証明書の調査方法
ご利用中の証明書がパブリック認証局かプライベート認証局か、またクライアント認証を行っているかを確認する方法をご案内します。
証明書有効期間の変更スケジュールについては、ご利用の認証局へお問い合わせください。
使用製品を選択してください
⚠️
製品を選択してください
ACMS Apex
✓ 重要: EDI通信でプライベート証明書(INTEC EINS/PKI for EDI、社内CA等)を使用している場合は、証明書有効期間短縮の影響を受けません。パブリック証明書(GlobalSign、DigiCert等)を使用している場合のみ確認が必要です。
⚠️ロードバランサー・リバースプロキシを使用している場合:
SSL/TLS終端をロードバランサー・リバースプロキシで行っている場合は、製品本体ではなくロードバランサー・リバースプロキシ側の証明書を確認してください。この場合、製品本体のKeystoreは使用されません。
EDI通信での証明書確認:
-
Web運用画面にアクセス
マスター → PKI メニュー内にある「キーペア」を選択
-
キーペア情報を確認
登録されているキーペアの利用開始日時、利用終了日時を確認してください。
-
キーペアの使用箇所を確認
• 着信リスナー(全銀TCP、HTTP、SMTP)での「SSL/TLSサーバで使用するキーペア」設定
• 通信ユーザー設定での「SSL/TLSクライアント認証で使用するキーペア」設定
• その他のPKI機能(署名作成、暗号復号等)での使用状況
-
証明書の発行元を確認
• GlobalSign、DigiCert、GMO等 → パブリック認証局
• INTEC、社内CA等 → プライベート認証局
📋 JAWS(Web運用画面サーバ)について:
確認が必要なケース:
• ACMS ApexのJAWS(Web運用画面)をインターネット上に直接公開している場合
• ロードバランサーまたはリバースプロキシ-JAWS間でTLS通信を行っている場合
確認方法(設定ガイド 7.1.3参照):
1. JAWSの設定で「TLS」の「使用する」にチェックが入っているか確認
2. [ACMS_HOME]/apex.p12 ファイル(PKCS12形式)の証明書内容を確認
3. 使用しているキーペアがWeb運用画面の「マスター→PKI→キーペア」に登録されているか確認
4. JAWSの「キーストアのパスワード」設定を確認
TLS有効化の手順:
• 認証局が発行した秘密鍵をPKCS12形式で用意
• ファイルを「apex.p12」という名称でACMS Apexインストールディレクトリ([ACMS_HOME])に配置
• JAWSの設定で「TLS」の「使用する」にチェックを入れ、パスワードを設定
• 設定保存後、JAWSをスイッチ(再起動)してhttpsで接続
注意: JAWSを外部公開している場合、一般的にはロードバランサーやリバースプロキシ経由で公開しているため、JAWS側の確認は不要なケースがあります。この場合は、ロードバランサーやリバースプロキシをご確認ください。ロードバランサーまたはリバースプロキシ-JAWS間でもTLS通信を行っている場合は、JAWS側の証明書(apex.p12)も確認が必要です。
📋 クライアント認証について:
クライアント認証を行っているかは、通信ユーザーの設定で「SSL/TLSクライアント認証で使用するキーペア」が設定されているかで確認できます。設定されている場合は、クライアント認証を使用しています。
ACMS Apex for Web/deTradeⅡ
📋 概要:
ACMS Apex上で動作するWeb-EDIシステムです。SSL/TLSの認証処理はWAS(Webアプリケーションサーバ)側で実施され、証明書はWASのキーストアファイルで管理されます。証明書情報の登録・更新は、ACMS ApexのPKI機能(キーペア)を通じて行います。
⚠️ 重要:
deTradeⅡ自体では証明書の認証処理は行いません。全てのSSL/TLS処理はWAS側で実施されます。そのため、証明書の確認と更新作業はWASの仕様に従って行う必要があります。
サーバ証明書(キーペア)の確認:
-
Web運用画面にアクセス
マスター → PKI メニュー内にある「キーペア」を選択
-
キーペア情報を確認
登録されているキーペアの利用開始日時、利用終了日時を確認してください。
-
証明書の発行元を確認
キーペアに関連付けられている証明書の発行元(Issuer)を確認します。
• GlobalSign、DigiCert、GMO等 → パブリック認証局
• INTEC、社内CA等 → プライベート認証局
