Leading Certificate Authorities and Microsoft Introduce New Standards to Protect Consumers Online - CA Security Council
https://casecurity.org/2016/12/08/leading-certificate-authorities-and-microsoft-introduce-new-standards-to-protect-consumers-online/
Certum が販売しているオープンソースプロジェクト向けコードサイニング証明書でも暗号化モジュールが必須になったので、購入に際して嵌った点などをまとめてみました。
Opensource Code Signing - Certum
https://www.certum.eu/en/cert_offer_en_open_source_cs/
おおまかな手続きの流れ
- Certumのアカウントが無い場合はアカウントを作成します。
- PKI対応スマートカードを持っている場合は Activation Code、持っていない場合は Code Signing Suite を購入します。Code Signing Suite を購入した場合はSIMサイズのスマートカードと2GBのMicroSDカードを内蔵したUSBトークンがポーランドからDHLなどで郵送されます。(以降、Code Signing Suiteを購入したという前提で記述します。)
- USBトークンをPCに差し、後述の USBトークンのドライバと proCertum CardManager をインストールした状態で証明書を申請します。この時点では秘密鍵のみがスマートカードに保存されるようです。
- 証明書の承認に必要な書類のコピーとオープンソースプロジェクトのURLをメールで送ります。
- 承認されると公開鍵が発行されるので、proCertum CardManager からインポートします。
証明書の申請手続きの詳細は、次のリンクのPDFファイルを参照してください。
How to install the CS certificate - Certum
https://www.certum.eu/en/cert_expertise_How_to_install_the_CS/
USBトークン
Code Signing Suite を購入すると送られてくるUSBトークンは Advanced Card Systems の ACR101 でした。内蔵のMicroSDカードにもドライバが入っていますが、ACSのサイトのほうが若干新しいバージョンとなっているようです。Card reader ACS ACR 101 SIMicro (CCID) - Certum
https://www.certum.eu/en/cert_offer_czytnik_kart_acs_acr_101_simicro_ccid_en/
PC-Linked Readers with Mass Storage - ACR101 SIMicro | ACS
https://www.acs.com.hk/en/products/141/acr101i-simicro-ccid/
実機のスマートカードを使わずにTPMによる仮想スマートカードやHyper-Vの仮想TPMによる仮想スマートカードを使う手もあるようですが、ハードウェア要件が厳しいので実機があったほうが手軽かと思います。
Certum Open Source Code Signing Suite. SIM size smart card and 2GB micro sd card inside. pic.twitter.com/JQHGUGB4QF— kaya (@corvussolis) 2017年2月18日
proCertum CardManager
スマートカードに保存された証明書を管理するソフトです。内蔵のMicroSDカードにも入っていました。Software and Libraries - Certum
https://www.certum.eu/en/cert_offer_software_and_libraries/
proCertum CardManager - Certum
https://www.certum.eu/en/cert_offer_card_manager/
(英語版マニュアルのリンクが間違っているようです。正しくは
proCertum CardManager – FAQ - Certum
https://www.certum.eu/en/support/cert_offer_procertum_cardmanager_support/
オプションで「EV Code Signing」をチェックしてからOSを再起動すると signtool のダイジェストアルゴリズムとしてSHA-256が使用可能になります。
Code Signing Suite に付属するスマードカード限定かもしれませんが、proCertum CardManager から見ると「Secure profile」と「Common profile」の2つのプロファイルが用意されています。Secure profile には Certum が予め PUK を設定しているようなので使用できません。コードサイニング証明書は Common profile のほうにインポートします。
Common profile を初期化する際に PUK と PIN を設定しますが、PIN は signtool を実行する度に入力する必要があるので短か目にしておいたほうが良いかもしれません。当然ですが PUK と PIN を忘れるとそのスマートカードは使用不可になってしまいます。
証明書の承認に必要な書類など
以下の書類などが必要です。- identity document (ID card, passport, residency card, driver's license) - in Latin characters - of the person placing the order. The copy should depict the entire document (both sides)
- a utility bill (e.g. water, electric power, natural gas, etc.), bank statement, credit card statement, government‐issued tax document belonging to the Subscriber
- internet address of the project
1番はパスポートか国際運転免許証が使用可能だと思います。私はパスポートを使用しました。
2番は公共料金の明細の類なのですが、Certumの担当者の方と何度か遣り取りしたところ大体以下のような要件となっているようです。
- ラテン文字 (キリル文字も多分OKかも?)
- 住所の記載がある
- 手書きではなく印刷されている (おそらく担当者のサインのみ手書きOKだと思われる)
- 13ヶ月以内に発行されている
小さな郵便局では所定のフォーマットの紙に手書きするところもあるようなので、大きな郵便局が良いかもしれません。20~30分くらいで発行してもらえます。
3番はオープンソースプロジェクトのURLです。おそらくソースが公開されていてOSIに認定されているライセンスであればOKだと思います。
signtool
SignTool.exe - MSDNhttps://docs.microsoft.com/en-us/dotnet/framework/tools/signtool-exe
PFXファイルが使えなくなったので /a, /i, /n, /sha1 などのオプションでPCにインポートされた証明書を指定します。
以上です。
0 件のコメント:
コメントを投稿