個人ソフト作者がコモドジャパンでコードサイニング証明書を取ってみた

コモドジャパンに個人がコードサイニング証明書を申し込んでみたらどうなったかという体験談を日記風にまとめてみました。

このページは個人ソフト作者にとってのデジタル署名とは?の続編です。

2017年3月20日(祝日)

グローバルサインで取った3年分の証明書がもうすぐ切れるとメールが繰り返し来ている。前回は65%オフで買えたが今回はオフはない。6万円/年はさすがに高い。約1/3の価格のコモドジャパンを検討してみる。

Webサイトを見るが手続きの手順や内容がさっぱりわからない。なにかというとSSL証明書の手続きが出てきてしまう。日本語もなんか怪しい。

少なくとも以下の5つが要求されることだけはわかった(改行がへんなので4つに見えるけどよく見ると5つあります)。

はい個人でもコード(署名)サイニング証明書をご購入いただけます。

会社名義と違いその場合、下記の条件が必要となります。

・お客様所有のドメインがあること
・運転免許もしくはパスポート
・公共料金の支払い明細(電話番号が明記されているもの)
・口座をお持ちの銀行からのはがき ・弁護士、税理士、公認会計士、または公証人による意見書
(所定のひな型をご用意しておりますので、ご準備の際は事前にご相談ください)

が必要となります。

※独自ドメインを取って、Whois情報に正しい住所/氏名/電話番号/メールアドレスを設定しておく必要がたぶんあります。

※メールアドレスは独自ドメインのものでないとたぶんだめです。

2017年3月21日(火)

9時半。サポートの電話受付開始を待って電話してみる。

手順を聞こうとするが申込みをしたら手続きを書いたメールを送るのでとにかくまずはそれを見ろとのこと。

最低限知りたかった、CSRなるものが必要なのか(コードサイニング証明書の場合はいらないとのこと)、意見書というのは顧問契約とかしてなくてもフリの客にも書いてくれるものなのか(くれるとのこと)だけ聞いて電話を切り、Webサイトから申込みをしてみることにした。

個人情報を入れてアカウントを作り、コードサイニング証明書1件、5年とだけ入力して申し込んだらいきなりの請求にびっくり。マイページのステータスは入金待ち。振込をしないとにっちもさっちもいかない雰囲気。

10時。5年分¥101,736振り込みました。この先どんなことを要求されるのかわからない状態で大金を振り込むのはちょっときつい。

※コモドジャパンサイトで販売している「チケット」というものを利用すると割引になるようです。私は利用しなかったのでよくわからないんですが確認してみてください。

11時。案内のメールがきました。入金確認はまだのよう。振込はあとからでもよかったみたい。

13時。案内のメールをなんとか解読。書いてあるURLに行って二次申し込み。二次申し込みは英語。

※二次申し込みはWindows上のInternet ExplorerでないとできないそうなのでIEを探して起動していまいち確信がないまま以下のように入れました。

Company Name: 下の名前 名字の順にローマ字で
Address1: 番地と町名をローマ字で
City/Town: 市の名前をローマ字で xxx-shi
State/Province/County: 都道府県をローマ字で
Zip/Postcode: 郵便番号
Country: Japanを選択

Title: 「Individual」
First Name: 下の名前をローマ字で
Last Name: 名字をローマ字で
Email Address: 申し込んだメールアドレス(独自ドメインの)
Telephone Number: +81のうしろに電話番号の先頭のゼロを取ったもの ハイフン無し

Username: 申し込んだ名前(じゃなくてもいいと思いますがそうしました)
Password: 欄の右のPassword Rulesをクリックして出る条件(結構うるさい)を読んで適当に作って入力
Confirm Password: Passwordと同じもの

二次申し込みにハッシュアルゴリズムの指定欄がありますが私はSHA-2を選択しました。SHA-1/SHA-2の指定は、証明書自体のハッシュアルゴリズムと、署名する時に指定するダイジェストアルゴリズムの2つがあって、混同しないよう注意が必要です。前者はWindowsアプリケーションではもうSHA-1は廃止されたのでSHA-2でないとダメだと思います。後者はSHA-1にしないとVistaで認識されないとか結構ややこしいですが申込時には関係ないですね。

このデータはコモドジャパンではなくてコモド本社のほうに直接行くようです。

14時。入金ありがとうございますのメールが来た。案内メールで問われた個人名にするか個人事業者(屋号)にするかの返事がまだとのことなので個人名と返信。(個人名の場合は上の書類、屋号にする場合は税務署の書類と、DUNS登録またはタウンページ登録が必要になる)。

15時。意見書フォーム(英文)と公証役場で作った書類のサンプルがメール添付のPDFファイルで送られてきてついでに電話もかかってきて説明を受ける。申請した電話番号がデタラメじゃないかの確認を兼ねているもよう。「銀行からのはがき」がないが意見書フォーム付属の英文マニュアルにクレジットカードで可と書いてあるのでそれでよいかと尋ねたら多分大丈夫とのこと。税理士より公証人のほうがこういう手続の専門家なのでよい、とのこと。

