トレーニング
認定資格
Microsoft Certified: Identity and Access Administrator Associate - Certifications
ID ソリューションの現代化、ハイブリッド ソリューションの実装、ID ガバナンスの実装を行う Microsoft Entra ID の機能を実証します。
このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
このページでは、Microsoft の信頼されたルート証明書プログラム ("プログラム") に参加する証明機関 (CA) の要件と、Microsoft が Microsoft の信頼されたルート証明書プログラムの一環で現在サポートしている各拡張キー使用法プロパティ (EKU) を使用するための要件について説明します。
商用 CA および政府 CA の要件と、政府 CA を構成しているもの、および政府 CA の要件がどのように変化しているかについては、定義のセクションを参照してください。
ヒント
このページをブックマークする: https://aka.ms/auditreqs
Microsoft では、すべての CA が、CA とその公開キー基盤 (PKI) チェーン内の非制限ルートに対する資格認定監査の証拠を年に 1 回提出することを必須としています。 資格監査は、次の 5 つの主要な要件を満たしている必要があります。
CA には、適切な期間内に監査結果と監査要件への準拠に関する適格証明書を Microsoft に提出する責任があります。
Microsoft は、証明機関の監査を、(1) WebTrust、(2) ETSI Equivalent National Authority (https://aka.ms/ena で公開)、または (3) 政府 CA の場合は政府機関自身のいずれかによって実施することを認定された独立した個人または会社である場合に、監査担当者を認定監査担当者とみなします。 (政府 CA の詳細については、「政府 CA の要件」を参照してください。)
CA が ウェブトラスト 監査を取得することを選択した場合、Microsoft は CA に対し、監査を実行するために ウェブトラストライセンス監査人を保持するよう要求します。 ウェブとラストによってライセンスされた監査担当者の全リストについては、「https://aka.ms/webtrustauditors」を参照してください。 CA が ETSI ベースの監査を取得する場合、Microsoft では、CA が ウェブトラストに相当する国立機関 (ENA) の認定を受けた機関から監査を受けることを必須としています。 利用できる ENA のカタログは、https://aka.ms/ena の一覧に基づいています。 CA が ETSI と同等の国立機関がない国で運営されている場合、Microsoft は、監査人の母国にある同等の国立機関の認定を受けた監査人が実行する監査を認めます。
監査の範囲には、すべてのルート、ルート以下にある無制限のサブルートとクロス署名済みの未登録ルート (検証済みドメインに制限されているサブルートを除く) が含まれます。 監査では、完全な PKI 階層も文書化する必要があります。 最終的な監査書は、公開されているアクセス可能な場所に置く必要があります。また、監査期間の開始日と終了日を含める必要があります。 WebTrust 監査の場合、公開されているアクセス可能な場所に WebTrust シールを表示する必要もあります。
Microsoft では、商用運用を開始する前に監査が必要です。 90 日間以上、証明書の発行者として運用されていない商用 CA の場合、Microsoft は、資格を持つ監査人が実行した期限内準備完了監査を認めます。 CA が特定の時点の準備状況監査を使用している場合、Microsoft は CA が最初の証明書を発行してから 90 日以内にフォローアップ監査を要求します。 新しいルートを適用するために使用するプログラムに既に含まれている商用 CA は、新しいルートの特定の時点および期間の監査要件から除外されています。 代わりに、プログラム内の既存のルートの監査について最新の状態にする必要があります。
Microsoft では、CA が年に 1 回準拠した監査を受ける必要があります。 CA の最新のビジネス慣行を正確に反映した情報を Microsoft が確実に得られるように、監査で作成した証明書は、証明書レターに記載された終了日から 3 か月以内の日付であり、その期間内に Microsoft が受領する必要があります。
Microsoft では、各監査担当者が完了し、認定証明書を Microsoft に提出することを求めています。 適格な構成証明では、監査者が適格な構成証明書書簡を完成させる必要があります。
Microsoft では、監査文字を自動的に解析して、適格な構成証明書書簡の精度を検証するツールを使用します。 このツールは、共通の証明機関データベース (CCADB) にあります。 監査担当者と協力して、適格証明書レターが次の要件を満たしていることを確認してください。 監査レターがこれらのカテゴリのいずれかで失敗した場合は、監査レターを更新するように要求するメールが CA に送り返されます。
認定ウェブトラスト監査担当者によって実施される監査では、監査レターを https://cert.webtrust.orgにアップロードする必要があります。
年次監査を提出するには、「https://ccadb.org/cas/updates」で説明されている監査事例を作成する方法に関する CCADB の指示を参照してください。
CA がルート ストアに適用されていて、CCADB に存在しない場合は、監査証明書を msroot@microsoft.com に電子メールで提出する必要があります。
このプログラムは、ウェブトラスト と これに相当する国立機関 という 2 種類の監査基準を受け入れます。 左側の EKU ごとに、Microsoft では、マークされた標準に準拠した監査が必要です。
注意
2024 年 2 月の時点で、CA プロバイダーは、S/MIME が有効なルート CA と、S/MIME 証明書を発行できるすべての下位 CA が、最新バージョン (少なくとも以下の基準一式のいずれか) に対して監査されており、今後も監査されることを確認する必要があります。
