LGPKIブリッジ認証局CP/CPS新旧対照表 第3.0版の改正履歴 No 項番・タイトル 1 全般 平成26年4月1日 新(第3.0版) ・運営主体 ・地方公共団体情報システム機構 ・機構 旧(第2.2版) ・LGWAN運営主体 ・総合行政ネットワーク運営協議会 ・LGWAN運営協議会 変更理由 名称の変更 2 改正履歴 平成26年4月1日地方公共団体情報システム機構制定 平成18年4月1日 総合行政ネットワーク運営協議会 制定 最終改正 平成25年11月14日 改定 3 1.1.2関連規程 LGPKI及びブリッジCAの関連規程は、以下のとおりである。本 CP/CPSは、必要に応じて関連規程を参照する。 ・総合行政ネットワーク基本規程 ・地方公共団体組織認証基盤の運営に関する基本要綱 LGPKI及びブリッジCAの関連規程は、以下のとおりであ 規程類の名称の変更 る。本CP/CPSは、必要に応じて関連規程を参照する。 ・総合行政ネットワーク基本要綱 ・地方公共団体組織認証基盤の運営に関する基本綱 領 4 1.3運営体制及び証明書適用範囲 1.3.1運営体制 ブリッジCAを構成する組織と体制図は、図1.1のとおりである。 組織と体制図は、図1-1のとおりである。 構成図及び役割の修正 ブリッジCAを構成する組織は、図1-1のとおり意思決定 組織及び運営組織である。 図1-1組織と体制 表1-1 1/16 LGPKIブリッジ認証局CP/CPS新旧対照表 第3.0版の改正履歴 No 項番・タイトル 5 1.3.2適用性・適用環境等 平成26年4月1日 新(第3.0版) 相互認証証明書及びVA証明書(以下「相互認証証明書等」とい う。)は、以下の用途及びアプリケーションでの使用を前提とす る。 ・相互認証証明書 相互認証証明書の有効期間は、証明書を有効とした日から起 算して5年以内とする。 旧(第2.2版) 変更理由 相互認証証明書及びVA証明書(以下「相互認証証明 有効期間の変更 書等」という。)は、以下の用途及びアプリケーションで の使用を前提とする。 ・相互認証証明書 相互認証証明書の有効期間は、証明書を有効とした日 から起算して5年とする。 ・VA証明書 ・VA証明書 VA証明書の有効期間は、証明書を有効とした日から起算して1 VA証明書の有効期間は、証明書を有効とした日から起 年以内とする。 算して1年とする。 6 1.4.2連絡先 本CP/CPSに関する照会は、運営主体を窓口とする。窓口の連 本CP/CPSに関する照会は、LGWAN運営主体を窓口と 名称の変更及び記述の追加 絡先は、以下のURLに掲示する。 する。窓口の連絡先は、以下のURLに掲示する。 公開WebサーバのURL: http://www.lgpki.jp/ URL: http://www.lgpki.jp/ 地方公共団体向けWebサーバのURL: http://center.lgwan.jp/use/third2_5.html 7 2.4.2分離可能性条項、残存規定条 ブリッジCAの分離可能性条項、残存規定条項、完全合意条項 項、完全合意条項及び通知条項 及び通知条項を以下に定める。 (1)分離可能性条項 本CP/CPSのいずれかの規定が無効又は違法であっても、本 CP/CPSの他の規程はそれになんら影響を受けることなく有効 とする。 ブリッジCAの分離可能性条項、残存規定条項、完全合 誤字の訂正及び名称の変更 意条項及び通知条項を以下に定める。 (1)分離可能性条項 本CP/CPSのいずれかの規定が無効又は違法であって も、本CP/CPSのほかの規定はそれになんら影響を受 けることなく有効とする。 8 2.6公表情報に関する規程 2.6公表情報に関する規程 2.6公表情報に関する規定 9 2.7.6監査結果の通知 ブリッジCAの監査人は、作成した監査報告書を機構に提出す ブリッジCAの監査人は、作成した監査報告書をLGWAN 機構への承継 る。また、機構は相互認証先CAに対し、監査の結果を報告する 運営主体に提出する。LGWAN運営主体は、LGWAN運 営協議会に対し監査の結果を報告する。また、LGWAN 運営主体は、LGWAN運営協議会の指示により、相互認 証先CAに対し、監査の結果を報告する。 2/16 記述の修正 LGPKIブリッジ認証局CP/CPS新旧対照表 第3.0版の改正履歴 No 項番・タイトル 10 4.6.2アーカイブデータの保管期間 平成26年4月1日 新(第3.0版) 旧(第2.2版) アーカイブデータは、該当する証明書の有効期間満了日から10 30年間保管する。 年間保管する。 変更理由 保管期間の変更 11 4.9認証業務の終了 認証業務の終了は、機構において決定する。機構は、以下の内 認証業務の終了は、LGWAN運営協議会において決定 機構への承継 容を業務終了90日前までに証明書利用者及び証明書検証者に する。LGWAN運営主体は、決定に基づき、以下の内容 告知する。 を業務終了90日前までに証明書利用者及び証明書検 証者に告知する。 12 6.1.3 CAへの公開鍵の配付 ブリッジCAの自己署名証明書は、本CP/CPS「2.6.1CAに関する ブリッジCAの自己署名証明書は、本CP/CPS「2.6.1CA 誤字の訂正 情報の公表(2)」に規定する地方公共団体向けWebサーバ及び に関する情報の公表(2)」に規定するLGWAN参加団体 公開Webサーバ等により配付される。 向けWebサーバ及び公開Webサーバ等により配付され る。 13 6.2.2秘密鍵の複数名制御 6.2.2秘密鍵の複数名制御 6.2.2秘密鍵の複数人制御 誤字の訂正 14 10附則 この制定CP/CPSは、平成26年4月1日から適用する。 なし 機構への承継 3/16 LGPKIブリッジ認証局CP/CPS新旧対照表 第2.2版の改正履歴 No 項番・タイトル 1 1 イントロダクション 2 1.1.2 関連規程 新(第2.2版) 本CP/CPSの記述においては、RFC2527で定める項目の全てを 記載する。ただし、他の規程等を参照する場合には、見出しだけ を残し、参照内容を明示することとする。 LGPKI及びブリッジCAの関連規程は、以下のとおりである。本 CP/CPSは、必要に応じて関連規程を参照する。 平成25年11月14日 旧(第2.1版) 変更理由 本CP/CPSの記述においては、RFC2527で定める項目の 文書表現上の誤記の訂正。 すべてを記載する。ただし、他の規程等を参照する場合 には、見出しだけを残し、参照内容を明示することとす 文書表現上の誤記の訂正。 LGPKI及びブリッジCAの関連規程を以下に示す。本 CP/CPSは、必要に応じて関連規程を参照する。 3 1.3.1 運営体制 組織と体制図は、図1-1のとおりである。 組織と体制図を以下に示す。 ブリッジCAを構成する組織は、図1-1のとおり意思決定組織及び ブリッジCAを構成する組織は、図1-1に示すとおり意思 運営組織である。 決定組織及び運営組織である。 4 2.1.1 発行局の義務 ・システムの稼働監視は常時的確に行い、24時間365日の安定的 な運用を目標とする。 VAは、次の義務を負う。 ・証明書の有効性確認問い合わせに対し、認証パスの構築及び 認証パスの検証を行う。 ・有効性確認問い合わせに対する検証結果に電子署名を行う。 ・原則として、24時間365日の安定的な運用を行う。 ただし、保守等により一時的に運用を停止する場合がある。 ・システムの稼動監視は常時的確に行い、24時間365日 文書表現上の誤記の訂正。 の安定的な運用を目標とする。 VAは、次の義務を負う。 文書表現上の誤記の訂正。 ・証明書の有効性確認問合わせに対し、認証パスの構 築及び認証パスの検証を行う。 ・有効性確認問合わせに対する検証結果に電子署名を 行う。 ・原則として、24時間365日の安定的な運用を行う。 ただし、保守等により一時的に運用を停止する場合があ る。 IA及びRAは、信頼される時刻源を使用してシステムの時刻同期 を行い、システム内で記録される重要な情報に対しレコード単位 でタイムスタンプを付与する。 - 5 2.1.6 VAの義務 6 6. 技術的セキュリティ制御 6.9 タイムスタンプ 4/16 文書表現上の誤記の訂正。 運用実態に合わせて明確化。 LGPKIブリッジ認証局CP/CPS新旧対照表 第2.1版の改正履歴 No 項番・タイトル 1.2 識別 1 6.1.5 鍵長 2 新(第2.1版) ・相互認証証明書ポリシー1: [1.2.392.200110.10.8.5.1.1.1](sha1WithRSAEncryption) ・相互認証証明書ポリシー1: [1.2.392.200110.10.8.5.1.1.10](sha256WithRSAEncryption) ・相互認証証明書ポリシー2: [1.2.392.200110.10.8.5.1.7.1](sha1WithRSAEncryption) ・相互認証証明書ポリシー2: [1.2.392.200110.10.8.5.1.7.10](sha256WithRSAEncryption) ・VA証明書ポリシー: [1.2.392.200110.10.8.5.1.3.1] (sha1WithRSAEncryption) ・VA証明書ポリシー: [1.2.392.200110.10.8.5.1.3.10] (sha256WithRSAEncryption) 旧(第2.0版) ・相互認証証明書ポリシー1:[1.2.392.200110.10.8.5.1.1.1] ・相互認証証明書ポリシー2:[1.2.392.200110.10.8.5.1.7.1] ・VA証明書ポリシー:[1.2.392.200110.10.8.5.1.3.1] (2) VA鍵 (2) VA鍵 RSA1024ビット長の鍵を使用する。(sha1WithRSAEncryption) RSA1024ビット長の鍵を使用する。 RSA2048ビット長の鍵を使用する。(sha256WithRSAEncryption) 5/16 平成24年5月23日 変更理由 新たな署名アルゴリズム (sha256WithRSAEncryption)の証明 書ポリシー用のOIDを追加 新たな署名アルゴリズム (sha256WithRSAEncryption)の鍵長 を追加 LGPKIブリッジ認証局CP/CPS新旧対照表 第2.0版の改正履歴 No 項番・タイトル 1. イントロダクション 平成24年4月1日 新(第2.0版) RFC(Request For Comments) 旧(第1.9版) RFC(Request For Comment) 変更理由 誤記の修正 1 2.1.5 リポジトリの義務 リポジトリは、次の義務を負う。 リポジトリは、次の義務を負う。 誤記の修正 ・本CP/CPS「2.6.1 CAに関する情報の公表」に ・本CP/CPS「2.6.1 CAに関する情報の公開」に 規定する情報の公表を行う。 規定する情報の公表を行う。 4.9 認証業務の終了 認証業務の終了は、LGWAN運営協議会におい て決定する。LGWAN運営主体は、決定に基づ き、以下の内容を業務終了90日前までに証明 書利用者及び証明書検証者に告知する。 ・業務終了の事実 ・業務終了後のブリッジCAのバックアップデータ 及びアーカイブデータ等の保管組織及び開示方 法 告知後、所定の業務終了手続きを行う。 認証業務の終了は、LGWAN運営協議会におい 誤記の修正 て決定する。LGWAN運営主体は、決定に基づ き、以下の内容を業務終了90日前までに証明 書利用者及び証明書検証者に告知する。 ・業務終了の事実 ・業務終了後のブリッジCAのバックアップのバッ クアップデータ及びアーカイブデータ等の保管 組織及び開示方法 告知後、所定の業務終了手続きを行う。 6.1.4 CA公開鍵の配布 ブリッジCAの自己署名証明書は、本CP/CPS 「2.6.1CAに関する情報の公表(2)」に規定する地 方公共団体向けWebサーバ及び公開Webサー バ等により配布される。 ブリッジCAの自己署名証明書は、本CP/CPS 誤記の修正 「2.6.1CAに関する情報の公開(2)」に規定する LGWAN参加団体向けWebサーバ及び公開Web サーバ等により配布される。 2 3 4 5 9.用語集 RA(Registration Authority) 6 9.用語集 証明書利用者(Subscriber) 登録局。LGPKIでは、LGWAN運営主体に置く登 登録局。LGPKIでは、LGWAN運営主体に置く登 総合行政ネットワーク基本要綱改 録局及び登録業務の一部を委任する地方公共 録局及び登録業務の一部を委任する地方公共 定に伴う変更 団体及び協議会承認団体に置く登録分局を指 団体に置く登録分局を指す。 す。 秘密鍵保持者で、公開鍵証明書の利用者。個 人の場合の他、サーバアプリケーション等の場 合もある。LGPKIでは、地方公共団体及び協議 会承認団体、LGWAN-ASPサービス提供者に属 する証明書保持者を指す。 6/16 秘密鍵保持者で、公開鍵証明書の利用者。個 総合行政ネットワーク基本要綱改 人の場合の他、サーバアプリケーション等の場 定に伴う変更 合もある。LGPKIでは、地方公共団体、ASP サービス提供者及び公的機関に属する証明書 保持者を指す。 LGPKIブリッジ認証局CP/CPS新旧対照表 第1.9版の改正履歴 No 項番・タイトル 1.1.1証明書の種類 1 5.2.1信頼される役割 2 (7)IA操作員 3.1.8組織的な識別 3 新(第1.9版) ブリッジCAは、総合行政ネットワーク運営 主体(以下「LGWAN運営主体」という。)に 対し、インターネット側の証明書検証者向 けに整備されるVAサーバに証明書(以下 「VA証明書」という。)を発行する。 平成21年9月29日 旧(第1.8版) 変更理由 ブリッジCAは、総合行政ネットワーク運営 LGWAN内部向けVA秘密鍵の管理 主体(以下「LGWAN運営主体」という。)に をCP/CPSの対象外とした。 対し、総合行政ネットワークで運用するVA サーバに証明書(以下「VA証明書」とい う。)を発行する。 CA秘密鍵及びVA秘密鍵(HSM)の活性化及び非 CA秘密鍵の活性化及び非活性化 活性化 誤記の訂正。 ブリッジCAは、相互認証証明書の申請手続 きにおいて、定められた手続きにより、相 互認証先CAを運営する組織の真偽を確認す る。 誤記の訂正。 7/16 ブリッジCAは、相互認証証明書の申請手続 きにおいて、定められた手続きにより、相 互認証先CAを運営する組織の真偽を確認す る。また、VA証明書の申請手続きにおい て、定められた手続きにより、証明書利用 者の属する組織の実在性確認及び同一性の 確認を行う。 LGPKIブリッジ認証局CP/CPS新旧対照表 第1.8版の改正履歴 No 項番・タイトル 4.8.4 自然災害その他災害後の安 全な施設への復旧手段 1 6.7 ネットワークセキュリティ制御 2 新(第1.8版) 災害等によりブリッジCAの設備が被害を受けた 場合には、バックアップサイトにおいてバック アップデータを用いて運用を行う。災害時の業 務方針を以下に定める。 ・ リポジトリによるCRL/ARLの公開を最優先とし て、公開停止から48時間以内に公開を再開す る。 ・ 相互認証証明書等の失効業務は、業務停止 より14日以内に再開する。 ・ 相互認証証明書等の発行業務は、メインサイ トのブリッジCAの設備及びセキュリティが完全 に復旧されたことを確認後に再開する。 メインサイトにおいては、不正アクセスを防止す るため、外部ネットワークからの通過を許可する ネットワークサービスは必要最小限とする。ま た、不正侵入検知等十分なセキュリティ保護対 策を行う。メインサイトによる運用が行われてい る間、バックアップサイトは、外部ネットワークと 8/16 平成21年3月25日 旧(第1.7版) 変更理由 災害等によりブリッジCAの設備が被害を受けた バックアップサイト運用開始に伴う 場合には、予備機を確保し、バックアップデータ 変更 を用いて運用を行う。 