本ページでは、サーバー証明書の失効申請における失効理由コードの指定についてご説明します。本ページをご参照の上、必要に応じ失効理由コードの指定をお願いいたします。
目次
失効理由コードとは
指定可能な失効理由コードの一覧
JPRSサーバー証明書発行サービスにおいて指定可能な失効理由コードは、以下の5種類となります。「失効理由コードの内容」の説明をご参照の上、該当する失効理由コードを一つ選択してください。
- 該当なし(unspecified CRLReason #0)
- 鍵の危殆化(keyCompromise CRLReason #1)
- 組織情報の変更(affiliationChanged CRLReason #3)
- 証明書の取替(superseded CRLReason #4)
- 運用の停止(cessationOfOperation CRLReason #5)
なお、該当する失効理由コードが複数存在する場合は以下の優先順位により、優先度が最も高い失効理由コードのみを選択してください。
- 1. 失効する証明書がDV証明書の場合
- 2. 失効する証明書がOV証明書の場合
- 鍵の危殆化 > 運用の停止 > 組織情報の変更 > 証明書の取替
失効理由コードの内容
それぞれの失効理由コードの内容は以下の通りです。
- 該当なし(unspecified CRLReason #0)
以下の失効理由コードのいずれにも該当しないとき
失効理由コードの指定は不要です。
※失効理由コードの指定がない失効申請はすべて「該当なし」として取り扱います。
- 鍵の危殆化(keyCompromise CRLReason #1)
証明書の公開鍵に対応する秘密鍵が危殆化した、もしくはその恐れがあるとき(危殆化とは、情報漏えいなどにより、秘密鍵の安全性が脅かされる状態を示します)
例:アクセス権限を持たない人物が証明書の秘密鍵にアクセスした。
- 組織情報の変更(affiliationChanged CRLReason #3)
証明書記載の組織情報に変更が生じたとき
例:社名変更や事業所の移転などにより、組織認証型(OV)証明書のO(組織名)、ST(都道府県名)、L(市区町村名)に変更があった。
※本項目はOV証明書の失効のみに適用されます。
- 証明書の取替(superseded CRLReason #4)
ポリシー違反などを理由に、証明書の取り替えを行ったとき
例:証明書の記載情報に、CPSおよびCPの規定に適合しないものが含まれていた。
- 運用の停止(cessationOfOperation CRLReason #5)
ドメイン名の廃止やWebサイトの閉鎖などにより、証明書を利用しなくなったとき
例:証明書利用者がCNやSANに記載されたドメイン名を移転・廃止した。
JPRSサーバー証明書発行サービスにおける失効理由コードの指定方法
JPRSサーバー証明書発行サービスにおける、失効理由コードの指定方法は以下の通りです。
従来版とACME対応版では指定方法が異なりますので、ご注意ください。
- 従来版
失効対象のサーバー証明書の発行を依頼した指定事業者を経由して申請します。指定事業者への申請の際、該当する失効理由コードをお伝えください。
- ACME対応版
ACMEクライアントを用いて、証明書利用者がJPRSに直接申請します。失効申請のパラメーターとして、該当する失効理由コードをご指定ください。なお、ACMEクライアントのご利用手順については、「ACMEクライアントのご利用手順」をご参照ください。
参考情報
Mozillaでは失効理由コードの指定に関する背景・詳細を、解説文書として公開しています。適宜ご参照ください。
