監査要件-Microsoft 信頼されたルート証明書プログラムAudit Requirements - Microsoft Trusted Root Certificate Program

このページでは、microsoft 信頼されたルート証明書プログラム (プログラム) に参加する証明機関 (Ca) の要件と、microsoft " " が Microsoft 信頼されたルート証明書プログラムの一部として現在サポートしている各 eku を使用するための要件を設定します。This page sets out the requirements for Certification Authorities (CAs) who participate in the Microsoft Trusted Root Certificate Program ("Program") along with the requirements to use each of the EKUs that Microsoft currently supports as part of the Microsoft Trusted Root Certificate Program.

また、商用 CA と政府 CA 両方の要件と、政府 CA の構成要素に関する情報について説明します Below you will find the requirements for both Commercial CAs and Government CAs along with information about what constitutes a Government CA. (「」を参照 " )"次の定義を参照してください。(See "Definitions", below). さらに、政府 CA の要件の違いについても説明します。Additionally, you will find information about how the requirements are changing for Government CAs.

注意

このページをブックマークする: https://aka.ms/auditreqsBookmark this page: https://aka.ms/auditreqs


一般的な要件General Requirements

Microsoft では、すべての CA が資格認定監査と PKI チェーン内の非制限ルートの証拠を年に 1 回提出することを必須としています。Microsoft requires that every CA submit evidence of a Qualifying Audit on an annual basis for the CA and any non-limited root within its PKI chain. 限定監査は、次の5つの主要な要件を満たしている必要があります。A Qualifying Audit must meet the following five main requirements:

  1. 監査人を修飾する必要があります。the auditor must be qualified,
  2. 監査は、適切なスコープを使用して実行する必要があります。the audit must be performed using the proper scope,
  3. 監査は、適切な標準を使用して実行する必要があります。the audit must be performed using the proper standard, and
  4. 監査を実行する必要があり、適切な期間内に構成証明書の文字を発行する必要があります。the audit must be performed and the attestation letter must be issued within the proper time period, and
  5. 監査担当者は、適格な構成証明を完了して送信する必要があります。the auditor must complete and submit a Qualifying Attestation.

証明機関は、監査の結果に対して適切な構成証明を使用することと、監査要件を適時に準拠させることを Microsoft に提供する責任です。It is the responsibility of the CA to provide Microsoft with a Qualifying Attestation to the results of the audit as well as conformance to the Audit Requirements in a timely manner.

A.A. 監査人の資格The Auditor's Qualifications

マイクロソフトは、証明機関の監査を、(1) WebTrust、(2) ETSI 同等の National Authority (で公開 https://aka.ms/ena )、または (3) 政府機関 (政府機関) の場合、政府機関のいずれかによって実施することを認定された独立した個人または会社であると見なします。Microsoft considers an auditor to be a Qualified Auditor if s/he is an independent individual or company that is certified to perform certification authority audits by one of these three authorities: (1) WebTrust, (2) an ETSI Equivalent National Authority (published at https://aka.ms/ena) or, (3) in the case of a Government CA, the government itself. (政府機関の詳細については、「」を参照してください " )。" 以下の政府 CA の要件。)(For more information on Government CAs, see "Government CA Requirements" below.)

CA が WebTrust の監査を受ける場合、Microsoft では、CA が WebTrust のライセンスを受けた監査人から監査を受けることを必須としています。If a CA chooses to obtain a WebTrust audit, Microsoft requires the CA to retain a WebTrust licensed auditor to perform the audit. WebTrust によってライセンスされた監査者の完全な一覧については、「」を参照 https://aka.ms/webtrustauditors してください。The full list of WebTrust-licensed auditors is available at https://aka.ms/webtrustauditors. CA が ETSI ベースの監査を取得することを選択した場合、Microsoft は、CA が同等の National Authority (または enas) によって承認されたエンティティを保持することを要求し " " ます。If a CA chooses to obtain an ETSI-based audit, Microsoft requires the CA to retain an authorized entity by an Equivalent National Authority (or "ENAs"). 許容される ENAs のカタログは、のリストに基づいてい https://aka.ms/ena ます。A catalogue of acceptable ENAs is based on the list at https://aka.ms/ena. CA が ETSI と同等の National Authority を持っていない国で運用されている場合、マイクロソフトは、監査者の自宅の国における同等の National 機関によって認定された監査担当者によって実行される監査を受け入れ ' ます。If a CA is operated in a country that does not have an ETSI Equivalent National Authority, Microsoft will accept an audit performed by an auditor that is qualified under an Equivalent National Authority in the auditor's home country.