不正アクセスを防止するため、外部ネットワーク 同上 からの通過を許可するネットワークサービスは 必要最小限とする。また、不正侵入検知等十分 なセキュリティ保護対策を行う。 LGPKIブリッジ認証局CP/CPS新旧対照表 第1.7版の改正履歴 No 項番・タイトル 1.2 識別 1 新(第1.7版) ・相互認証証明書ポリシー 1:[1.2.392.200110.10.8.5.1.1.1] ・相互認証証明書ポリシー 2:[1.2.392.200110.10.8.5.1.7.1] ・VA証明書ポリシー:[1.2.392.200110.10.8.5.1.3.1] 9/16 平成20年10月22日 旧(第1.6版) 変更理由 ・相互認証証明書ポリシー 文書交換証明書の廃止に伴う変更 1:[1.2.392.200110.10.8.5.1.1.1] ・相互認証証明書ポリシー 2:[1.2.392.200110.10.8.5.1.2.1] ・相互認証証明書ポリシー 3:[1.2.392.200110.10.8.5.1.7.1] ・VA証明書ポリシー:[1.2.392.200110.10.8.5.1.3.1] LGPKIブリッジ認証局CP/CPS新旧対照表 第1.6版の改正履歴 No 項番・タイトル 1. イントロダクション 1 新(第1.6版) 本文書(以下「CP/CPS」という。)は、LGPKI組 織認証局との相互認証及び政府認証基盤等の 外部認証基盤との相互認証のために運営され る、LGPKIブリッジ認証局(以下「ブリッジCA」と いう。)の認証業務に関する運用規程である。 旧(第1.5版) 本文書(以下「CP/CPS」という。)は、LGPKI組 織認証局との相互認証及び政府認証基盤、霞 が関WAN等の外部認証基盤との相互認証のた めに運営される、LGPKIブリッジ認証局(以下 「ブリッジCA」という。)の認証業務に関する運用 規程である。 ・霞が関WAN側の証明書情報 平成20年5月28日 変更理由 「霞が関WAN及び政府認証基盤(共 通システム)の最適化計画」(平成17 年3月31日)の認証局の集約に伴う 変更。 2.6.1 CAに関する情報の公開 (1)リポジトリ上での公表 2 (統合リポジトリ) ・政府認証基盤が公開している証明書情報 2.6.1 CAに関する情報の公開 (1)リポジトリ上での公表 3 (公開リポジトリ) ・相互認証先CAへの相互認証証明書 ・相互認証先CAからの相互認証証明書 2.6.1 CAに関する情報の公開 (2)Webサーバ上での公表 4 (地方公共団体向けWebサーバ) ・ブリッジCAと相互認証した相互認証先CAの名 ・ブリッジCAと相互認証した相互認証先CAの名 記載の明確化 称及び相互認証を取り消した相互認証先CAの 称及び相互認証を取り消したCAの名称 名称 2.6.1 CAに関する情報の公開 5 (2)Webサーバ上での公表 (公開Webサーバ) 2.6.2 公表の頻度 6 ・ブリッジCAと相互認証した相互認証先CAの名 称及び相互認証を取り消した相互認証先CAの 名称 ・ブリッジCAと相互認証した相互認証先CAの名 称及び相互認証を取り消した相互認証先CAの 名称は、LGWAN運営協議会による決定の都度 (削除) 7 4.4.1 失効要件 (1)相互認証証明書 ・相互認証先CA(対霞が関WANを除く)への相 互認証証明書 ・相互認証先CA(対霞が関WANを除く)からの 相互認証証明書 10/16 「霞が関WAN及び政府認証基盤(共 通システム)の最適化計画」(平成17 年3月31日)の認証局の集約に伴う 変更。 「霞が関WAN及び政府認証基盤(共 通システム)の最適化計画」(平成17 年3月31日)の認証局の集約に伴う 変更。 ・ブリッジCAと相互認証した相互認証先CAの名 記載の明確化 称及び相互認証を取り消したCAの名称 ・ブリッジCAと相互認証した相互認証先CAの名 記載の明確化 称及び相互認証を取り消したCAの名称は、 LGWAN運営協議会による決定の都度 ・相互接続基本要件に不適合となった場合(対 「霞が関WAN及び政府認証基盤(共 霞が関WAN) 通システム)の最適化計画」(平成17 年3月31日)の認証局の集約に伴う 変更。 LGPKIブリッジ認証局CP/CPS新旧対照表 第1.5版の改正履歴 No 項番・タイトル 1.2 識別 1 新(第1.5版) 旧(第1.4版) ・相互認証証明書ポリシー1:[1.2.392.200110.10.8.5.1.1.1] ・相互認証証明書ポリシー2:[1.2.392.200110.10.8.5.1.2.1] ・相互認証証明書ポリシー3:[1.2.392.200110.10.8.5.1.7.1] ・VA証明書ポリシー:[1.2.392.200110.10.8.5.1.3.1] ・相互認証証明書ポリシー1:[1.2.392.200110.10.8.5.1.1.1] ・相互認証証明書ポリシー2:[1.2.392.200110.10.8.5.1.2.1] ・VA証明書ポリシー:[1.2.392.200110.10.8.5.1.3.1] 11/16 平成19年10月5日 変更理由 利用者証明書追加のため LGPKIブリッジ認証局CP/CPS新旧対照表 第1.4版の改正履歴 No 項番・タイトル 2.6.1 CAに関する情報の公開 (1)リポジトリ上での公表 (統合リポジトリ) 1 2.6.1 CAに関する情報の公開 (1)リポジトリ上での公表 (公開リポジトリ) 2 3 9. 用語集 ・CA(Certification Authority) 新(第1.4版) ・ブリッジCAが発行した自己署名証明書、リンク 証明書、相互認証証明書及びCRL/ARL ・相互認証先CAからの相互認証証明書 ・霞が関WAN側の証明書情報 ・組織CAからの相互認証証明書 平成19年5月24日 旧(第1.3版) 変更理由 ・ブリッジCAが発行した自己署名証明書、リンク 運用の実態との差異による修正 証明書、相互認証証明書及びCRL/ARL ・相互認証先CAからの相互認証証明書 ・霞が関WAN側の証明書情報 ・ブリッジCAが発行した自己署名証明書、リンク 証明書及びCRL/ARL ・相互認証先CA(対霞が関WANを除く)への相 互認証証明書 ・相互認証先CA(対霞が関WANを除く)からの 相互認証証明書 ・組織CAへの相互認証証明書 ・ブリッジCAが発行した自己署名証明書、リンク 運用の実態との差異による修正 証明書及びCRL/ARL ・相互認証先CA(対霞が関WANを除く)への相 互認証証明書 ・相互認証先CA(対霞が関WANを除く)からの 相互認証証明書 LGPKIでは、ブリッジCA、組織CA及びアプリ ケーションCAと同義であり、発行局と登録局を LGPKIでは、ブリッジCA、ブリッジCA及びアプリ 誤記の修正 ケーションCAと同義であり、発行局と登録局を 12/16 LGPKIブリッジ認証局CP/CPS新旧対照表 第1.3版の改正履歴 No 項番・タイトル 1 3.1.8 組織的な識別 2 4.1 証明書申請 (2) VA証明書 3 4.4.2 失効申請者 (2) VA証明書 4 4.9 認証業務の終了 5 5.2.1 信頼される役割 (4)受付担当者 6 5.2.1 信頼される役割 (5)審査担当者 7 5.2.1 信頼される役割 (6)審査承認者 新(第1.3版) ブリッジCAは、相互認証証明書の申請手続き において、定められた手続きにより、相互認証 先CAを運営する組織の真偽を確認する。 また、VA証明書の申請手続きにおいて、定めら れた手続きにより、証明書利用者の属する組織 の実在性及び同一性の確認を行う。 VA証明書の発行申請は、認証局システム責任 者が行う。 VA証明書の失効申請は、認証局システム責任 者が行う。 ・業務終了後のブリッジCAのバックアップのバッ クアップデータ及びアーカイブデータ等の保管 組織及び開示方法 受付担当者は、相互認証証明書の発行、更新 及び失効申請の受付、証明書利用者との連絡 調整業務及び申請書類等の管理を行う。 