※事前に銀行から残高証明書などを郵送してもらっておくのがよさそうです。

16時。意見書フォームとサンプルをプリントアウトしたものと添付書類(パスポートの現物、クレカの現物、電話料金の請求書の現物)を持参してグーグルマップをたよりに公証役場へ。初めての公証役場。専門家のはずの向こうの人もなんだかとまどっている模様。

18時。意見書フォームを表紙にして、添付書類のカラーコピーと公証役場発行の書類をくっつけた冊子がやっと完成。公証役場のひとが添付書類のコピーを取ってホチキス止めしたもの。そこではじめて公証人先生登場。ずっと相手をしていてくれた方は部下?の方だった模様。先生の目の前でフォームの署名欄に署名し日付欄に記入。料金¥11,500を払って受け取る。

意見書フォームの上半分の署名・日付欄以外は自分で埋めて、とのことなので帰って埋める。下半分の公証人記入欄は「外国の書類にはよくついているんだけど日本の公証人は記入できない、公証人のはんこと法務局長のはんこと外務省のはんこがつかれた「認証」という書類とその英訳が末尾に綴じてあるのでその書類が代わりになるはず、たいていこれでなんとかなるんだけど、なんとかなるといいなあ」、とのことなので下半分は空欄のまま。全ページスキャンしてコモドジャパンにメール添付ファイルで送付(下半分が空白な理由は本文に書きました)。

なんとかなるといいなあ。

※全部綴じて1通の書類にしてもらうのがよさそうです。全ページ印が押してあること、という条件を公証役場で伝えると、枚数分料金がかかるけど1枚ずつにしますかと聞かれましたが、もちろん断りました。1通の書類にすれば1通分の料金(¥11,500)で表紙以外の全ページに割り印を押してくれます。表紙は別の印を押してくれます。全ページ印が押してある、というのはそれでOKみたいです。

公証人(notary)って何?

公証役場の人に聞いたウンチクです。公式にはこういう説明の仕方はしていないしちょっとおもしろかったので書きます。

日本だと印鑑を押したのが本人であることを証明するために印鑑証明が使われます。サインの国でサインをしたのが本人であることを証明するのが公証人です。公証人の目の前で本人がサインし、「私の目の前で本人がサインした」と公証人が書いてサインをすることで、本人のサインであることを証明します。公証人制度はサインの国の人には身近なシステムで、地元の名士的な人がライセンスをうけて公証人をつとめ、料金も安価だそうです。海外の人は気軽に公証人に書類を作ってもらってこいというけど、日本では料金が高いし、縦割り行政に縛られたお役所である日本の公証役場では応じられないこともある、んだそうです。

2017年3月22日(水)

15時半。コモドジャパンより電話。公証人に電話にかけて確認を取ろうとしたところ本日出張中とのことで確認できなかった、明日確認が取れたら証明書発行の手続きに移る、とのこと。

フォーム下半分の空欄はなんとかなったみたいです。よかった。

2017年3月23日(木)

14時。やっとコモド本社に送った二次申込みの返事がメールで来た。

本来ならこのメールで通知される「Order Number」をおとといの意見書フォームに書いて出すはずだったんだけど、まだ来ていないなら空欄でいいということなので空欄のまま出しました。

23時。コモド本社から証明書発行しましたの英文メールが来る。二次申込みに使ったブラウザでメールに書いてあるURLに行ってメールに書いてあるCollection Codeを入力すると、そのパソコンにコードサイニング証明書が自動的にインストールされる。

インストールされた証明書は即エクスポートしてpfxファイルに保存してバックアップ。このファイルとエクスポート時に指定したパスワードがあればパソコンが壊れたりしても他のパソコンに証明書をインストールできます。(エクスポートの手順は最初の申込みの返事についていたpdfファイルに書いてあります。)

色々たいへんだったけど無事発行までこぎつけて良かったです。グローバルサインなら手続きはカンタンだけど、値段の差は面倒さに十二分に見合うものだと思います。

使ってみる

最初のメールに添付されていた案内書に書いてあるコマンドラインはこういうのです。

signtool sign /f MyCert.pfx /t http://timestamp.comodoca.com /authenticode MyFile.exe

これ間違ってますね。/authenticodeまでがタイムスタンプサーバーの名前のようです。なので.comと/authenticodeの間にスペースをあけるとエラーになります。

私はこんなコマンドラインで使います。インストールされている証明書がひとつなら証明書ファイル名を指定しなくても/aで大丈夫です。

【ダイジェストアルゴリズムSHA-2の場合(7以降のみのアプリケーション)】

signtool sign /a /fd SHA256 /v /t http://timestamp.comodoca.com/authenticode exeファイル名

2017/4/17訂正: タイムスタンプにもSHA-1とSHA-2がありせっかくならタイムスタンプもSHA-2にしておいたほうがよさそうです。

signtool sign /a /fd SHA256 /v /tr http://timestamp.comodoca.com/?td=sha256 /td sha256 exeファイル名

【ダイジェストアルゴリズムSHA-1の場合(Vistaも対象にする場合)】

signtool sign /a /v /t http://timestamp.comodoca.com/authenticode exeファイル名


2017/3/24
ホームページ