?
はい、できます。
このIDはNon-Repudiationに対応していますか?
鍵バックアップを完全自動化するため、EntrustはEntrustサーバで秘密鍵を生成し、生成した秘密鍵をP12形式でエンドユーザに配信しています。1組の鍵ペアを2つの用途に使用するため、署名鍵はEntrustサーバーでも生成され、クライアントマシンでは生成されません。このためNon-Repudiationは無効になる場合があります。この件については、社内の法務部門とご相談ください。
会社が購入した証明書を個人の電子メールアカウントでも取得できますか?
いいえ。SMIME Enterprise証明書はクラスII準拠の証明書であるため、Entrustでは組織と電子メールドメインを検証します。管理者が証明書リクエストを承認または拒否します。Entrustがアカウント情報で確認し終えたメールドメインとリクエストが一致しない場合、証明書をリクエストできません。 つまり申告された「Hotmail」や「gmail」が組織の所有するドメインであることをEntrustが確認できないため、このタイプの電子メールアドレスではSMIME Enterprise証明書を発行できません。ただしSMIME Personal Certificateの場合、Entrustでは電子メールドメインを確認しないため、Hotmailアカウントで証明書を発行できます。
CMSの導入や設定に関するご質問
Super Adminは何名まで登録できますか。
デフォルトで2名まで登録が可能です。さらに追加のご必要がございましたら有償にて対応させていただきます。
CMS(Certificate Management Service)とは何ですか?
自社で証明書を年間複数所有されている団体様向けに管理ポータルサイトとしてご利用いただいておりますサービスになります。利用されるドメインさえ事前にご登録いただき認証され完了していれば購入されたライセンスを利用して証明書を即時で発行できます。
CMS(Certificate Management Service)にはどんな特長がありますか?
自社のドメインに紐づく証明書の発行のみならず、グループ会社の証明書のアカウントも追加して発行することができます。また他社の証明書の管理も可能です。
PoolingとNonPoolingの違いは何ですか。
Poolingは年単位で期間を購入して管理する方法で期間内に発行した証明書も残期間があればそれを他のFQDNの発行に再利用できます。NonPoolingは再利用の機能はないもののライセンスを購入いただいてから1年間にご利用いただければそこから1年間有効な証明書が発行され、有効期限までは証明書は利用可能です。
複数年の契約は可能でしょうか。
Poolingであれば最長5年までの契約が可能になります。一方でお支払いは契約時に一括でお支払いいただきます。
CMSで購入したインベントリの有効期間について
CMSで管理していただく証明書の在庫(インベントリ)の有効期間は、ご購入いただいてから1年間でございますので、ご利用にならないまま期間が過ぎますと、無効となります。
CMSのアカウントを作成の際、ドメイン、組織、Super Adminについて最大いくつまで無償で登録できますか?
ドメインは10個、組織は10団体、Super Adminは2名までは無償で登録でき、それ以上は有償になります。
CMSの契約は何年まで延長できますか?
Poolingは5年、NonPoolingは1年単位になります。ただし、Poolingの証明書も毎年証明書の更新作業は実施いただきます。
CMSで他CAが発行した証明書の管理はできますか?
CMSでは、外部証明書の情報を取り込んで、有効期限の管理をすることが可能です。外部証明書を管理するためには、別途「Foreign Cert Mgmt Licenses」が必要となります。
CMSは、日本語表示に変更できますか?
下記の方法で日本語表示に変更することができます。
[Administration] メニュー >
[Advanced Setting] を選択 > [Settings] > [Localization] を選択
[Account language:*] で [Japanese] を選択 > [Save]
で日本語に変わります。
CMSの承認担当者、全権管理者の登録メールアドレスに入力ルールはありますか。
承認担当者は個人アドレスで1個、全権管理者はグループでも個人でもOKで同じく1個のみ登録可能です。
各インベントリの使用目的について
Account Administrators:全権管理者あるいはサブ管理者の追加権限。1管理者追加毎に1インベントリが消費されます。
Organizations:最初にCMSに登録されたクライアント(プライマリークライアント)の配下に、複数の「組織」を追加できます。1組織追加毎に1インベントリが消費されます。
この場合、プライマリークライアントは以下に追加できる組織は、法的につながりのある組織(会社)に限ります。プライマリークライアント下で、任意の組織を選択して証明書を発行することができます。
法的につながりがない会社(資本関係がない等)の場合には、先般ご説明いたしました、別クライアントとして登録する必要があります。
*プライマリークライアント配下に、複数の組織を追加した場合、組織毎に証明書のインベントリを割り当てることはできません。
*プライマリークライアント配下に組織を追加することのメリットは、新たにその組織の認証が不要であることです(ただしOVの場合のみ)。
サイトシール
Entrustのサイトシールとは何か、使用するべき理由も合わせて教えてください。
個人情報のセキュリティ対策を徹底していることを訪問者に伝えるには、Entrust Secured SiteSealの使用が最適な方法です。Entrustのセキュアなサイトシールをクリックするだけで、訪問者はサイトの信頼性と証明書のステータスを検証できます。EntrustのセキュアなサイトシールをWebサイトに投稿しておくと、オンラインセキュリティへの取り組みをWebサイト訪問者にアピールできます。拡張検証を導入しない限り、顧客にとって接続の安全性を示す唯一の手がかりは、Webブラウザ下部に表示される小さなロックマークです。このロックマークのことを知らない顧客もいるかもしれませんが、セキュリティシールの表示で顧客に安心を届けることができます。いくつかの調査によると、サイトシールを使用している場合、ショッピングカートの放棄が減り、注文の完了が増えます。Entrustは十数年にわたって消費者、企業、政府の信用構築に貢献する多層防御ソリューションを提供し、信頼できるセキュリティブランドとして認められてきました。今こそこの実績あるブランドを顧客に示してみてはいかがでしょうか。
サイトシールを取得するにはどうすればよいですか?
すべてのEntrust証明書は、Entrustサイトシールと一緒に配布されます。証明書の注文が完了すると、証明書リクエスター(技術担当連絡先)にEntrustのサイトシールが届きます。Entrustのサイトシールは、紛失しても無料で再配布を受けることができます。
Entrustのサイトシールは、同じ会社がホストする別のサイトでも有効ですか?
いいえ、Entrustのサイトシールは特定の証明書専用に作成されています。Web証明書が生成された特定のサイト以外のサイトには適用できません。
Entrustのサイトシールにはインストール可能なバージョンが複数ありますか?
はい、Entrustは数個のパラメーターを提供しており、そのパラメーターで変更できます。Webページにコードを追加すると、同様のデザインに基づくサイトシールの選択肢を表示できます。サイズや色などが異なるシールが各種そろっています。EntrustのサイトシールのHTMLコードは、証明書を取得したページにあります。証明書取得メールを紛失した場合は、Entrust Certificate Services(ECS)までご連絡ください。情報を提供いたします。
Entrustのサイトシールにフランス語版はありますか?