旧(第1.2版) ブリッジCAは、相互認証証明書の申請手続き において、定められた手続きにより、相互認証 先CAを運営する組織の真偽を確認する。 VA証明書の発行申請は、認証局システム責任 者の指示に基づき受付担当者が行う。 VA証明書の失効申請は、認証局システム責任 者の指示に基づき受付担当者が行う。 ・業務終了後のアプリケーションCAのバックアッ プのバックアップデータ及びアーカイブデータ等 の保管組織及び開示方法 受付担当者は、相互認証証明書及びVA証明書 の発行、更新及び失効申請の受付、証明書利 用者との連絡調整業務及び申請書類等の管理 を行う。 審査担当者は、相互認証証明書の発行申請、 審査担当者は、相互認証証明書及びVA証明書 更新申請及び失効申請の審査業務を行う。 の発行申請、更新申請及び失効申請の審査業 務を行う。 審査承認者は、審査担当者からの相互認証証 審査承認者は、審査担当者からの相互認証証 明書の発行申請、更新申請及び失効申請の審 明書及びVA証明書の発行申請、更新申請及び 査結果に対して承認業務を行う。 失効申請の審査結果に対して承認業務を行う。 13/16 平成19年3月20日 変更理由 記載内容の明確化 運用の実態との差異による修正 運用の実態との差異による修正 誤記の修正 運用の実態との差異による修正 運用の実態との差異による修正 運用の実態との差異による修正 LGPKIブリッジ認証局CP/CPS新旧対照表 第1.2版の改正履歴 No 項番・タイトル 1 4.7 鍵の更新 (1)CA鍵 2 6.3.2 公開鍵及び秘密鍵の利用期 間 (1)CA鍵 平成18年11月24日 変更理由 CAを廃止する場合の特例措置の追 加による変更。 新(第1.2版) CA鍵ペアは、5年以内に更新を行う。 ただし、公開鍵と秘密鍵の有効期間内にCAを 廃止する場合は、この限りでない。 旧(第1.1版) CA鍵ペアは、5年以内に更新を行う。 ブリッジCAの公開鍵及び秘密鍵の有効期間 は、有効とした日から起算して10年以内とし、5 年以内に鍵更新を行う。 ただし、公開鍵と秘密鍵の有効期間内にCAを 廃止する場合は、この限りでない。 なお、暗号のセキュリティが脆弱になったと判 断した場合には、その時点で鍵長又はアルゴリ ズムの変更等適切な処置を行った上で鍵更新 を行うことがある。 ブリッジCAの公開鍵及び秘密鍵の有効期間 CAを廃止する場合の特例措置の追 は、有効とした日から起算して10年以内とし、5 加による変更。 年以内に鍵更新を行う。ただし、暗号のセキュリ ティが脆弱になったと判断した場合には、その 時点で鍵長又はアルゴリズムの変更等適切な 処置を行った上で鍵更新を行うことがある。 14/16 LGPKIブリッジ認証局CP/CPS新旧対照表 第1.1版の改正履歴 No 項番・タイトル 1 1.3.1 運営体制 表1-1の総合行政ネットワーク運営 協議会 2 1.3.1 運営体制 表1-1の証明書検証者 平成18年9月1日 新(第1.1版) ブリッジCAのCP/CPSの制定及び改正 旧(第1版) ブリッジCAのCP/CPSの制定及び承認 変更理由 誤記による修正 証明書検証者は、失効リスト(以下「CRL/ARL」 証明書検証者は、失効リスト(以下「CRL/ARL」 誤記による修正 という。)により相互認証証明書の有効性を確 という。)により相互認証証明書等の有効性を 認する。 確認する。 3 1.3.2 適用性・適用環境等 VA証明書の有効期間は、証明書を有効とした VA証明書の有効期間は、証明書を有効とした 日から起算して1年とする。 日から起算して3年とする。 4 2.1.4 証明書検証者の義務 相互認証証明書等の証明書検証者は、認証パ 相互認証証明書等の証明書検証者は、証明書 VA証明書のプロファイル変更に伴う取扱 スの構築と認証パスの検証を行う。