TechNet アーカイブ ホーム

Microsoft ルート証明書プログラム

最終更新日: 2002年5月22日

本書では、Microsoft ルート証明書プログラムの詳細と条件について列挙します。

*
トピック
プログラム条件プログラム条件
ルート配信プロセスにおける変更ルート配信プロセスにおける変更
ルート承認スケジュールルート承認スケジュール
ファースト ステップファースト ステップ
ルートの登録ルートの登録
よく寄せられる質問よく寄せられる質問

プログラム条件

マイクロソフトの顧客を公開キー インフラ (PKI) 証明書の使用に伴うセキュリティ問題からより適切に保護し、また Windows ユーザー体験を拡充するべく、マイクロソフトは Windows XP のルート証明機関の基準を標準化および明確化する措置を講じています。この標準は、Internet Explorer やその他すべてのマイクロソフト製品のルート証明機関にも適用されます。この新標準の主要点は以下のとおりです。

証明機関 (CA) プロバイダは、WebTrust for CA 監査を完了するか、あるいは同等のサードパーティ証明書を提供することが要求されます。米国公認会計士協会 (AICPA) が主催する WebTrust for Certification Authorities プログラムの詳細、または基準内容の入手方法については、http://www.webtrust.org/ をご覧ください。貴社が別のプログラム、つまり WebTrust for CA ではないプログラムからの監査を受理した場合、WebTrust for CA と同等であることを証明する負担が CA に課せられます。

2010年1月1日以降に失効するルートのみが含まれます。

受け付け可能なルートは各 CA プロバイダに対して最大 3 つです。これは、ルートを追加するたびにダウンロード時間が長引き、ユーザーに悪影響が及ぶためです。

マイクロソフトは、テスト目的のため、各 CA プロバイダのルートから発行されたテスト証明書を要求します。貴社のルートから発行された証明書を確認できる、公にアクセス可能なサーバーの URL をマイクロソフトに送信することを推奨します。

Windows XP 用のすべての新しいルート証明機関は、エンドユーザーが Windows Update 証明書信頼リスト (CTL) を通じてシームレスに利用できるようになります。これによって CA プロバイダとマイクロソフトは、不測のセキュリティ問題が発生しても直ちに対応する最大限の柔軟性を確保することができます。

貴社のルート証明書は、マイクロソフト プラットフォーム ユーザーへ幅広いビジネス バリューを提供するものでなくてはなりません。たとえば、ある組織の内部で使用されるルート証明書は、本ルート プログラムでは受け付けられません。

貴社のルートから発行された証明書は、証明書失効リスト (CRL) 配布ポイント拡張をサポートしなければなりません。CRL 配布ポイントは、公にアクセス可能な場所を指し示す必要があります。

ページのトップへページのトップへ

ルート配信プロセスにおける変更

新しいルート証明書の従来の登録方法は、Microsoft Internet Explorer ではもう使用できません。マイクロソフトによって承認された新しいルートはすべて、Windows Update を通じて Windows XP クライアントで利用することができます。ユーザーがセキュリティ保護された Web サイト (つまり HTTPS を使用) にアクセスしたり、セキュリティ保護された電子メール (つまり S/MIME) を読んだり、 あるいは新しいルート証明書を使用する Active X コントロールをダウンロードしたりする場合、Windows XP 証明書チェーン照合ソフトウェアが適切な Windows Update ロケーションをチェックして、必要なルート証明書をダウンロードします。これはユーザー側ではシームレスに実行され、セキュリティ ダイアログ ボックスや警告などは一切表示されません。ダウンロードもバックグラウンドで自動的に行われます。

新しいルートは、Windows Update ダウンロード ファイルを通じて、Windows 2000、Windows NT、Windows 95、Windows 98、および Windows Millennium Edition (ME) クライアントで利用できるようになります。