はい。Entrustのサイトシールのフランス語版を取得するには、証明書を取得したページに移動し、フランス語オプションを選択します。専用コードが生成され、EntrustのサイトシールをホストするWebページにコードを追加できます。証明書取得メールを紛失した場合は、Entrust Certificate Services(ECS)までご連絡ください。情報を提供いたします。
Entrustのサイトシールを別のバージョンまたは新しいバージョンに変更するには、どうすればよいですか?
Entrustのサイトシールを別のバージョンや新しいバージョン変更するには、証明書を取得したページにアクセスする必要があります。さまざまなサイトシールの選択肢が表示されます。お好みのシールを選択すると、相応のバージョンが生成されます。新しいシールをホストするWebページにこのコードを使用しましょう。証明書取得メールを紛失した場合は、Entrust Certificate Services(ECS)までご連絡ください。情報を提供いたします。
Entrustドキュメント署名証明書
Entrustドキュメント署名証明書とは、どのようなものですか?
Entrustドキュメント署名証明書でユーザは、Adobe®とMicrosoft Office®のドキュメントにデジタル署名を施すことができます。視覚的な信頼性インジケーターは、発行者の身元を証明し、ドキュメントが改ざんされていないことを確認します。複数のユーザで、複数人の署名を必要とする機密文書を認証できます。リアルタイム保証では、初回だけでなくドキュメントが存続する間いつでも、ドキュメントの信頼性を検証できます。
ドキュメント署名証明書を取得する手順は、どのような内容ですか?
以下の簡単な手順に従ってください。
手順1:お客様に適したDSC証明書を選択します。
手順2:[Buy Now](今すぐ購入)ボタンをクリックして、購入プロセスを開始します。承認担当連絡先、請求担当連絡先、技術担当連絡先の情報をお手元にご用意ください。おそらくドメインと会社の情報も必要になります。
手順3:Entrustが情報の検証プロセスを開始します。Entrustの厳格な検証プロセスでは、場合により、情報を検証する電話や信頼できる第三者の調査も行われます。検証が終わると、HSMモジュールの証明書が必要な場合を除き、USBのセキュリティトークンが発送されます。
手順4:セキュアなUSBトークンを受け取ったら、トークンを初期化するソフトウェアパッケージをインストールする必要があります。完了すると、証明書がトークンにインストールされます。詳細についてはお問い合わせください
その仕組みとは?
認定文書作成に関心がある執筆者は、Entrustに登録できます。登録者の身元情報の検証が終わると、Adobe® や Microsoft® の製品で使用し、信頼されたデジタル署名をドキュメントに使用するためのデジタルIDが執筆者に提供されます。ドキュメント署名証明書を開くと、すぐにドキュメント上部に信頼を保証する文言が表示されます。目に見える証(視覚的な信頼性インジケーター)があるため、受信者はドキュメントを開くたびに署名の信頼性とともに、署名時以降にドキュメントが変更されているかどうかを検証できます。 受信者が使用しているソフトウェアソリューションとバージョンによって具体的な文言は異なる場合がありますが、一般的には次のように表示されます。
ドキュメント署名証明書をダウンロードして署名するためのシステム要件は何ですか?
証明書に使用されているSafeNetソフトウェアは現在、Windows OSとのみ互換性があります。ユーザは初期化後にInternet Explorerを経由して証明書をダウンロードできます。
証明書のダウンロード要件:
証明書署名要件:
表示要件:
認定付き証明書と署名入り証明書の違いは何ですか?
主な違いは、認定付きドキュメントでは、次の追加機能を実行できる点です。フォーム入力など、ドキュメントに若干の変更を加えることができます。しかも検証は中断されません。Acrobat Sandboxが有効な状態でも検証でき、無効な状態で使用するとJavaScriptを使用できます完全性と信頼性の観点では、認定付き証明書と署名入り証明書に違いはありません。
Entrustドキュメント署名証明書の有効期限が切れた場合、署名入りドキュメントはどうなりますか?
ほとんどの場合、署名は証明書の有効期限が切れても無効にはなりません。最初に署名した後、長い間、ドキュメントの有効性が維持されます。ただし使用ソフトウェアの方で、署名の有効期限が切れるように設定されている場合があります。その場合は、設定された期間のみ有効な署名となります。
登録者と所属組織への精査とは、どのようなものですか?
ドキュメント署名証明書を発行する前に、登録者の適切な身元を確認するため、登録者は厳格な検証プロセスで精査されます。Entrustでは次の検証プロセスを実行します。個人(所属組織なし):所属組織のない登録者は、ドキュメント署名証明書で個人名のみが特定されます。FAXまたはスキャンファイルでお送りいただいた政府発行のIDをEntrustが確認します。個人の電話番号は、信頼できる第三者情報源から提供を受けます。見つかった電話番号で加入者に通知が入ります。検証メールで、共有秘密を使って加入者のメールアドレスを確認します。
組織内の個人または役割:今度は組織に所属する個人の証明書です。個人名と組織名の両方が証明書で特定されます。信頼できる第三者情報源を使用して、該当する組織の法的存在の確証をEntrustが取得します。電話番号は、第三者の登録簿から取得します。組織の代表者(OR)に電話連絡してORの雇用実態を照合し、加入者に付与されている権限の裏付けを取ります。加入者への電話連絡で、リクエストを裏付けます。Entrustが共有秘密を使い、加入者のメールアドレスを確認します。登録される組織の代理人として別の組織が証明書を注文している場合:この場合、証明書は証明書に記載された組織のものとなります。個人の名前は証明書に表示されませんが、次の形で1人が証明書の鍵のカストディアンに割り当てられます。信頼できる第三者情報源を使用して、該当する組織の法的存在の確証をEntrustが取得します。電話番号は、第三者の登録簿から取得します。組織の代表者(OR)に電話連絡してORの雇用実態を照合し、鍵のカストディアンに付与されている権限の裏付けを取ります。鍵のカストディアンへの電話連絡で、リクエストを裏付けます。組織の電子メールドメインをEntrustが検証します。Entrust Cloud:Entrust Cloudのお客様の場合、検証には、ローカル登録局(LRA)の役割を果たす管理者の承認も必要です。 信頼できる第三者情報源を使用して、該当する組織の法的存在の確証をEntrustが取得します。電話番号は、第三者の登録簿から取得します。組織の代表者(OR)に電話連絡してORの雇用実態を照合し、LRAが付与されている権限の裏付けを取ります。組織の代表者(OR)に電話連絡してORの雇用実態を照合し、鍵のカストディアンに付与されている権限の裏付けを取ります。組織の電子メールドメインをEntrustが検証します。
どんな証明書がありますか?
Entrustは次の4種類のドキュメント署名証明書を発行しています。
個人の署名証明書:
手動:この証明書は、ドキュメントに都度署名と認証を施すことを希望する個人向けです。たとえばワークフローの承認、法的文書、契約書、公式文書に使用します。氏名と電子メールアドレスが署名の記載内容と一致する個人が、その証明書の正当な所有者となります。この証明書はセキュアなトークンの形で販売されています。
グループ署名証明書:
手動:このドキュメント署名証明書は、グループを代表してドキュメントに署名と認証を施すことを希望するグループ向けです。この証明書はセキュアなトークンの形で納入されます。署名には個人名ではなく組織のグループ名と電子メールアドレスが表示されます。都度発行用です。たとえば営業部門が、提案依頼書やRFP回答書に署名すると決定した場合に使用します。
グループ署名証明書:
自動:このドキュメント署名証明書では、手動のグループ署名証明書と同じ署名プロパティが表示されます。違いは、こちらが自動化されたプロセス(通常はAdobe® LiveCycle)でドキュメントへの署名と認証を施すために用意されている点です。この署名の一般的なユースケースには請求書、口座明細書、記録のリクエストや確認などがあります。
Enterprise Signing Certificates:
自動:企業ユース向けのEnterprise Signing Certificatesでは、署名プロパティに個人やグループの名前ではなく、企業名が表示されます。
なぜ特別なハードウェアが必要なのですか?
ドキュメント署名証明書のプロバイダー要件に、秘密署名鍵のセキュリティ確保が含まれています。Adobe製品はデジタル署名技術を活用して、証明を受けたPDFドキュメントが本物であること、つまり指定された作成者が発行したドキュメントであり、作成者が署名したドキュメントの内容が作成後に変更されていないことを受信者に保証します。このため秘密鍵をFIPS準拠の暗号化トークンで生成し保管することで、鍵の複製を不可能にし、結果としてNon-Repudiationのソリューションが維持されます。Entrustは個人証明書、グループ証明書の両方で、証明書を販売するとき、FIPSで検証された暗号化USBトークンを商品の一部として納入しています。この鍵はパスワードで保護されていますが、アプリケーションに署名すると簡単にアクセスできます。Enterpriseデジタル署名の場合、組織は、FIPSに準拠しているHSM(ハードウェア セキュリティ モジュール)に証明書をダウンロードできます。
Entrust ドキュメント署名証明書には、どの製品が対応していますか?
バージョン9以降のAdobe AcrobatとAdobe Readerすべて、サポート対象のWindowsバージョンで実行されるMicrosoft Office製品すべてに対応しています。Libre、Open Office、Bluebeamについてはテストを保留中
他のクライアント証明書とは、何が違いますか?
デジタルドキュメントの検証や署名ができるソフトウェアを展開した組織内では、大半のクライアント証明書が適切に機能します。PKIのお客様は通常、デジタル署名を適用し、組織内の同僚から検証を受ける機能を装備しています。問題は、組織外とのドキュメント交換で発生します。受信者側に署名検証技術も署名検証技術を構成するスキルもないことは、少なくありません
ところがEntrustのドキュメント署名証明書は、広く一般に普及しているAdobe® Readerの埋め込み技術で証明書を検証できる点が異なります。すぐに利用できるアプリケーションと大半のデスクトップで署名を操作できる利点は、証明書を読む訪問者側に、ソフトウェアの構成や特別なスキルが不要な点です。さらにEntrustドキュメント署名証明書の場合、Microsoft Office製品で作成されたファイルと同様に、他のOfficeドキュメントでも使用できます。
Entrustドキュメント署名証明書は、再発行できますか?
Entrustドキュメント署名証明書は、ご購入から30日以内は同じIDに対し再発行できます。パスワードを忘れた場合、トークンを紛失した場合(トークン交換には管理手数料がかかります)、鍵が侵害された場合、担当者が退職して組織を離れた場合には、証明書が再発行される可能性があります。加入者が組織を離れた場合は、鍵を再発行せず、失効させる必要があります。
証明書の再発行を、Entrust Cloud TLS/SSL Enterpriseで提供しているサーバーベースのTLS/SSL証明書のリサイクル機能と混同しないでください。 TLS/SSL Enterpriseサービスをご利用の場合、管理者は証明書のいずれかを失効させ、別のサーバーの証明書として再発行できるため、証明書の在庫が枯渇することはありません。 このTLS/SSL Enterpriseの機能は、Entrustドキュメント署名証明書電子証明書ではご利用いただけません。
証明書にはどのような情報が含まれていますか?
証明書の情報は、証明書の種類によって異なります。
認定付き署名と承認用署名の違いは何ですか?
認定付きのドキュメントは、ドキュメントの内容を証明し、一切内容に変更がないことを認定します。ドキュメントに証明機能を持たせる時点で、どのような変更であればドキュメントに加えても認証が無効にならないかを、作成者が指定できます。具体的には次の形式を取ります。
Multi-Domain EV TLS/SSL Certificates
「拡張検証」とは何ですか?
「拡張検証」とは、TLS/SSL証明書を発行する前にCAが使用する業界標準の厳格な検証方法を指します。 拡張検証のガイドラインは、CA/Browser Forumから公開されています。
EVマルチドメイン証明書(EV TLS/SSL証明書)とは、どのような製品ですか?
CA/Browser Forumという業界コンソーシアムが作成した『Extended Validation(EV)TLS/SSL Certificate』(拡張検証(EV)TLS/SSL証明書)。この新しいカテゴリの証明書は、オンライントランザクションに対する消費者の信用を深めることを目的として、フィッシング攻撃の脅威の高まりに対応して考案されました。EV証明書は、厳格なID調査でWebサイトの検証が完了したWebサイトにのみ発行されます。各種のWebブラウザは、オン/オフの差がわかりやすくユーザの目を引く高度なID保証を採用することになるでしょう。例としては、Internet ExplorerやMozilla Firefoxで採用している緑色のアドレスバーや、最新バージョンのOperaやGoogle Chromeで採用している高度な緑色のインジケーターなどが挙げられます。
CA/Browser Forumとは何ですか?
CA/Browser Forumは、フィッシングの脅威を軽減する方法を検討するために、認証局のサービスプロバイダー、Webブラウザ開発業者など、業界からの参加者で結成された団体です。Entrustは以前、この団体の議長を務め、その活動を強力に後押ししています。詳細については、CA/Browser ForumのWebサイトを参照してください。
Entrust Multi-Domain EV TLS/SSL Certificateで、消費者の信用がどのくらい高まりますか?
多数の悪意のあるフィッシングインシデントやオンライン詐欺により、消費者は個人情報の盗難を懸念しており、個人データを入力するサイトが信頼できることを改めて確認したいと考えています。消費者がサイトを信頼できないと感じ、個人情報が暗号化されていない場合、消費者はそのサイトを離れて別のベンダーで取引を行います。Entrust Multi-Domain EV TLS/SSL Certificateは、消費者のオンライントランザクション操作中、目を引くなじみ深い信頼性インジケーターを表示する形で、消費者の信用を深める効果があります。これで、ロックマークがブラウザウィンドウの下部ではなく上部に表示されるようになりました。またWebサイトにEntrust Multi-Domain EV TLS/SSL Certificateがインストールされている場合、アドレスバーの色が緑色で表示され、サイトのIDとCertificate Authorityの名称が表示されるため、消費者に安心して買い物を楽しめるサイトであることをアピールできます。
Entrust EV TLS/SSL Certificateを購入できるのは?
現在、幅広い事業体がEV証明書でカバーされています。
Entrust Multi-Domain EV TLS/SSL Certificateを購入するには、どうすればよいですか?
Entrust Multi-Domain EV TLS/SSL Certificateの初回購入は、Entrust Certificate Services(ECS)のWebサイト( https://www.entrustdatacard.com/products/categories/ssl-certificates)から、次回以降はより大きな証明書プールを管理するお客様向け拡張インターフェイスからお申し込みいただけます。
既存のEntrust TLS/SSL Certificateから新しいEntrust Multi-Domain EV TLS/SSL Certificateにアップグレードできますか?
はい。これらのプロモーションをご利用になるお客様は、証明書を発行する前に、新しいEVガイドラインに基づく検証を終える必要があるためご注意ください。
Entrust Multi-Domain EV TLS/SSL Certificateの最大有効期間はどのくらいですか?
Entrust Multi-Domain EV TLS/SSL Certificateの有効期間は最大1年間(13か月間)です。
Entrust Multi-Domain TLS/SSL Certificateと現在のEntrust SSL証明書の差は何ですか?
最も重要な違いは、Entrust EV TLS/SSL Certificateの発行準備です。Entrust TLS/SSL証明書はすべて、発行前にEntrustがリクエスターのIDを「精査」または検証のためにチェックします。
新しいEVモデルでは、Entrust Multi-Domain EV TLS/SSL Certificateをリクエストしているエンティティ(企業やサイト運営者など)に対し、CA/Browser Forumが定義する業界標準のガイドラインに沿った検証が施されます。これは、認証局ごとに検証基準が大きく異なるという点で、現在の運用方法とは異なります。 認証局の大半は通常、厳格な検証業務を実践しているものの、一部の例外が、消費者取引を保護するTLS/SSLの全体的なセキュリティレベルを引き下げています。
「拡張検証」を経て発行される証明書には、EV固有の証明書ポリシーへの参照が組み込まれています。各認証局には、固有のポリシーとポリシーのオブジェクト識別子(OID)が存在しています。EVをサポートするブラウザは、認識したEVポリシーOIDに基づいて発行された証明書に遭遇すると、異なる動作を見せます。
Entrust Multi-Domain EV TLS/SSL Certificateが、技術的には標準のX.509証明書と同じであり、古いブラウザとの下位互換性を備えている点に注目してください。Entrust Multi-Domain EV TLS/SSL Certificateには、法人設立管轄区域も含め、対象(証明書の発行対象であるエンティティ)に関する詳細情報が含まれます。
現在利用しているEntrust TLS/SSL証明書でも、十分にオンライントランザクションを保護できますか?
暗号化の観点から出る答えは「はい」です。現在のEntrust TLS/SSL証明書でも引き続き暗号化されたTLS/SSL通信が使用されます。ただし、オンライントランザクションに対する最大の脅威は、根本的には暗号化ではなく、フィッシングです。フィッシングは、信頼できるサイトと偽サイトを見分ける能力がない消費者を食い物にしています。
EVイニシアチブは、消費者がこれを容易に見分けられるようにすることを目的としています。消費者は続々と新しいブラウザを採用しており、トランザクション中はEntrust Multi-Domain EV TLS/SSL Certificateによって強力な信頼性インジケーターが表示されることを期待していることを踏まえると、使用感の観点から、非EV型証明書は減っていくでしょう。
Entrust Multi-Domain EV TLS/SSL Certificateに切り替えるべきですか?
eコマーストランザクションを実行するWebサイトを運営している場合、または機密情報や個人情報を収集する場合は、Entrust Multi-Domain EV TLS/SSL Certificateへの切り替えを検討する必要があります。
フィッシング攻撃は、消費者がインターネットに寄せる信頼を損なう真の脅威です。Entrust Multi-Domain EV TLS/SSL Certificateは、広く展開され、そして使用されて初めて、ソリューションの一部として機能します。
証明書が無効なWebサイトまたはフィッシングサイトにアクセスした場合、ブラウザはどのように応答しますか?
応答はブラウザの種類によって異なる場合があります。しかし一般的には、既知のフィッシングサイトにアクセスしたときに、アドレスバーが赤色に表示されます。赤色の警告は、報告されたフィッシングサイトへの即時アクセスをブロックしますが、ユーザは必要に応じてサイトに移行することができます。赤色のアドレスバーは、証明書に問題があるか、信頼できる認証局から発行されたものではない可能性を示唆している場合もあります。
Internet Explorerでは、ユーザの目を引く警告が表示され、そのページへのアクセスを避けるよう促します。ユーザが警告を無視して続行すると、アドレスバーが赤に変わり、赤い「セキュリティバッジ」警告が表示されます。
Webサイトを運営している者です。 Entrust Multi-Domain EV TLS/SSL Certificateを導入すると、具体的に何が変わりますか?
Webサイト運営業者の立場から考慮すべき変更点がいくつかあります。たとえば証明書に次のような加入者情報が記載されることになります。
一部のCSR生成ツールでは、この情報を証明書に追加できない場合があります。ただし、証明書の発注手続きが完了した時点で、Entrustが該当する情報をEntrust Multi-Domain EV TLS/SSL Certificateに追加することもできます。ワイルドカード証明書は、証明書の必要購入数に影響を与えかねないため、EV規格では、ワイルドカード証明書の使用が認められていないことにご注意ください。
Entrust Multi-Domain EV TLS/SSLのワイルドカード証明書を取得できますか?
いいえ、EV TLS/SSLガイドラインではワイルドカード証明書は許可されていません。状況によっては、subjectAltName拡張機能でもワイルドカード証明書と同じ利点を得ることができます。EVガイドラインで許可されています。
Entrust Multi-Domain EV TLS/SSL Certificateの失効手続きが取られるのは、どのような場合ですか?
次のいずれかの事態が発生した場合、Entrustは発行したEntrust Multi-Domain EV TLS/SSL Certificateの失効手続きを義務付けられています:
EntrustのEV証明書の問題の報告方法と対応能力は、どのようになっていますか?
レポート以上のいずれかの理由でEntrust Multi-Domain EV TLS/SSL Certificateの失効を要望される場合、オンライン申し立てフォームで情報を提供する形で、Entrustにご連絡いただけます。Entrust Multi-Domain EV TLS/SSL Certificateの加入者、証明書利用者、アプリケーションソフトウェアベンダーなどの第三者は、Entrustのオンライン申し立てフォームを使用してEntrustにお問い合わせいただけます。このフォームでは、EV証明書の失効手続きをリクエストするほか、関連する苦情、秘密鍵の侵害、EV証明書の濫用などの詐欺行為、不正アクセス、不正な使用や行いの疑いを報告できます。
調査
Entrustはどの「Certificate Problem Report」(証明書問題報告)についても、受け付けから24時間以内に調査を開始し、失効などの対応の適否を判断します。以下はその判断基準の一例です。
回答
Entrustは、優先度の高い「Certificate Problem Report」(証明書問題報告)には社内スタッフがいつでも対応できる体制を24時間年中無休で維持しています。必要に応じて、法執行機関が介入するべき申し立ては法執行機関に取り次ぎ、失効させるべきEntrust Multi-Domain EV TLS/SSL Certificateは失効させます。
クラウド
Entrust Certificate Services(ECS)とは?
Entrust証明書サービス(CMS管理ポータル)には、TLS/SSL証明書の調達と管理の合理化に役立つセルフサービスツールが付属しています。 この一元管理されたセルフサービスシステムは、有効期限通知を発行し、お客様が24時間365日いつでも証明書を発行できる体制を整えることで、証明書が意図せず有効期限切れとなるリスクや煩雑な管理の手間を軽減します。 Entrust Certificate Services(ECS)には次のような利点があります。Entrust Certificate Serviceのライセンスを取得するには、どうすればよいですか?
Entrust Certificate Serviceのライセンス付与オプションは2種類、サブスクリプションとユニット購入です。
サブスクリプション:サブスクリプションの期間中、特定数の証明書を同時に管理できます。サブスクリプション アカウントでは、証明書の有効期限として具体的な日付を選択し、証明書ライセンスを再利用することで最大限まで活用できます。アクティブでなくなるか、有効期限切れになった証明書分のライセンスは、後で再使用できるようにインベントリに戻されます。サブスクリプションライセンスでは、サブスクリプションの有効期限が切れると、証明書を使用できなくなります。
ユニット:特定の年数、特定数の証明書、ライセンス(ユニット)を管理できます。ユニットを使用すると、1~4年間の期間で証明書を発行できます。ユニットはご購入から1年以内に使用する必要がありますが、展開時期とは無関係に、証明書の有効期間中はずっと使用できます。
Entrust Certificate Services(ECS)を購入するにはどうすればよいですか?
Entrust Certificate Services(ECS)は、www.entrust.netでオンライン購入するか、以下の連絡先を使用し、Entrustの営業担当者までお問い合わせください。
電話:1-888-690-2424(北米内からは通話料無料)
電話:1-613-270-3411(北米外からの場合)
メール: [保護されたメールアドレス] Entrust Certificate Services(ECS)は、発注書(PO)またはクレジットカード(Visa、MasterCard、American Express)でご購入いただけます。
Entrust Certificate Services(ECS)に登録するにはどうすればよいですか?
オンライン購入の場合は、所定の注文プロセスで登録情報を提供する必要があります。注文書でご購入の場合は、お申し込みのサービスに登録する手順が電子メールで届きます。登録手続き中に次の情報をご提供いただく必要があります。会社名、ドメイン情報、管理者(1人以上)、承認担当連絡先、技術担当連絡先、請求担当連絡先。この情報は、アカウントを作成し、ユーザのログイン資格情報を設定するために使用します。
クライアントの証明書をセルフサービスで管理できますか?
はい、ご担当のクライアントの証明書はリクエストできます。まだお持ちでない場合は、必ずEntrustからクライアント企業名をご購入のうえ、開始してください。Entrustがクライアントリクエストの情報をすべて検証できるように、Entrustからクライアント様に連絡します。またお客様が代理人として証明書の管理権限を認められている事実をクライアント様に確認します。
アカウントに有効期限はありますか?
はい。サブスクリプション アカウントの場合、サブスクリプションの内容に応じて、アカウントに初めてサインインした日付から1年後、2年後、または3年後がアカウントの有効期限となります。有効期限日は、Entrust Certificate Services(ECS)にログインすると、[Contract Information](契約情報)ページで確認できます。ユニット(サブスクリプション以外)をご購入のお客様のアカウントは、最も新しい証明書ユニットのご購入日から1年後が有効期限となります。有効期限の日付から約1か月10日前に、Entrust Certificate Services(ECS)からメール通知が届きます。
サービスにログオンするアカウント資格情報を取得するには、どうすればよいですか?
サービスへのご登録時に、Entrustから各技術担当連絡先にアカウントのログインIDを設定する手順をお伝えします。 ID設定後は必ずhttps://cloud.entrust.net/でログインしてください。
Entrust証明書管理サービスを更新するにはどうすればよいですか?
サービス更新については、以下の連絡先を使用し、Entrust営業担当者までお問い合わせください。
電話:1-888-690-2424(北米内からは通話料無料)
電話:1-613-270-3411(北米外からの場合)
メール: [保護されたメールアドレス]
Entrust Certificate Services(ECS)ではどのような種類の証明書が提供されていますか?
Entrust Certificate Services(ECS)は、TLS/SSL要件を満たすべく、複数の証明書製品タイプを取りそろえています。 製品例を挙げると、 Standard OV TLS/SSL、Advantage OV TLS/SSL、拡張検証(EV)、Unified Communications(UC)、Wildcard OV TLS/SSL certificateなどがあります。 各証明書の詳細については、以下を参照してください。https://www.entrustdatacard.com/products/categories/ssl-certificates
http://www.entrust.net/knowledge-base/technote.cfm?tn=7127。
当社の環境内にTLS/SSL証明書をインストールするにはどうすればよいですか?
証明書のインストール手順については、[Supported Web Servers](対応Webサーバー)ページにアクセスし、お使いの環境に沿ったWebサーバーを選択してください。注意:Entrustからはカスタムアプリケーションに関するドキュメントやサポートを提供していません。
Entrust Extended Validation TLS/SSL Certificateとは、どのような製品ですか?
Extended Validation(EV)TLS/SSL Certificateは、CA/Browser Forumと呼ばれる業界コンソーシアムによって作成された比較的新しいカテゴリのTLS/SSL証明書です。 このカテゴリの証明書は、フィッシングや中間者攻撃の脅威の台頭に呼応し、オンライン トランザクションに対する消費者の信用を深めるために考案されました。 EV証明書は、厳格なID調査でWebサイトの検証が完了したWebサイトにのみ発行されます。 各種のWebブラウザは、オン/オフの差がわかりやすくユーザの目を引く高度なID保証を採用することになるでしょう。一例を挙げると、Internet Explorer 7、Firefox 3、Opera 9.5 EV Certificateで採用している背景が緑色のアドレスバーに加入者名も表示する機能は、Entrust Certificate Services(ECS)でも利用できます。
Entrust Certificate Services(ECS)に追加のサポートを依頼するには、どのような方法で問い合わせたらよいですか?
ご不明の点については、米国東部標準時で月曜日から金曜日の午前8時から午後6時までの間に電話(北米内からは866-267-9297、北米外からは1-613-270-2680)でEntrust Certificate Services(ECS)サポートまでお問い合わせください。東部標準時。 またメールで次のアドレスにお問い合わせいただくこともできます。[保護されたメールアドレス]
ディスカバリー
このソリューションの検出対象は、TLS/SSL証明書だけですか?
Entrust Discoveryは、ネットワークサービスで公開されている証明書をすべて検出します。つまりポートのIPアドレスを保護している証明書があれば、その証明書は検出できます。TLS/SSL証明書、デバイス証明書なども対象です。
Entrust証明書の管理は無料ですが、Entrust以外で管理されている証明書をEntrust証明書に切り替えた場合、使用済みライセンスのクレジットを取得するにはどうすればよいですか?