B.B. 監査のスコープThe Scope of the Audit

監査の範囲には、すべてのルート、ルート以下にある無制限のサブルートとクロス署名済みの未登録ルート (検証済みドメインに制限されているサブルートを除く) が含まれます。The scope of the audit must include all roots, non-limited sub-roots, and cross-signed non-enrolled roots, under the root, except for sub-roots that are limited to a verified domain. 監査では、すべての PKI 階層も文書化する必要があります。The audit must also document the full PKI hierarchy. 最終的な監査書は、公開されているアクセス可能な場所に置く必要があります。また、監査期間の開始日と終了日を含める必要があります。The final audit statements must be in a publicly-accessible location and must contain the start and end dates of the audit period. WebTrust 監査の場合、公開されているアクセス可能な場所に WebTrust シールを表示する必要があります。In the case of a WebTrust audit, WebTrust seal(s) must also be in a publicly-accessible location.

C.C. 特定の時点への対応評価Point-in-Time Readiness Assessments

Microsoft では、商業活動を開始する前の監査を必須としています。Microsoft requires an audit prior to commencing commercial operations. 90 日間以上、証明書の発行者として操業していない商用 CA の場合、Microsoft は、資格を持つ監査人が実行した期限内準備完了監査を認めます。For commercial CAs that have not been operational as an issuer of certificates for 90 days or more, Microsoft will accept a point-in-time readiness audit conducted by a Qualified Auditor. CA が期限内準備完了監査を利用する場合、Microsoft では、CA が最初の証明書を発行してから 90 日間以内にフォローアップ監査を実行することを必須としています。If the CA uses a point-in-time readiness audit, Microsoft requires a follow-up audit within 90 days after the CA issues its first certificate. 新しいルートを適用するために使用するプログラムに既に含まれている商用 CA は、新しいルートの特定の時点および期間の監査要件から除外されています。A commercial CA already in our program applying for a new root to be included is exempt from the point-in-time and period-in-time audit requirement for the new roots. 代わりに、プログラム内の既存のルートの監査について最新の状態にする必要があります。Rather, they should be up to date on audits for their existing roots in the program.

D.D. 評価と監査者の構成証明の間の期間The Time Period Between the Assessment and the Auditor's Attestation

Microsoft では、CA が準拠した内容の監査を年に 1 回受けることを必須としています。Microsoft requires that the CA obtain a conforming audit annually. CA の最新の事業が実際に反映された情報を Microsoft が確実に得られるように、監査で作成した証明書は、証明書に記載された終了日から 3 か月以内に Microsoft が受領する必要があります。To ensure that Microsoft has information that accurately reflects the current business practices of the CA, the attestation letter arising from the audit must be dated and received by Microsoft not more than 3 months from the ending date specified in the attestation letter.

E.E. 構成証明の監査Audit Attestation

Microsoft では、各監査担当者を完了し、認定証明書を Microsoft に提出する必要があります。Microsoft requires that each auditor complete and submit to Microsoft a Qualifying Attestation. 適格な構成証明では、監査者が適格な構成証明書の文字を完了する必要があります。A Qualifying Attestation requires that the auditor completes a Qualifying Attestation Letter.

Microsoft では、監査文字を自動的に解析して、修飾された構成証明書の文字の精度を検証するツールを使用します。Microsoft uses a tool to automatically parse audit letters to validate the accuracy of the Qualifying Attestation Letter. このツールは、共通の証明機関データベース (CCADB) にあります。This tool is found in the Common Certification Authority Database (CCADB). 監査担当者と協力して、限定された構成証明書の文字が次の要件を満たしていることを確認してください。Please work with your auditor to make sure the Qualifying Attestation Letter fulfills the following requirements. これらのカテゴリのいずれでも監査文字が失敗した場合は、監査文字を更新するように要求するメッセージが CA に送り返されます。If the audit letter fails in any of these categories, a mail will be sent back to the CA asking them to update their audit letter.

すべての CAALL CAS

  1. 監査文字は英語で記述する必要がありますAudit letter must be written in English
  2. 監査文字は、"テキスト検索可能" PDF 形式である必要があります。Audit letter must be in a "Text Searchable" PDF format.
  3. 監査レターでは、CCADB に記録されている監査レターに監査者名が含まれている必要があります。Audit letter must have the auditor's name in the audit letter as recorded in CCADB.
  4. 監査文字は、SHA1 拇印または監査ルートの SHA256 拇印を一覧表示する必要があります。Audit letter must list either SHA1 thumbprint or SHA256 thumbprint of audited roots.
  5. 監査文字は、監査文字が書き込まれた日付を一覧表示する必要があります。Audit letter must list the date the audit letter was written.
  6. 監査文字は、監査された期間の開始日と終了日を示す必要があります。Audit letter must state the start and end dates of the period that was audited. これは監査担当者がオンサイトであった期間ではないことに注意してください。Please note that this is not the period the auditor was on-site.
  7. 監査文字には、CCADB に記録された CA の完全名が含まれている必要があります。The audit letter must include the full name of the CA as recorded in CCADB.
  8. 監査文字は、監査中に使用された監査標準を一覧表示する必要があります。Audit letter must list the audit standards that were used during the audit. WebTrust/ETSI ガイドラインを参照するか、参照されて https://aka.ms/auditreqs いる監査基準の完全な名前とバージョンを一覧表示してください。Please reference WebTrust/ETSI guidelines or https://aka.ms/auditreqs and list the full name and version of the audit standards referenced.

Webtrust 監査を送信する CaCAs submitting Webtrust audits

  1. 認定された WebTrust 監査担当者によって実行される監査には、にアップロードする監査文字が必要 https://cert.webtrust.org です。Audits conducted by certified WebTrust auditors must have their audit letters uploaded to https://cert.webtrust.org.

ETSI 監査を送信する CAsCAs submitting ETSI audits

  1. 認定 ETSI 監査担当者によって実施される監査には、監査レターが監査者の web サイトにアップロードされている必要があります。Audits conducted by certified ETSI auditors should have their audit letters uploaded to their auditor's website. 監査担当者が web サイトに投稿しない場合、CA は監査レターの送信時に監査者の名前と電子メールを提供する必要があります。If the auditor does not post on their website, the CA must provide the name and email of the auditor when submitting the audit letter. Microsoft の担当者が監査担当者に連絡して、レターの信頼性を確認します。A Microsoft representative will reach out to the auditor to verify the authenticity of the letter.
  2. Ca は、EN 319 411-2 または411-2 ポリシーを使用して監査を送信する場合があります。CAs may submit audits with either the EN 319 411-2 or 411-2 policy.

F.F. 監査の送信Audit Submission

年次監査を送信するには、「」で説明されている監査ケースを作成する方法に関する CCADB の指示を参照してください。 https://ccadb.org/cas/updatesTo submit annual audits, please refer to the CCADB instructions on how to create an audit case found here: https://ccadb.org/cas/updates.

CA がルートストアに適用されていて、CCADB に存在しない場合は、監査証明書を msroot microsoft.com に電子メールで送信する必要があり @ ます。If the CA is applying into the Root Store and is not in the CCADB, they should email their audit attestation to msroot@microsoft.com.


標準的な CA 監査基準Conventional CA Audit Standards

このプログラムは、WebTrust と ETSI という2種類の監査基準を受け入れます。The Program accepts two types of audit standards: WebTrust and ETSI. 左側の各 EKU について、マークした基準に準拠する監査が必要です。For each of the EKUs on the left, Microsoft requires an audit that conforms to the standard marked.

A.A. WebTrust 監査WebTrust Audits

Microsoft では、2018年1月1日以降の期間で、証明機関に対して WebTrust Trust サービスの原則と条件を要求します。Microsoft will now be requiring the WebTrust Trust Services Principles and Criteria for Certification Authorities -- Code Signing for any audit statements with periods commencing on or after January 1, 2018. これは、コード署名 EKU がルートに対して有効になっているすべての CA に必要です。This will be required for any CA that has the code signing EKU enabled for their roots. ルートでコード署名 EKU が有効になっていても、コード署名証明書をアクティブに発行していない CA は、msroot microsoft.com に連絡して、 @ eku ステータスを "NotBefore" に設定することができます。If a CA has the code signing EKU enabled on a root but is not actively issuing code signing certificates, they may reach out the msroot@microsoft.com to have the EKU status set to "NotBefore."

