署名・タイムスタンプの準備
電子署名(以下、署名)やタイムスタンプの付与・検証を行う前に、機能の概要と必要な準備について確認してください。
署名の準備
電子署名の付与・検証には、あらかじめ以下の準備を行う必要があります。
- タイムスタンプを含む署名を付与する場合は、タイムスタンプの準備も併せて行う必要があります。
付与に使用する証明書の取得
電子署名の付与には「署名検証者に対して署名者の本人証明が可能な証明書」が必要です。
署名機能を使用する前に、以下いずれかの電子証明書をあらかじめ取得してください。
- 政府認証基盤(GPKI)から発行された官職証明書または組織証明書
- 地方公共団体における組織認証基盤(LGPKI)から発行された職責証明書
- 商業登記認証局から発行された商業登記電子証明書
- セコムパスポート for G-IDから発行された電子証明書(行政書士、司法書士、社会保険労務士、土地家屋調査士など)
- 公的個人認証サービス(JPKI)から発行され、マイナンバーカードに格納された電子証明書
- その他、信頼される認証局から発行された電子証明書
取得した電子証明書は次の種別として利用可能です。
| ファイル | 証明書ファイル(*.p12 / *.pfx) |
|---|---|
| 証明書ストア/ICカード | 使用しているマシンにインポート済みの証明書
|
| リモート | クラウド上にある署名サービスの証明書
|
| マイナンバーカード | マイナンバーカードに格納された電子証明書(公的個人認証サービス)
|
自己署名証明書を使用する場合
自己署名証明書とは、署名者自身が作成・発行した証明書です。
本製品においては、PKCS#7プロファイルを使用しタイムスタンプを含まない署名を付与する際、証明書選択画面の[新規作成]から作成することもできます。
作成した自己署名証明書は、署名タイムスタンプや検証情報を含めなければプロファイルの設定に関係なく署名に使用することは可能です。
ただし、自己署名証明書を使った署名を検証するには、検証を行うマシンの「信頼されたルート証明機関」ストアに、同じ自己署名証明書がインストールされている必要があります。
また、自己署名証明書は信頼できる第三者機関によって発行されたものではないため、インターネットを通じて検証情報を取得することはできません。
そのため、他者による検証が想定される文書への署名や、長期保存が必要な文書への署名に使用することは推奨できません。
署名のルート・中間CA証明書のインストール
署名の付与・検証には、付与時に指定された証明書に応じたルートCA証明書および中間CA証明書が必要です。
Microsoftのルート証明更新プログラムに承認されている証明書であれば、バックグラウンドで自動的にインストールされます。
ただし、以下のような場合は、自動でインストールされません。
- OSの「ルート証明書の自動更新をオフにする」設定を有効にしている場合
- Microsoftに接続できない環境である場合
- 証明書のダウンロードを制限されている場合
- 自己署名証明書のようなMicrosoft未承認の証明書が使用されている場合
自動でインストールされない場合は、適切な証明書を確認・取得し、以下の手順に従って手動でインストールしてください。
- 取得した証明書ファイルを実行します。
セキュリティの警告が表示された場合は[開く]を押して進みます。 - [証明書のインストール]を押します。
- [次へ]を押します。
- [証明書をすべて次のストアに配置する]を選択し、[参照]を押します。
- ルートCA証明書の場合は[信頼されたルート証明機関]を、
中間CA証明書の場合は[中間証明機関]を選択し、[OK]を押します。 - [次へ]を押します。
- [完了]を押すと、証明書がインストール(インポート)されます。
官職証明書/組織証明書/職責証明書を使用する場合
官職証明書、組織証明書、または職責証明書を使用した署名の検証に必要な証明書は、[署名・捺印]メニューの[GPKI設定]からダウンロード・インストールできます。
署名に関する環境設定の確認
環境設定の[電子署名]タブや[署名テキスト]タブを開き、署名の付与や検証に関して適宜設定を行います。
タイムスタンプの準備
タイムスタンプの付与・検証を行うには、あらかじめ以下の準備を行う必要があります。
なお、タイムスタンプの付与・検証はオンライン環境でのみ可能です。
タイムスタンプサービスのライセンスの取得
タイムスタンプを付与にはタイムスタンプサービスのライセンスが必要です。検証だけを行う場合は不要です。
本製品では、以下のタイムスタンプサービスを使用できます。
ライセンスが無い場合は使用したいサービスに申し込み、購入手続きを行ってください。
| AMANO Time Stamp Service 3161 (アマノタイムスタンプサービス3161) |
アマノセキュアジャパン株式会社  のタイムスタンプ
|
|---|---|
| 認定タイムスタンプ byGMO | GMOグローバルサイン株式会社 のタイムスタンプ
|
| SEIKO Time Stamp Service (セイコータイムスタンプサービス) |
セイコーソリューションズ株式会社 のタイムスタンプ
|
- 本製品はMINDタイムスタンプサービスには未対応です。
タイムスタンプのルート・中間CA証明書のインストール
タイムスタンプの付与・検証には、タイムスタンプに応じたルートCA証明書および中間CA証明書が必要です。
Microsoftのルート証明更新プログラムに承認されている証明書であれば、バックグラウンドで自動的にインストールされます。
ただし、以下のような場合は、自動でインストールされません。
- OSの「ルート証明書の自動更新をオフにする」設定を有効にしている場合
- Microsoftに接続できない環境である場合
- 証明書のダウンロードを制限されている場合
- 自己署名証明書のようなMicrosoft未承認の証明書が使用されている場合
自動でインストールされない場合は、適切な証明書を確認・取得し手動でインストールしてください。
以下は、AMANO Time Stamp Service 3161の場合を例とした証明書インストール手順です。
- 以下に示すURLからセコムトラストシステムズ株式会社のダウンロードページにアクセスし、以下のルートCA証明書と中間CA証明書をすべてダウンロードします。
- ルートCA証明書
- Security Communication RootCA2 (SCRoot2ca.cer)
- Security Communication RootCA3 (SCRoot3ca.cer)
- 中間CA証明書
- SECOM TimeStamping CA3 (ca3-der.cerまたはca3.cer、どちらでも可)
- ダウンロードした証明書ファイルをそれぞれ実行します。
セキュリティの警告が表示された場合は[開く]を押して進みます。 - [証明書のインストール]を押します。
- ルートCA証明書(SCRoot2ca.cer、SCRoot3ca.cer)の場合は[信頼されたルート証明機関]のストアを選択し、
中間CA証明書(ca3-der.cerまたはca3.cer)の場合は[中間証明機関]のストアを選択して、[OK]を押します。 - [次へ]を押します。
- [完了]を押すと、証明書がインストール(インポート)されます。
ダウンロードした証明書をすべてインポートして完了です。
- 詳細:アマノセキュアジャパン株式会社「ルートCA証明書および中間CA証明書の追加設定のお願い」(https://www.e-timing.ne.jp/news/detail/70 )
タイムスタンプに関する環境設定の確認
タイムスタンプを付与する際は、環境設定の[タイムスタンプ]タブを開き、利用するタイムスタンプサービスに合わせて適宜設定を行います。