クライアント認証を使用しているかの確認:
- Web-EDIで取引先ブラウザにクライアント認証を要求している場合:
- WASのserver.xmlで
clientAuth="true"またはclientAuth="want"が設定されているか確認
- 設定されている場合、取引先ブラウザに対してクライアント証明書の提示を要求しています
- 2026年6月15日以降は、取引先に配布するクライアント証明書を専用のものに更新する必要があります
補足: ACMS Apexでは、DTM(deTradeⅡ機能モジュール)の設定で二段階認証やセッション管理を行います。ただし、SSL/TLSの認証処理はWAS側で実施されるため、クライアント認証の設定もWASのserver.xmlで行います。ACMS ApexのPKI機能は証明書の登録・管理に使用されます。
ACMS B2B
✓ 重要: EDI通信でプライベート証明書(INTEC EINS/PKI for EDI、社内CA等)を使用している場合は、証明書有効期間短縮の影響を受けません。パブリック証明書(GlobalSign、DigiCert等)を使用している場合のみ確認が必要です。
Javaのkeytoolコマンドを使用して証明書情報を確認します。
-
Keystoreファイルの証明書一覧を表示
keytool -list -v -keystore [keystoreファイルのパス] -storepass [パスワード]
-
発行元(Issuer)を確認
• GlobalSign、DigiCert、GMO、INTEC(EINS/PKI パブリックWebサーバ証明書)等 → パブリック認証局
• INTEC(EINS/PKI for EDI)、社内CA等 → プライベート認証局
-
ExtendedKeyUsagesを確認
"TLS Web Client Authentication" が含まれている場合、クライアント証明書分離への対応が必要です。
クライアント認証を使用しているかの確認:
- ACMSがクライアント側として接続する場合:
- 証明書のExtended Key Usageに"TLS Web Client Authentication"が含まれているか確認
- 接続先サーバがクライアント証明書の提示を要求しているか確認
- 対象手順: JX手順クライアント、ebXML MS、EDIINT-AS2、OFTP2、同期型HTTPクライアント、全銀TCP/IP等
- ACMSがサーバ側として動作する場合:
- acms.propertiesの「cps.ssl_client_mode」設定を確認(ONの場合、接続してくる相手にクライアント認証を要求している)
重要: acms.propertiesの「cps.ssl_client_mode」は、ACMSがサーバ側として動作する際に、接続してくる相手(取引先ブラウザ等)にクライアント認証を要求するかの設定です。これは、ACMSがクライアント側として接続する場合のクライアント証明書とは別の話です。
ACMS B2B上のdeTradeⅡ (ACMS Web/deTradeⅡ)
📋 概要:
ACMS B2B上で動作するWeb-EDIシステムです。SSL/TLSの認証処理はWAS(Webアプリケーションサーバ)側で実施され、証明書はWASのキーストアファイルで管理されます。deTradeⅡ自体では証明書の認証処理は行いません。
証明書の確認方法:
⚠️ WAS環境の注意事項:
利用しているWAS(WebSphere、WebLogic、Tomcat等)毎で証明書管理の仕様が異なります。
調査を実施する前に、WAS側のマニュアル・仕様書を確認したうえで、適切な調査方法を選択してください。
以下のkeytoolコマンドでの確認方法は一般的な手順ですが、WASの種類によっては異なる方法が必要となる場合があります。
💡 キーストア形式について:
WAS(Tomcat/TomEE/WebSphere/WebLogic等)では、JKS形式またはPKCS12形式のキーストアファイルが使用されます。形式に応じて適切なコマンドを使用してください。
-
方法1: keytoolコマンド(JKS形式/PKCS12形式共通)
keytool -list -v -keystore [keystoreファイルのパス] -storepass [パスワード]
※ PKCS12形式の場合も同様に使用可能です。拡張子は.p12または.pfxの場合があります。
-
方法2: opensslコマンド(PKCS12形式の場合)
openssl pkcs12 -info -nokeys -in [PKCS12ファイルのパス]