ただし、VA の有効性及び認証パスの有効性について検証 い変更 証明書の失効確認は任意とする。 する。 5 2.1.6 VAの義務 証明書の有効性確認問合わせに対し、認証パ 相互認証証明書等の有効性確認問合わせに 誤記による修正 スの構築及び認証パスの検証を行う。 対し、ブリッジCAの電子署名検証、有効期限及 び失効情報の確認を行う。 6 2.2.4 証明書検証者の責務 相互認証証明書等の証明書検証者は、本 相互認証証明書等の証明書検証者は、本 VA証明書のプロファイル変更に伴う取扱 CP/CPSに基づき相互認証証明書又はVA証明 CP/CPSに基づき相互認証証明書又はVA証明 い変更 書を検証することに関し責任を持つ。ただし、 書を検証することに関し責任を持つ。 VA証明書の失効確認は任意とする。 7 2.6.1 CAに関する情報の公表 ブリッジCA CP/CPSの改正履歴 ブリッジCA CP/CPSの改訂履歴 8 4.4.10 CRL/ARL検証要件 相互認証証明書の証明書検証者は、リポジトリ に公開されるブリッジCAの発行するCRL/ARL によって、相互認証証明書の有効性を確認しな ければならない。 相互認証証明書等の証明書検証者は、リポジ 誤記による修正 トリに公開されるブリッジCAの発行する CRL/ARLによって、相互認証証明書等の有効 性を確認しなければならない。 9 4.7 鍵更新 (2)VA鍵 証明書利用者の鍵ペアは、1年以内に更新を行 証明書利用者の鍵ペアは、3年以内に更新を行 VA証明書の失効確認を任意とし、かつVA う。 う。 証明書プロファイルの拡張鍵用途にidpkix-ocsp-nocheckを設定することにより、 実運用に合わせるための変更 15/16 VA証明書の失効確認を任意とし、かつVA 証明書プロファイルの拡張鍵用途にidpkix-ocsp-nocheckを設定することにより、 実運用に合わせるための変更 誤記による修正 LGPKIブリッジ認証局CP/CPS新旧対照表 第1.1版の改正履歴 No 項番・タイトル 10 6.3.2 公開鍵及び秘密鍵の利用期 間 (2)VA鍵 平成18年9月1日 新(第1.1版) 旧(第1版) 変更理由 VAの公開鍵及び秘密鍵の有効期間は、有効と VAの公開鍵及び秘密鍵の有効期間は、有効と VA証明書の失効確認を任意とし、かつVA した日から起算して1年以内とする。 した日から起算して3年以内とする。 証明書プロファイルの拡張鍵用途にidpkix-ocsp-nocheckを設定することにより、 実運用に合わせるための変更 11 8.1本CP/CPSの変更管理 本CP/CPSの制定及び改正は、LGWAN運営協 本CP/CPSの制定及び改訂は、LGWAN運営協 誤記による修正 議会が行う。本CP/CPSはLGWAN運営協議会 議会が行う。本CP/CPSはLGWAN運営協議会 が制定又は改正した日から有効となる。 が制定又は改訂した日から有効となる。 12 8.2 開示及び通知 LGWAN運営主体は、本CP/CPSが制定又は改 正した場合、速やかにこれを公表し、これをもっ て、証明書利用者及び証明書検証者への通知 とする。 LGWAN運営主体は、本CP/CPSが制定又は改 誤記による修正 訂した場合、速やかにこれを公表し、これをもっ て、証明書利用者及び証明書検証者への通知 とする。 13 9.用語集 PIN 個人識別番号。LGPKIでは、CA秘密鍵活性化 に用いるパスワード、証明書利用者に配付する IC カードの活性化に用いるパスワード及び証 明書利用者が鍵ペアを生成した場合に設定す る秘密鍵保護に用いるパスワード等を指す。 個人識別番号。LGPKIでは、CA秘密鍵活性化 誤記による修正 に用いるパスワード、証明書利用者に配付する IC カードの活性化に用いるパスワード、証明書 利用者が鍵ペアを生成した場合に設定する秘 密鍵保護に用いるパスワード及び秘密鍵が格 納されるWebサーバの操作員カードのパスワー ド等を指す。 16/16
© Copyright 2024