CA version 2.1 の WebTrustWebTrust for CA v2.1 Network Security v1.0 を使用した SSL ベースラインSSL Baseline with Network Security v2.3 拡張検証 SSL v 1.6.2Extended Validation SSL v1.6.2 拡張検証コード署名 v1.0Extended Validation Code Signing v1.4.1 公的に信頼されているコード署名証明書 v1.0Publicly Trusted Code Signing Certificates v1.0.1
サーバー認証 (非 EV)Server Authentication (Non-EV) XX XX
サーバー認証 (非 EV) とクライアント認証のみServer Authentication (non-EV) and Client Authentication only XX XX
サーバー認証 (EV)Server Authentication (EV) XX XX XX
サーバー認証 (EV) とクライアント認証のみServer Authentication (EV) and Client Authentication only XX XX XX
EV コード署名EV Code Signing XX XX
非 EV コード署名とタイム スタンプNon-EV Code Signing and Time stamping XX XX
セキュリティで保護された電子メール (S/MIME)Secured Email (S/MIME) XX
クライアント認証 (サーバー認証なし)Client Authentication (without Server Authentication) XX
ドキュメントの署名Document Signing XX

B.B. ETSI-Based 監査ETSI-Based Audits

注 1: CA が ETSI ベースの監査を使用している場合は、毎年 完全 な監査を実行する必要があり、Microsoft は監視監査を受け入れません。Note 1: If a CA uses an ETSI-based audit, it must perform a full audit annually, and Microsoft will not accept surveillance audits. 注 2: ETSI audit のすべてのステートメントは、CA/ブラウザーフォーラムの要件に対して監査する必要があり、これらの要件への準拠は、監査文字に記載されている必要があります。Note 2: All ETSI audits statements must be audited against the CA/Browser Forum requirements and compliance to these requirements must be stated in the audit letter. ACAB'c [] には、 https://acab-c.com Microsoft の要件を満たすガイダンスが用意されています。The ACAB'c [https://acab-c.com] has provided guidance that meets the Microsoft requirements.

EN 319 411-1: DVCP、dvr CP、または PTC-BR ポリシーEN 319 411-1: DVCP, OVCP or PTC-BR policies EN 319 411-1: EVCP ポリシーEN 319 411-1: EVCP policy EN 319 411-2: QCP-w ポリシー (EN 319 411-1、EVCP に基づく)EN 319 411-2: QCP-w policy (based on EN 319 411-1, EVCP) EN 319 411-1: LCP、NCP、NCP + ポリシーEN 319 411-1: LCP, NCP, NCP+ policies EN 319 411-2: QCP-n、QCP-n-qcp、QCP-l、QCP-l-qcp ポリシー (EN 319 411-1、NCP/NCP + に基づく)EN 319 411-2: QCP-n, QCP-n-qscd, QCP-l, QCP-l-qscd policies (based on EN 319 411-1, NCP/NCP+)
サーバー認証 (非 EV)Server Authentication (Non-EV) XX
サーバー認証 (非 EV) とクライアント認証のみServer Authentication (non-EV) and Client Authentication only XX
サーバー認証 (EV)Server Authentication (EV) XX
サーバー認証 (EV) とクライアント認証のみServer Authentication (EV) and Client Authentication only XX XX
EV コード署名EV Code Signing XX XX
非 EV コード署名とタイム スタンプNon-EV Code Signing and Time stamping XX XX
セキュリティで保護された電子メール (S/MIME)Secured Email (S/MIME) XX XX
クライアント認証 (サーバー認証なし)Client Authentication (without Server Authentication) XX XX
ドキュメントの署名Document Signing XX XX

政府 CA の要件Government CA Requirements

政府 Ca は、商用 Ca に必要な上記の WebTrust または ETSI ベースの監査を取得するか、同等の監査を使用するかを選択できます。Government CAs may choose to either obtain the above WebTrust or ETSI-based audit(s) required of Commercial CAs, or to use an Equivalent Audit. 政府 CA が WebTrust または ETSI ベースの監査を受ける場合、Microsoft はその政府 CA を商用 CA として扱います。If a Government CA chooses to obtain a WebTrust or ETSI-based audit, Microsoft will treat the Government CA as a Commercial CA. 政府 CA は、発行された証明書を制限することなく動作できます。The Government CA can then operate without limiting the certificates it issues.

A.A. 同等の監査制限Equivalent Audit Restrictions

政府 CA が、WebTrust または ETSI の監査を利用しない場合、同等の監査を受けることができます。If the Government CA chooses not to use a WebTrust or ETSI audit, it may obtain an Equivalent Audit. 同等の監査 ( " EA) では " 、政府機関は監査を実行するサードパーティを選択します。In an Equivalent Audit ("EA"), the Government CA selects a third party to perform an audit. 監査には2つの目的があります。 (1) Government CA が証明機関の運用に関連するローカルの法律と規制に準拠していることを示すため、および (2) 監査が関連する WebTrust または ETSI standard に大幅に準拠していることを示します。The audit has two purposes: (1) to demonstrate that the Government CA complies with local laws and regulations related to certificate authority operation, and (2) to demonstrate that the audit substantially complies with the relevant WebTrust or ETSI standard.