Entrust証明書に切り替えてから、Discovery Agentを再実行し、結果がManagerにインポートされていることを確認する必要があります。Managerは補充を検出し、その時点でライセンスのクレジット数を追加します。
クラウドモデルとオンプレミスモデルに機能的な違いはありますか、それとも同じソフトウェアですか?
クラウドモデルはシングルサインオンを提供する一方、構成する項目(メール送信者、ライセンス付与)が若干少なくなりますが、それ以外は同じ製品です。
当社や当社の顧客の事業所内にDiscovery Agentをインストールする必要があるのはなぜですか?
内部IPアドレスを照会するには、事業所内に照会先が常駐している必要があります。事業所内にDiscovery Agentをインストールすることで、内部と外部の両方に対応した証明書を検出できます。
Discovery AgentはどのOSに対応していますか?
Discovery Agentは、Linux Red Hat 5.5以降とWindows(XP、7、2003、2008の32ビット版および64ビット版)に対応しています。
エージェントをバックアップする必要がありますか?
いいえ。エージェントをアンインストールしたり、実行中のマシンを紛失したりした場合も随時、エージェントを再インストールしてスキャンを再実行できます。失われるのは精々まだManagerにアップロードされていなかったスキャンの保存データや検出データです。エージェントの削除を計画している場合は必ず、先にManagerへのエクスポートを済ませてください。
証明書登録
Entrust Server Certificateの申請にはどのような準備が必要ですか?
EntrustがTLS/SSLまたはWAPサーバー証明書の申請を効率的に処理できるように、次の情報がそろっていることを確認してください:
承認担当連絡先(組織の代理人として証明書をリクエストする権限のある、組織の役員)。Entrust Server Certificateに関して必要な情報があった場合、この担当連絡先に問い合わせが入ります。
技術担当連絡先(証明書が発行されたとき、証明書を受け取り、証明書の更新と更新について通知を受ける人物)。技術担当連絡先は通常、証明書がインストールされるWebサーバーまたはWAPサーバーの日常的な操作を担当します。サーバーを第三者またはISPがホスティングしている場合は、その組織内の誰かが技術担当連絡先として登録されている必要があります。
請求担当連絡先(Entrust証明書の購入に関するすべての請求情報を受け取る人物)。
Entrust Certificate Services(ECS)では、小規模な組織(従業員25人以下)のニーズにより適切に対応するため、技術担当連絡先と承認担当連絡先を同じ人が兼務してもかまいません。従業員が25人を超える組織では、個別に窓口を指定する必要があり、個別の担当者が指定されていない場合は、検証プロセスで申請が却下されてしまいます。
Entrust証明書に必要なEntrust検証プロセスとは何ですか?
Entrust Server Certificateの申請には、次の情報をご用意ください。
申請書を送信すると、次の情報が精査されます。
オンライン同意書
技術担当連絡先の勤務先が下請け会社(ISPなど)の場合、Entrust Certificate Services(ECS)から承認担当連絡先に同意書を転送します。この同意書により承認担当連絡先は『CPS and Subscription Agreement』(CPSおよびサブスクリプション同意書)をすべて読み、条件に同意したと見なされます。
検証にはどのような方法が使用されますか?
証明書の手続きのため、Entrust Certificate Services(ECS)が以下を検証します。
Entrustが第三者の電話番号情報源を要求する理由は何ですか?
Entrustがエンティティに対してTLS/SSL証明書を発行すると、その証明書はEntrustのルート証明書の信頼を使用します。このルート証明書は、クライアントがインターネット経由でWebサイトにアクセスするとき使用するインターネットブラウザに埋め込まれています。証明書の発行をもってEntrustは、この証明書がインストールされているサイトにアクセスするクライアントに対して、そのサイトで送信される情報は、証明書で特定されている正当な事業体に安全な方法で送信されていると信頼できることを証明します。この確認は、次の検証に必要なEntrustのデューデリジェンスの一環です。
以上の要領で適切に組織を検証するには、Entrustまたはその検証エージェントが、第三者の有効な電話番号情報源を通じて、その組織に連絡できる必要があります。この要件により、Entrustは確実に適切な組織に連絡し、必要な権利証明情報を取得できます。またこの手続きでEntrustは、証明書をリクエストしている個人が組織の代理人として証明書をリクエストする権限を得ていることを確認できます。以上の手順を踏むことで、TLS/SSLまたはWAP証明書で組織名が不正使用されないよう組織を保護できます。
第三者の電話番号情報源とは何ですか?
第三者の電話番号情報源とは、企業または個人の登録電話番号を掲載している公開資料です。第三者情報源の例としては、電話番号案内(555-1212または411)、電話帳(ホワイトページまたはイエローページ)、オンライン電話帳があります。
技術担当連絡先にはどのような人物が適していますか?
技術担当連絡先は、証明書が発行されると証明書を受け取り、証明書の更新と更新に関する通知も受け取ります。技術担当連絡先は通常、証明書がインストールされるWebサーバーまたはWAPサーバーの日常的な操作を担当します。サーバーを第三者またはISPがホスティングしている場合は、その組織内の誰かが技術担当連絡先として登録されている必要があります。Entrustは、同意書を承認担当連絡先に転送します。同意書では、技術担当連絡先が認定機関に雇用されていることと、承認担当連絡先がCPSおよびサブスクリプション契約の条件をすべて読み、同意したことを確認します。
承認担当連絡先にはどのような人物が適していますか?
承認担当連絡先には、組織の代理人として証明書をリクエストする権限のある、組織の役員を指定する必要があります。この担当連絡先は、発行時に証明書のコピーを受け取り、リクエストの処理に必要な情報が不足しているとき連絡を受けます。
承認担当連絡先に連絡するのはなぜですか?
EntrustまたはDun & Bradstreetが承認担当連絡先に電話し、技術担当連絡先が雇用されている事実を検証します。
申請中に [Invalid CSR](CSRが無効です)というメッセージが表示された場合、どうすればよいですか?
[CSRs FAQs](CSRに関するよくある質問)セクションを参照してください。
Entrustがドメイン名を確認する必要があるのはなぜですか?
CA/ブラウザフォーラムの要件に従い、Entrustおよびすべての認証局は、ドメインまたはWebサイトを保護するために証明書を発行する前に、サブスクライバーに所有権とドメイン制御を提示するように要求する必要があります。これにより、Entrustが、許可されたドメイン所有者に証明書を発行していることが保証されます。Entrustは、ドメインの所有権と制御の証明を検証するために、次の2つの主要な方法を使用します。
申請のステータスを確認するには、どうすればよいですか?
Entrustは、申請のステータスを確認するクライアント用オンラインフォームをご用意しています。このフォームは、[Customer Order Tracking](注文履歴確認)ページにあります。注文番号の入力が必要です。注文番号はオンライン申請中に採番され、該当する申請に関する通知メールの件名に表示されています
Entrust証明書の取得には、どのくらいの期間がかかりますか?
