PLOP DS で利用する証明書の入手方法

PLOP DS で第三者が検証可能な電子署名を行う場合、認証局から「クライアント証明書」または「署名用証明書」を購入する必要があります。しかしながら認証局では様々なニーズに対応するため、署名には使用できない証明書も提供しています。
この記事では、PLOP DS で利用可能な証明書を、具体例を挙げながら説明します

PLOP DS で使用可能な証明書の購入先

認証局で販売されている証明書には下記のようなものがあります (名称は多少異なります)：

• サーバー証明書 (SSL 証明書、TLS 証明書 等)
• コードサイニング証明書
• クライアント証明書
• 署名用証明書

上記はすべて証明書ですが、前者２つには秘密鍵が含まれておらず、後者２つには秘密鍵が含まれています。この違いは証明書の目的によるものですが、PDF への署名では秘密鍵が含まれる後者の証明書が必要です。

また署名した PDF を受領者が Adobe Acrobat で表示する前提である場合、Acrobat が署名を自動的に信頼できる AATL (Adobe Approved Trust List) に対応した証明書であるかも重要です。AATL は Adobe 社が管理する信頼リストで、Adobe Acrobat と Adobe Acrobat Reader は AATL に従って署名を検証します。
AATL に参加している認証局は Adobe 社のウェブサイトで公開 されており、日本の認証局では Cybertrust, GlobalSign, SECOM が対応しています（敬称略、2020年9月 現在）。

PLOP DS で利用可能な利用形式

前述した認証局から発行された証明書は、次のような方法で提供されます。

ダウンロード、または CD-ROM 等のメディアでの提供

この形式では PKCS#12 形式の証明書ファイル (拡張子 .pfx または .p12) の形で提供されます。PLOP DS は必要な暗号化機能をすべて備えているため、PLOP DS だけで署名を行うことができます。

UBS トークンまたは IC カードでの提供

この形式では秘密鍵をハードウェアの外部に持ち出すことができないため、PKCS#11 で定めらたインターフェースを通じて署名を行います。PLOP DS は PKCS#11 インターフェースに対応しているため、USB トークンや IC カード内の証明書を使用して安全に署名することができます。(PKCS#11 を実装した DLL / SO ファイルが必要です)

Windows インストーラーでの提供

この形式では秘密鍵を Windows 証明書ストアの外部に持ち出すことができないため、MSCAPI を通じて署名を行います。PLOP DS は MSCAPI に対応しているため、Windows 証明書ストア内の証明書を使用して安全に署名することができます。
また前述の証明書ファイルで提供された証明書を Windows 証明書ストアに格納し、MSCAPI 経由で使用することもできます。

電子署名法で有効な証明書

電子署名法の成立に伴い、一定の基準を満たす認証業務は国の認定を受けることができる認定制度が導入されました。認定を受けた認証業務が一定の基準を満たしていることは間違いありませんが、電子署名法の要件として、この認定を受けた認証業務の利用は必須ではありません。そのため、前述した認証局も電子署名法の要件を満たすことができます。

認定を受けた認証業務の一覧は 総務省のウェブサイト で公開されております。