※ パスワード入力が求められます。証明書一覧と詳細情報が表示されます。
-
発行元(Issuer)を確認
• GlobalSign、DigiCert、GMO、INTEC(EINS/PKI パブリックWebサーバ証明書)等 → パブリック認証局
• INTEC(EINS/PKI for EDI)、社内CA等 → プライベート認証局
-
ExtendedKeyUsagesを確認
"TLS Web Client Authentication" が含まれている場合、クライアント証明書分離への対応が必要です。
クライアント認証を使用しているかの確認:
- Web-EDIで取引先ブラウザにクライアント認証を要求している場合:
- WASのserver.xmlで
clientAuth="true"またはclientAuth="want"が設定されているか確認
- 設定されている場合、取引先ブラウザに対してクライアント証明書の提示を要求しています
- 2026年6月15日以降は、取引先に配布するクライアント証明書を専用のものに更新する必要があります
補足: acms.propertiesの「cps.ssl_client_mode」は、ACMS B2B本体がサーバ側として動作する際の設定です。deTradeⅡのWeb-EDI機能でのクライアント認証設定は、WASのserver.xmlで行います。
ACMS WebFramer
📋 概要:
ACMS WebFramerはWeb-EDIシステムで、WAS(Tomcat/TomEE)で動作します。Web-EDIの性質上、パブリック認証局のサーバ証明書を使用するケースがあり、証明書期限切れによりサイトへのアクセスが不可能になる可能性があります。
1. WAS設定ファイルの確認
TomcatまたはTomEEの設定ファイルからサーバ証明書の設定を確認します。
2. Keystoreファイルの中身を確認
💡 キーストア形式について:
Tomcat/TomEEでは、JKS形式またはPKCS12形式のキーストアファイルが使用されます。形式に応じて適切なコマンドを使用してください。
方法1: keytoolコマンド(JKS形式/PKCS12形式共通)
keytool -list -v -keystore /path/to/keystore.jks -storepass [password]
※ PKCS12形式の場合も同様に使用可能です。拡張子は.p12または.pfxの場合があります。
方法2: opensslコマンド(PKCS12形式の場合)
openssl pkcs12 -info -nokeys -in /path/to/keystore.p12
※ パスワード入力が求められます。証明書一覧と詳細情報が表示されます。
3. 証明書情報の確認項目
| 項目 |
確認内容 |
判定基準 |
| Owner (Subject) |
CN=www.example.com
O=会社名 |
サイトのドメイン名と一致 |
| Issuer (発行元) |
CN=GlobalSign
CN=DigiCert
CN=GMO GlobalSign |
パブリック証明書
→ 影響あり |
| Valid from ... until |
有効期間 |
更新時期を把握 |
| ExtendedKeyUsages |
TLS Web Server Authentication |
Web-EDIではサーバ認証のみが一般的 |
🔴 複数WAS構成の場合の注意:
ケース1: ロードバランサーでSSL/TLS終端を行っている場合
→ ロードバランサー側の証明書のみ更新(WASのKeystoreは更新不要)
ケース2: 各WASが直接SSL/TLS通信を行っている場合
→ 全てのWASのKeystoreファイルを個別に更新
- 各WASの証明書管理を一覧化
- 更新漏れ防止のためのチェックリスト作成
- Phase 3では自動化スクリプトの導入を検討
4. クライアント認証について
Web-EDIの特性上、クライアント認証を要求することは稀ですが、セキュリティ強化のために導入している場合は確認が必要です。
- server.xmlで
clientAuth="true"またはclientAuth="want"が設定されているか確認
- 設定されている場合、取引先に配布したクライアント証明書も更新対象
- 2026年6月15日以降はクライアント認証専用の証明書が必要
💡 推奨アクション:
- 証明書の有効期間監視を設定 (60日前アラート推奨)
- 証明書更新手順書の整備
5. 対応スケジュール
| 時期 |
フェーズ |