政府 CA が EA を受ける場合、Microsoft は、政府 CA が発行できる証明書の範囲を制限します。If a Government CA chooses to obtain an EA, Microsoft will limit the scope of certificates that the Government CA may issue. サーバー認証証明書を発行する政府 CA は、ルートを政府が管理しているドメインに制限する必要があります。Government CAs that issue server authentication certificates must limit the root to government-controlled domains. 政府は、他の証明書の発行先を、国が主権を持つ ISO3166 国コードに制限する必要があります。Governments must limit the issuance of any other certificates to ISO3166 country codes that the country has sovereign control over.

また、政府 CA は、ルートから発行される証明書の種類に基づき、CA に適した CAB フォーラムの基準要件を受け入れ、採用する必要があります。Government CAs must also accept and adopt the appropriate, CAB forum baseline requirements for CAs based on the type of certificates the root issues. ただし、プログラムの要件と監査の要件は、これらの要件が競合している側面で優先されます。However, the Program Requirements and Audit Requirements supersede those requirements in any aspect in which they are in conflict.

プログラムに入るすべての Government Ca は、上記の EA 要件の対象となります。All Government CAs entering the Program will be subject to the above EA requirements. 2015 年 6 月 1 日よりも前にプログラムに参加していたすべての政府 CA は、現在の監査の有効期限が切れてからすぐに上記の EA の要件に従う必要があります。All Government CAs that are part of the Program prior to June 1, 2015 will be subject to the above EA requirements immediately upon expiration of their then-current audit.

B.B. 同等の監査レポートの内容Content of the Equivalent Audit Report

Microsoft では、EA を提出するすべての CA が、監査人から発行された、以下のすべての条件を満たす証明書を提出することを必須としています。Microsoft requires all Government CAs that submit an EA to provide an attestation letter from the auditor that:

  1. 監査を実施するために政府 CA の政府によって承認された独立機関によって発行された監査をはし ' ます。Attests that the audit is issued by an independent agency which is authorized by the Government CA's government to conduct the audit;
  2. 監査者の認定に関する政府機関の政府の条件を一覧表示し、 ' ' 監査者がこの条件を満たしていることを証明します。Lists the Government CA's government's criteria for auditor qualification, and certifies that the auditor meets this criteria;
  3. 監査担当者が政府 CA の操作を評価した特定の法令、規則、または規制を一覧表示し ' ます。Lists the particular statutes, rules, and/or regulations that the auditor assessed the Government CA's operations against;
  4. 政府機関の CA が、 ' 命名規則、規則、または規制に記載されている要件に準拠していることを認定します。Certifies the Government CA's compliance with the requirements outlined in the named governing statutes, rules, and/or regulations;
  5. 法定の ' 要件が適切な WebTrust または ETSI audit と同等であるかどうかを説明する情報を提供します。Provides information that describes how the statute's requirements are equivalent to the appropriate WebTrust or ETSI audit(s) ;
  6. 証明書チェーン内で政府 CA の代理として証明書を発行するために、政府 CA によって承認された証明機関とサードパーティの一覧を表示し ' ます。Lists Certificate Authorities and third parties authorized by the Government CA to issue certificates on the Government CA's behalf within a certificate chain;
  7. すべての PKI 階層が文書化されているDocuments the full PKI hierarchy; and
  8. 監査期間の開始日と終了日が記載されているProvides the start and end date of the audit period.

定義Definitions

Government CAGovernment CA

"Government CA" は、政府機関プログラム契約に署名するエンティティです。A "Government CA" is an entity that signs the Government Program Agreement.

商用 CACommercial CA

"商用 CA" は、市販のプログラム契約に署名するエンティティです。A "Commercial CA" is an entity that signs the Commercial Program Agreement.

証明機関Certification Authority

"証明機関 " または " CA は " 、現地の法律および規制に従ってデジタル証明書を発行するエンティティを意味します。"Certification Authority" or "CA" means an entity that issues digital certificates in accordance with Local Laws and Regulations.

現地の法律と規制Local Laws and Regulations

"現地の法律と規制は、ca " がデジタル証明書の発行を承認されている ca に適用される法律と規制を意味します。これは、監査の頻度と手順を含め、証明書の発行、保守、または取り消しに適用されるポリシー、規則、および標準を規定したものです。"Local Laws and Regulations" means the laws and regulations applicable to a CA under which the CA is authorized to issue digital certificates, which set forth the applicable policies, rules, and standards for issuing, maintaining, or revoking certificates, including audit frequency and procedure.