Microsoft では、証明機関に対して ウェブトラストの サービスの原則と条件を要求します。2018 年 1 月 1 日以降の期間におけるすべての監査明細書のコード署名です。 これは、コード署名 EKU がルートに対して有効になっているすべての CA に必要です。 ルートでコード署名 EKU が有効になっていても、コード署名証明書をアクティブに発行していない CA は、msroot@microsoft.com に連絡して、EKU ステータスを 「NotBefore」に設定することができます。
基準 | CA バージョン 2.1 の ウェブトラスト | ネットワークセキュリティ v2.3 を使用した SSL ベースライン | 拡張検証SSL v1.6.2 | 拡張検証 コード署名 v1.4.1 | 公的に信頼されているコード署名証明書 v1.0.1 | WebTrust Principles and Criteria for Certification Authorities – S/MIME |
---|---|---|---|---|---|---|
サーバー認証 (非 EV) | x | x | ||||
サーバー認証およびクライアント認証 | x | x | ||||
サーバー認証 (非 EV) | x | X | x | |||
サーバー認証およびクライアント認証のみ | x | X | x | |||
iOS コード署名 | x | x | ||||
コード署名とタイム スタンプの使用 | x | x | ||||
暗号メール (S/MIME) | x | x | ||||
クライアント認証 (サーバー認証なし) | x | |||||
ドキュメントの署名 | x |
注 1: CA が ETSI ベースの監査を使用している場合は、毎年完全な監査を実行する必要があり、Microsoft はサーベイランス監査を受け入れません。 注 2: ETSI 監査のすべてのステートメントは、CA/ブラウザー フォーラムの要件に対して監査する必要があり、これらの要件への準拠は、監査レターに記載されている必要があります。 ACAB'c (https://acab-c.com) には、Microsoft の要件を満たすガイダンスが用意されています。
基準 | EN 319 411-1: DVCP、OVCP または PTC-BR ポリシー | EN 319 411-1: EVCP ポリシー | EN 319 411-2: QCP-w/QEVCP-w ポリシー (EN 319 411-1、EVCP に基づく) | EN 319 411-1: LCP、NCP、NCP+ ポリシー | EN 319 411-2: QCP-n、QCP-n-qscd、QCP-l, QCP-l-qscd ポリシー (EN 319 411-1、NCP/NCP+ に基づく) | ETSI TS 119 411-6 によって修正された ETSI EN 319 411-1、LCP、NCP、または NCP+ ポリシー、または ETSI TS 411-6 によって修正された ETSI EN 319 411-2、QCP-n、QCP-I、QCP-n-qscd、または QCP-I-qscd ポリシー |
---|---|---|---|---|---|---|
サーバー認証 (非 EV) | x | |||||
サーバー認証およびクライアント認証 | x | |||||
サーバー認証 (非 EV) | x | |||||
サーバー認証およびクライアント認証のみ | x | x | ||||
iOS コード署名 | x | x | ||||
コード署名とタイム スタンプの使用 | x | x | ||||
暗号メール (S/MIME) | x | X | x | |||
クライアント認証 (サーバー認証なし) | x | x | ||||
ドキュメントの署名 | x | x |
政府 CA は、商用 CA に必要な上記の WebTrust または ETSI ベースの監査を受けるか、同等の監査を利用するかを選択できます。 政府機関 CA が ウェブトラストまたは これに相当する国立機関の監査を取得することを選択した場合、Microsoft は政府機関 CA を商用 CA として扱います。 政府 CA は、発行された証明書を制限することなく動作できます。
政府 CA が ウェブトラスト または これに相当する国立機関の監査を使用しないことを選択した場合、同等の監査を受ける可能性があります。 同等の監査 ("EA") の場合、政府 CA は監査を実行する第三者を選択します。 監査には 2 つの目的があります。(1) 政府 CA が証明機関の操業に関連する現地の法律と規制に準拠していると示すこと、および (2) 監査が関連する ウェブトラストおよび これに相当する国家機関の基準に実質的に準拠していると示すことです。
政府 CA が EA を受ける場合、Microsoft は、政府 CA が発行できる証明書の範囲を制限します。 サーバー認証証明書を発行する 政府 CA では、ルートは政府が管理している領域に制限される必要があります。 政府は、他の証明書の発行を、その国が主権を持つ国コードISO3166に制限する必要があります。
また、政府機関 CA は、ルートの問題である証明書の種類に基づいて、CA の適切な CAB フォーラムベースライン要件を受け入れて採用する必要があります。 ただし、そのプログラム要件および監査要件と、それらの要件との間に何らかの矛盾がある場合、Microsoft の要件が常に優先されます。
プログラムに参加するすべての政府 CA は、上記の EA の要件に従う必要があります。 2015 年 6 月 1 日より前にプログラムに参加していたすべての政府 CA は、現在の監査の有効期限が切れるとすぐに上記の EA の要件に従う必要があります。
Microsoft では、EA を提出するすべての Government CA に対し、監査人から次の構成証明レターを提供するよう求めます。
「政府 CA」は、政府機関プログラム契約に署名するエンティティです。
「商用 CA」は、商用プログラム契約に署名するエンティティです。
「証明機関」または「CA」とは、現地の法律および規制に従ってデジタル証明書を発行する機関です。
現地の法律と規制 とは、CA がデジタル証明書を発行する認定を受けるときに CA に適用される法律および規制であり、証明書の発行、保守、または失効に適用されるポリシー、規則、および基準 (監査の頻度、手順など) が設定されています。
トレーニング
認定資格
Microsoft Certified: Identity and Access Administrator Associate - Certifications
ID ソリューションの現代化、ハイブリッド ソリューションの実装、ID ガバナンスの実装を行う Microsoft Entra ID の機能を実証します。