証明書有効期間 |
年間更新回数 |
| 現在 |
- |
398日 |
1回/年 |
| 2026年3月15日~ |
Phase 1 |
200日 |
2回/年 |
| 2027年3月15日~ |
Phase 2 |
100日 |
4回/年 |
| 2029年3月15日~ |
Phase 3 |
47日 |
8回/年 |
💡 判定のポイント
-
パブリック/プライベートの判別: 発行元(Issuer)で判断
-
クライアント認証の確認: ExtendedKeyUsagesまたは製品設定で確認
-
当社製品の役割: サーバとして動作している場合にサーバ証明書が影響を受ける
-
有効期間変更のスケジュール: パブリック認証局をご利用の場合は、認証局へ直接お問い合わせください
ACMS Lite Neo
📋 概要:
ACMS Lite Neoインストールフォルダの「Cert」フォルダに配置している証明書(PKCS#12)をWindows証明書ストアの「個人」証明書フォルダにインストールすることで確認できます。
証明書のインポートと確認手順:
-
証明書ファイルをダブルクリック
ACMS Lite Neoインストールフォルダの「Cert」フォルダに配置している証明書(PKCS#12)をダブルクリックする
-
証明書のインポートウィザードの開始
「証明書のインポートウィザードの開始」で「次へ」をクリック
-
インポートする証明書ファイル
「インポートする証明書ファイル」で「次へ」をクリック
-
秘密キーの保護
「秘密キーの保護」でパスワードを入力し、「次へ」をクリック
-
証明書ストアの選択
「証明書ストア」で「証明書をすべて次のストアに配置する」を選択する
-
個人フォルダを選択
「参照」から「個人」を選択し、「OK」をクリック
-
次へ
「次へ」をクリック
-
インポート完了
「証明書のインポートウィザードの完了」で「完了」をクリック
-
ファイル名を指定して実行
キーボードで [Windowsキー] + [R] を押す
-
証明書管理コンソールを開く
表示されたダイアログに「certlm.msc」を入力し、[OK] を押す
-
証明書の詳細を確認
「個人」フォルダ内の証明書の「詳細」タブで発行元、有効期限、拡張キー使用法を確認
クライアント認証の確認:
- 接続先設定で「クライアント認証要否」が「使用する」に設定されているか確認
- 設定されている場合は、クライアント認証を使用しています
ACMS/WS
📋 概要:
ACMS/WSは全銀TCP/IP手順ベースの通信製品で、TLS通信時にPEM形式の証明書ファイルを使用します。クライアント側・サーバ側の両方で証明書設定が可能です。
1. クライアント側の証明書確認
クライアント設定の[編集] → [TLS設定]から確認します。
-
TLS設定画面の確認項目
| 項目 |
確認内容 |
| 証明書ファイル |
クライアント証明書ファイル(PEM形式) |
| 秘密鍵ファイル |
クライアント秘密鍵ファイル(PEM形式) |
| 認証種別 |
認証なし: TLS暗号化のみ
サーバ認証: クライアントがサーバを認証
クライアント・サーバ認証: 相互認証
|
2. サーバ側の証明書確認
サーバ設定の[編集] → [TLS設定]から確認します。
3. PEM形式証明書ファイルの内容確認
PEM形式の証明書ファイルをテキストエディタで開いて内容を確認します。
📁 証明書の保存場所:
PEM形式ファイル(クライアント証明書、サーバ証明書)
※ Windows証明書ストアにインストールするのは、ルートや中間のCA証明書のみです
4. クライアント認証を行っているかの確認
- TLS設定で「認証種別」が「クライアント・サーバ認証」に設定されているか確認
- 取引先設定で「クライアント証明書ファイル」が指定されている場合は、クライアント認証を使用しています
- 2026年6月15日以降は、クライアント認証用に専用の証明書が必要
5. 証明書情報の確認項目
| 項目 |
確認内容 |
判定基準 |
| Subject (所有者) |
CN、O、OU等 |
証明書の所有者情報 |
| Issuer (発行元) |
GlobalSign、DigiCert、INTEC等 |
パブリック or プライベート |
| Validity (有効期間) |
Not Before ~ Not After |
更新時期を把握 |
| Extended Key Usage |
TLS Web Server Authentication
TLS Web Client Authentication |
証明書の用途を確認 |