当社の標準のグローバルSLAは3~5営業日です。申請時に提供された情報に不備があった場合(その組織が、申請したドメインの所有者ではなかった場合など)は、処理期間が長くなるか、申請が却下されます。
Entrust Server Certificateの申請が承認されたか却下されたかを確認するには、どうすればよいですか?
検証プロセスが完了すると、Entrustから通知が入ります。申請が承認された場合は、通知メール(技術担当連絡先と承認担当連絡先に送信)に記載のURLにアクセスすると、Entrust Server Certificateを取得できます。
申請が却下された場合は、どうすればよいですか?
Entrust証明書の申請が却下された場合は、Entrust Certificate Servicesサポートチームと連携し、新しい申請書の提出に向けて最適な方法を検討することができます。申請が却下される主な理由は次のとおりです。
Dun & BradstreetのD-U-N-S番号とは何ですか?
Dun & BradstreetのD-U-N-S番号とは、Dun & Bradstreetが固有の事業体を識別し、D&B製品にアクセスし、関連するエンティティとデータをリンクするために割り当てた非表示の番号です。
D-U-N-S番号がなくても、注文は処理されますか?
Entrust TLS/SSL証明書の申請にDun & BradstreetのD-U-N-S番号は必要ありません。組織にD-U-N-S番号がある場合、指定することで組織の検証、ひいては注文の検証にかかる時間を短縮できます。
Entrust TLS/SSL証明書を受け取るには、どうすればよいですか?
注文処理が完了すると、ご注文の技術担当連絡先に電子メールでEntrust TLS/SSL証明書が提供されます。[Customer Order Tracking](注文履歴確認)ページに注文番号を入力して、同じページの [Certificate](証明書)セクションで [Click here to retrieve your certificate](こちらをクリックして証明書を取得)リンクを選択する方法もあります。
Entrustに追加のサポートを依頼するには、どのような方法で問い合わせたらよいですか?
ご不明点については、米国東部標準時間の月曜日から金曜日、午前8時から午後6時までの間に、電話(北米内からは866-267-9297、北米外からは1-613-270-2680)、またはメール( [保護されたメールアドレス])で、Entrust Certificate Services(ECS)サポートまでお問い合わせください
証明書署名リクエスト(CSR)
証明書署名リクエスト(CSR)とは何ですか?
証明書署名リクエスト(CSR)とは、署名前の証明書の写しであるPKCS#10のリクエストです。Entrust Certificate Services(ECS)は、証明書署名リクエスト(CSR)を使用して、署名済みのデジタル版X.509 V3 TLS/SSLサーバー証明書を生成します。CSRには次の情報が含まれています。
なぜ証明書署名リクエストが必要なのですか?
証明書署名リクエストは、デジタル証明書を生成するためにEntrust Certificate Services(ECS)で必要となります。登録プロセス中にEntrust Certificate Servicesに送信する必要があります。Entrust Certificate Services(ECS)が、新しい証明書を発行します。
証明書署名リクエストを生成するには、どうすればよいですか?
詳細については、お使いのWebサーバーの技術マニュアルを参照してください。CSRの生成方法については、EntrustのWebサイトの [Server Support](サーバーサポート)セクションも参照してください。
CSRを生成するとき、どのガイドラインを使用する必要がありますか?
CSRは次のような体裁です。
-----ここから新規の証明書リクエスト-----
MIIDGjCCAoMCAQAwgYQxITAfBgNVBAMTGHd3dy50ZXN0Y2VydGl QoubDqnc7Duih17eR1zmrUuJiwEj8vFk0Us5Ka3XEar4frLNzeW AAGgggFTMBoGCisGAQQBgjcNAgMxDBYKNS4wLjIxOTUuMjA1Bgo rBgEEAYI3AgEOMScwJTAOBgNVHQ8BAf8EBAMCBPAwEwYDVR0lBA wwCgYIKwYBBQUHAwEwgf0GCisGAQQBgjcNAgIxge4wgesCAQEeW gBNAGkAYwByAG8AcwBvAGYAdAAgAFIAUwBBACAAUwBDAGgAYQBu AG4AZQBsACAAQwByAHkAcAB0AG8AZwByAGEAcABoAGkAYwAgAFA AcgBvAHYAaQBkAGUAcgOBiQBfE24DPqBwFplR15/xZDY8Cugoxb yymtwq/tAPZ6dzPr9Zy30NnkKQbKcsbLR/4t9/tWJIMmrFhZonr x12qBfICoiKUXreSK89OILrLEto1frm/dycoXHhStSsZdm25vsz v827FKKk5bRW/vIIeBqfKnEPJHOnoiG6UScvgA8QfgAAAAAAAAA AMA0GCSqGSIb3DQEBBQUAA4GBAGsHA9fKzGdjfJRZoe07MNFqRb mwwX+M+EXpzS+78Wr6D7HUPk3g6ixkEcC3cLER5Rt5VMu9vjlmO IkJAzIWuWDj1Z4BpVeI33loaGS3PmLSnCt1lULaRalQNHk1vOc+ L0ygNwwNIvKLMPq4/LcUkZ9Oo4AssXW5mvvhHWGz2RWY
-----ここまで新規の証明書リクエスト-----
証明書署名リクエスト(CSR)の先頭行は
「-BEGIN CERTIFICATE REQUEST-」、最終行は「-END CERTIFICATE REQUEST-」です。
オンライン登録プロセス中に証明書署名リクエスト(CSR)を送信するときは、必ずこれらの行を含めてください。
申請中に [Invalid CSR](CSRが無効です)というメッセージが表示された場合や、[Next](次へ)ボタンが機能しない場合、どうすればよいですか?
このエラーは、証明書署名リクエスト(CSR)の形式が正しくない場合に発生します(つまり、スペースまたはキャリッジリターンがエンコードされたデータを壊します)。 CSRに関する一般的なガイドラインについては、質問4を参照するか、EntrustのWebサーバーにあるドキュメントを参照してください。 依然としてCSRが却下される場合は、Webサーバーで新しいCSRを生成し、登録プロセスからやり直してみる必要があります。 ぜひお気軽にサポートチームにお声をおかけください。Entrustに追加のサポートを依頼するには、どのような方法で問い合わせたらよいですか?
ご不明の点については米国東部標準時間の月曜日から金曜日、午前8時から午後6時までの間に、電話(北米内からは866-267-9297、北米外からは1-613-270-2680)で、Entrustサポートまでお問い合わせください。または、サービスリクエストをログいただくか、メール([保護されたメールアドレス])でお問い合わせいただくことも可能です。
CSRの作成手順はどこで確認できますか?
Entrustには40種を超えるWebサーバー、デバイスでのCSR作成をサポートする説明書やオンラインツールが、他種多数そろっています。[Installation Instructions](インストール手順)ページを参照して、使用しているサーバーの種類をリストから見つけてください。
TLS/SSL証明書の再発行、更新、失効
Entrust TLS/SSL証明書はいつ更新する必要がありますか?
Entrustでは、現行のEntrust証明書の有効期限が切れる30日前に更新プロセスを開始するようお勧めしています。
Entrust TLS/SSL証明書の有効期限が近づいたら通知が届きますか?
Entrust TLS/SSL証明書の有効期限の1か月前に、TLS/SSL証明書の注文書(申込書)に記載されている承認担当連絡先に、Entrustから通知をお送りします。併せてEntrust TLS/SSL証明書の有効期限の2週間前には、Entrust TLS/SSL証明書の注文書(申込書)に記載されている技術担当連絡先に、Entrustから通知をお送りします。Entrust TLS/SSL証明書の更新手順は、この有効期限通知メールに記載されています。
Entrust TLS/SSL証明書の更新費用は、どのくらいですか?
更新プロセス中に、以前のご注文を基準にした価格をご提示します。更新の詳細については、こちらをクリックして 更新プロセスを開始してください
Entrust TLS/SSL証明書を更新するには、どうすればよいですか?
Entrust TLS/SSL証明書を更新できる場所は次のとおりです。 https://www.entrust.com/digital-security/certificate-solutions/products/digital-certificates/tls-ssl-certificates/renewals
別の認証局から取得し、すでに利用中のTLS/SSL証明書をEntrustで更新するには、どうすればよいですか?
Entrust Certificate Services(ECS)では既存の証明書を更新できます。以前の証明書を発行したCertificate AuthorityがEntrustかどうかは関係ありません。ご不明点やサポートのご依頼については、こちらをクリックし、ぜひお気軽にカスタマーサービスチームまでお問い合わせください。
更新時の検証プロセスは初回発行時より短時間で終わりますか?
Entrustに義務付けられた発行手順は、新規の証明書をご購入いただくときと同一です。ただし、Entrustは以前に検証された情報を参照して、更新プロセスを迅速化できます。更新の完了にかかる時間は、Entrustサブスクライバー契約のメールの受領、ドメイン制御検証(DCV)の証明の完了、承認のための電話への応答など、サブスクライバーがさまざまな手順を完了するのにかかる時間によっても異なります。更新時の検証プロセスには、北米の場合で通常3~5営業日を要します。
EntrustのTLS/SSL証明書の交換と再発行に関わるポリシーは、どのような内容ですか?
Entrustの証明書の交換と再発行に関するポリシーでは、Entrust Certificate Services(ECS)の場合、初回発行日から30日以内に1回のみ証明書を無料で交換すると定められています。1度交換した後に再び証明書の交換が必要になった場合、またはTLS/SSL証明書の初回発行日から30日間を過ぎた場合には、buy.entrust.netで新しく証明書をご購入いただく必要があります。
注意:証明書の鍵ペアはバックアップするように当社のWebサイトと登録ガイドで重ねて注意を喚起しています。秘密鍵(データの復号化に使用される鍵ファイル)はお使いのサーバーに常に残ります。Entrustはこのファイルにアクセスできません。このファイルは、サーバー上に特別な方法で生成される鍵ファイルです。Entrustが発行するファイルは、データ暗号化に使用される署名済み公開鍵です。サーバーによっては、鍵ペアを常にリムーバブル メディア ストレージにバックアップする必要があります。公開鍵は秘密鍵と組み合わせた場合のみ機能します。以前の状態のサーバーやOSのバックアップにアクセスできる場合、または動作中のTLS/SSLサイトを含むOSイメージを復元できる場合は、お使いのサーバーに対応する「Backing Up your TLS/SSL Certificate and Private Key」(SSL/TLS証明書と秘密鍵のバックアップ)セクションを参照してください。無料で再発行を受ける資格がある場合は、次の手順でお問い合わせください。
Entrust Certificate Services(ECS)のTLS/SSL証明書に関する返金ポリシーは、どのような内容ですか?
Enterpriseをご利用のお客様は、Enterpriseアカウントと返金の詳細について、専任のアカウントマネージャーにお問い合わせください。担当のアカウントマネージャーが不明な場合は、アカウント情報の記載内容を確認するか、1-866-267-9297(北米以外からは1-613-270-2680)までお問い合わせください。証明書単体をご購入の場合は、30日間の返金ポリシーを提供しています。詳細はこちらのリンクを参照してください。
Entrust TLS/SSL証明書が失効することはありますか?
はい、Entrust TLS/SSL証明書は失効する場合があります。 次の場合には証明書を失効させることになります。
自らEntrust TLS/SSL証明書を失効させるには、どうすればよいですか?
Entrust TLS/SSL証明書の失効を希望される場合は、次のリンク(https://www.entrust.net/customer/revoke_form.cfm)を使用してください。 この証明書の申請時にお客様が指定したパスフレーズの入力が、必要となります。 パスフレーズがわからない場合は、所定のFAX書式を入手するため、Entrust Certificate Services(ECS)サポート部門のTLS担当([email protected])にお問い合わせください。Entrustに追加のサポートを依頼するには、どのような方法で問い合わせたらよいですか?
こちらをクリックして、テクニカルサポートチームにお問い合わせください。
Multi-Domain EV TLS/SSL Certificateの失効情報と報告に関するポリシー
Entrust Multi-Domain EV TLS/SSL Certificateの失効手続きが取られるのは、どのような場合ですか?
次のいずれかの事態が発生した場合、Entrustは発行したEntrust Multi-Domain EV TLS/SSL Certificateの失効手続きを義務付けられています。EntrustのEV証明書の問題の報告方法と対応能力は、どのようになっていますか?
報告
以上のいずれかの理由でEntrust Multi-Domain EV TLS/SSL Certificateの失効を要望される場合、オンライン申し立てフォームで情報を提供する形で、Entrustにご連絡いただけます。Entrust Multi-Domain EV TLS/SSL Certificateの加入者、証明書利用者、アプリケーションソフトウェアベンダーなどの第三者は、Entrustのオンライン申し立てフォームを使用してEntrustにお問い合わせいただけます。このフォームでは、EV証明書の失効手続きをリクエストするほか、関連する苦情、秘密鍵の侵害、EV証明書の濫用などの詐欺行為、不正アクセス、不正な使用や行いの疑いを報告できます。
調査
Entrustはどの「Certificate Problem Report」(証明書問題報告)についても、受け付けから24時間以内に調査を開始し、失効などの対応の適否を判断します。以下はその判断基準の一例です。
申し立てのあった問題の性質。
特定のEV証明書またはWebサイトに関して寄せられた「Certificate Problem Report」(証明書問題報告)の数。
申立人の身元(Webサイトが違法行為に従事しているという申し立てが法執行機関の職員から寄せられた場合は、注文した商品が一切届かないという一般消費者からの申し立てより重視されるなど)。
関連する現行法。
回答
Entrustは、優先度の高い「Certificate Problem Report」(証明書問題報告)には社内スタッフがいつでも対応できる体制を24時間年中無休で維持しています。必要に応じて、法執行機関が介入するべき申し立ては法執行機関に取り次ぎ、失効させるべきEntrust Multi-Domain EV TLS/SSL Certificateは失効させます。