ページのトップへページのトップへ

ルート承認スケジュール

貴社が必要条件をすべて満たし、マイクロソフトがルート証明書を承認したら、その証明書は次回の更新間隔を経て Windows XP とユーザーが Web 上で利用できるようになります。Windows Update で提供されるルート証明機関の一覧は、最低でも四半期に1度は更新されます。

マイクロソフトによる承認が完了するまで、一切ルート証明書を送信しないでください。

貴社が本プログラムのすべての条件を満たしてからでなければ、マイクロソフトは貴社のルート証明書を処理することができません。

ページのトップへページのトップへ

ファースト ステップ

ルート承認プロセスを始めるには、以下のステップを実行します。

1.

次の情報を電子メールで casubmit@microsoft.com 宛に送信します。

貴社の 2 名の担当者 (それぞれの氏名、電子メール アドレス、および電話番号)

貴社名と所在地

貴社のホームページ アドレス (つまり URL)

登録を希望するルートの数

貴社のルート証明書に関する以下の質問に回答します。

このルート証明から発行された証明書の事業目的は何ですか? このルートを設置する事業は何ですか?

証明書の発行先となる対象者は誰ですか? たとえば、一般向けやある特定の組織のメンバーなど。

ルートが必要とするのはどのような拡張キー使用法 (EKU) ですか? たとえば、SSL サーバー局、セキュリティ保護された電子メール、コード署名など。

誰かがこのルートから発行された証明書を要求している際、その身元を確認するために何を実行しますか?

証明機関業務明細へのポインタ

貴社の CA 業務が受けるすべてのサードパーティ監査一覧

2.

貴社ルートを使用するサービスがマイクロソフトの顧客に必ず幅広いバリューをもたらすようにします。ご質問があれば、casubmit@microsoft.com まで電子メールをお送りください。

3.

WebTrust for CA プログラムの認可監査者 (監査機関) に参画してもらい、そのプロセスを完了します。

ページのトップへページのトップへ

ルートの登録

貴社がすべての基準を満たして Microsoft 証明書プログラムに承認されたら、下記の住所に次の情報を送付します。

1.

監査報告書

2.

登録する各ルートについて次の情報を詳述した、委任代理人による社名入り便箋書状

ルート証明書件名、発効日、および SHA - 1 拇印。Windows Explorer でルート証明書をダブルクリックし、[詳細] タブをクリック、次いで [拇印] フィールドへスクロールすると、拇印を見ることができます。実際のルート証明書は電子メールで送信できます。

希望する拡張キー使用法 (EKU)。どのような利用法に対してこのルートをマークしたいと考えますか? たとえば、SSL サーバー局、電子メール、コード署名など。

HTTPS URL またはチェーン確認テストで使用できるルートから発行された証明書をお送りください。

送付先 Microsoft Root Certificate Program

c/o Ryan Hurst (rmh@microsoft.com)
Program Manager, Windows Security
Bldg 40/6193
Microsoft Corporation
One Microsoft Way
Redmond, WA 98052

ページのトップへページのトップへ

よく寄せられる質問

1.

プログラムの費用は?

マイクロソフトは現在、ルート証明書プログラムを無料で提供しています。一般には、監査条件を満たす際に資材費が付随します。貴社の監査者 (監査機関) へご連絡ください。詳細については、http://www.webtrust.org/ の「How much does a Web Trust for CA examination cost? (Web Trust for CA 検査の費用は?)」セクションをご覧ください。

2.

貴社の監査は WebTrust 相当?

WebTrust と同等であることを証明する責務は CA が負います。貴社の監査者 (監査機関) は、監査が監査報告書の WebTrust 基準を満たしているかどうかについて言及する必要があります。

3.

ルート証明書登録の最終期限は?

マイクロソフトは継続的にルートを受け付けており、厳密な最終期限はありません。マイクロソフトによるルート証明書の承認が完了したら、そのルート証明書は次回のルート証明書更新サイクル後に Windows Update に表示されます。


ページのトップへページのトップへ