問題点 (Issue)

地方公共団体組織認証基盤(LGPKI)から発行された職責証明書による電子署名が付与された PDF を Adobe Reader/Adobe Acrobat で開く際に、改ざんが行われていないことなどを確認することができます。このとき、署名のプロパティを確認すると、「署名者のIDは発行時は有効でしたが、現時点で失効確認ができませんでした」と表示される場合があります。

解決方法 (Solutions)

失効確認リストを取得して失効確認も完全に行うためには、Adobe Reader/Acrobat を終了し、以下の操作を行います。

Windows の場合

レジストリキーを追加することにより、職責証明書の失効確認が行えるように設定することができます。

警告: 以下の操作は、Windows レジストリの編集を必要とします。Windows レジストリには、コンピュータとアプリケーションのための重要な情報が含まれています。レジストリの編集については、弊社ではサポートを行っておりません。変更する前には、必ずレジストリのバックアップを作成してください。レジストリの詳細は、Windows のマニュアルを参照するか、Microsoft 社にお問い合わせください。

  1. 「署名のプロパティ」画面で「署名者の証明書を表示」ボタンをクリックします。証明書ビューアが起動します。

  2. 証明書ビューアの「詳細」タブをクリックし、「証明書データ」の中から「公開鍵の SHA1 ダイジェスト」を選択します。下の欄に 16 進数形式のデータが表示されるので、これをメモ帳などにコピーしてください。

    ※ 以下、このデータを「署名者証明書の公開鍵の SHA1 ダイジェスト」と呼称します。なおこのデータは、PDF を発行した地方公共団体やその部署ごとに異なります。以下のデータは一例ですので、ご注意ください。

  3. 左側の証明書ツリービューで、(最上位ではなく)ひとつ上の階層の「LGPKI」を選択します。

  4. 「証明書データ」から「サブジェクト」を選択すると、下段に

    ou=Organization CA U8
    o=LGPKI
    c=JP

    と表示されます。これは、中間認証局の証明書です。同様に「公開鍵のSHA1ダイジェスト」を選択し、下段に表示される 16 進数形式のデータをメモ帳などにコピーしてください。

    ※ 以下、このデータを「中間認証局証明書の公開鍵のSHA1ダイジェスト」と呼称します。

  5. レジストリエディタを起動し、以下のパスを参照します。

    HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\11.0\Security\cASPKI\cASPKI\cCustomCertPrefs

    ※ Acrobat XI の場合は、上記の「Adobe Reader」の部分を「Adobe Acrobat」に置き換えてください。

  6. cCustomerCertPrefs の下に、以下の 2 つのキーを作成します。

    • 「中間認証局証明書の公開鍵のSHA1ダイジェスト」の先頭に文字 ’c’ を追加したもの
    • 「署名者証明書の公開鍵のSHA1ダイジェスト」の先頭に文字 ’c’ を追加したもの

    中間認証局証明書の失効確認に関するものと、署名者証明書の失効確認に関するものです。

    手順 4. の画像の場合、以下のようにキーを作成します。cCustomCertPrefsキーまでのパスは省略してあります。

    c85E99F803656EBFAAFDCE6AD3EFEB6C1F1B9AC9A
    c85E99F803656EBFAAFDCE6AD3EFEB6C1F1B9AC9A¥cAdobe_CRLRevChecker
    c85E99F803656EBFAAFDCE6AD3EFEB6C1F1B9AC9A¥cAdobe_CRLRevChecker¥cLDAP
    c85E99F803656EBFAAFDCE6AD3EFEB6C1F1B9AC9A¥cAdobe_CRLRevChecker¥cLDAP¥c0
    "sValue"=hex:64,69,72,2e,6c,67,70,6b,69,2e,6a,70,3a,33,38,39,2f,6f,75,3d,42,72, 69,64,67,
      65,25,32,30,43,41,25,32,30,55,38,2c,6f,3d,4c,47,50,4b,49,2c,63,3d,4a,50,3f,61,75,74,68,6f,
      72,69,74,79,52,65,76,6f,63,61,74,69,6f,6e,4c,69,73,74,3f,00

    「c85E99F803656EBFAAFDCE6AD3EFEB6C1F1B9AC9A」は、中間認証局自己署名証明書の公開鍵の SHA-1 ダイジェストの先頭に文字 ’c’ を追加したものです。すでに別の地方公共団体について失効確認の設定を行っている場合、このキーはすでに作成されています。その場合は、そのまま手順 7. に進んでください。

    最後の c0 キーの下に作成する sValue は、バイナリ値で作成します。LDAP サーバー「dir.lgpki.jp:389/ou=Bridge%20CA%20U8,o=LGPKI,c=JP?authorityRevocationList?」を指定するために、バイナリデータを入力する必要があります。「バイナリ値の編集」画面で順に

    「 64,69,72,2e,67,70,6b,69,2e,67,6f,2e,6a,70, 3a,33,38,39,2f,6f,75,3d,42,72, 69,64,67,65,25,32,30,43,41,25,32,30,55,38,2c,6f,3d,4c,47,50,4b,49,2c,63,3d,
    4a,50,3f,61,75,74,68,6f,72,69,74,79,52,65,76,6f,63,61,74,69,6f,6e,4c,69,73,74,3f,00」

    と入力するか、または右エリアに

    「dir.lgpki.jp:389/ou=Bridge%20CA%20U8,o=LGPKI,c=JP?authorityRevocationList?」

    と入力します。最後に左のバイナリ画面で「0」を入力してください。

  7. 続いて、署名者証明書に関するキーを以下のように作成します。cCustomCertPrefs キーまでのパスは省略してあります。

    cC87131B295D6886CE282263435142BB4B2CA5C86
    cC87131B295D6886CE282263435142BB4B2CA5C86¥cAdobe_CRLRevChecker
    cC87131B295D6886CE282263435142BB4B2CA5C86¥cAdobe_CRLRevChecker¥cLDAP
    cC87131B295D6886CE282263435142BB4B2CA5C86¥cAdobe_CRLRevChecker¥cLDAP¥c0
    "sValue"=hex:64,69,72,2e,6c,67,70,6b,69,2e,6a,70,00

    「cC87131B295D6886CE282263435142BB4B2CA5C86」は、署名者証明書の公開鍵の SHA-1 ダイジェストの先頭に文字 ’c’ を追加したものです。この文字列は、署名者ごとに異なりますので、ご注意ください。

    同様に、c0 キーの下に作成する sValue は、バイナリ値で作成します。LDAP サーバー「dir.lgpki.jp」を指定するために、バイナリデータを入力する必要があります。「バイナリ値の編集」画面で順に「 64,69,72,2e,67,70,6b,69,2e,67,6f,2e,6a,70,00」と入力するか、または右エリアに 「dir.lgpki.jp」と入力します。。最後に左のバイナリ画面で「0」を入力してください。

  8. レジストリキーは最終的に以下のような構造になります。

  9. Adobe Reader/Acrobat を再起動して、署名入り PDF を再度開きます。「署名者のIDは有効です」というメッセージに変更されます。

Mac OS の場合

Mac OS の場合は、plist(Property List)にプロパティを追加します。追加するプロパティの構造や名前はWindows と同じです。お使いの plist エディタで編集してください。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー