お客様各位 2018 年 7 月吉日 ユーザックシステム株式会社 流通 BMS ガイドライン改定による EOS 名人.NET の対応 拝啓時下ますますご清祥のこととお慶び申し上げます 平素は格別のご高配を賜り厚く御礼申し上げます さて 流通システム標準普及推進協議会技術仕様検討部会から 以下が告知されております http://www.dsri.jp/ryutsu-bms/standard/standard04.html a. 流通業界共通認証局証明書ポリシー (CP) の改訂 b.sslver3.0 脆弱性対応 [JX 手順 ] で流通 BMS の通信を行われているすべての方が対象となります 下記に対応をご案内いたしますので ご確認の程お願い申し上げます 敬具 記 ご利用の EOS 名人.NET のバージョンにより 対応方法が異なります バージョンがご不明の方は 以下の手順にてご確認をお願いします 1) EOS 名人.NET のメニューの [ ヘルプ ] から バージョン情報 を選択します 2) 表示されるバージョン情報画面をご確認下さい 右の場合のバージョンは 1.3.4 です 3) [ 閉じる ] ボタンをクリックして画面を閉じます EOS 名人.NET Ver1.1.2 までをご利用の場合 EOS 名人.NET Ver1.3.0 以降へのバージョンアップが必要です EOS 名人.NET 購入元にご連絡ください 1
EOS 名人.NET Ver1.3.0 以降をご利用の場合 a. 流通業界共通認証局証明書ポリシー (CP) の改訂署名アルゴリズム SHA-1 から SHA-2 への変更 http://www.dsri.jp/ryutsu-bms/standard/data/sslv3_201506.pdf この対応として SHA-2 版のルートおよび中間証明書のインポートが必要です ACMSLiteNeo V1.8.0 以降をご利用の方へ ACMSLiteNeo のインストール時に SHA-2 版証明書のインポートが可能です 対応状況は 5 ページから記載している 確認手順 にてご確認いただけます ACMSLiteNeo V1.7.0 までをご利用の方へ現在使用中のルート / 中間証明書に加え 認証局各社が新たに発行する SHA-2 に対応したルートおよび中間証明書 5 ファイルすべてを入手して システムに取り込んでください 接続先により使用する証明書は異なりますが この機会にすべての証明書を取り込まれることをおすすめします SHA-1 と SHA-2 の証明書の混在は可能です 対応手順 1. 認証局 3 社の SHA-2 版ルート証明書および中間証明書を入手します 株式会社インテック https://www.einspki.jp/site_repository/repository_edi/#edirepdownload EINS/PKI+ for EDI ルート認証局証明書 (SHA-2) [ ダウンロードするファイル名 ] EINSPKI-EDI-ROOT_v2.cer EINS/PKI+ for EDI 中間認証局証明書 (SHA-2) [ ダウンロードするファイル名 ] EINSPKI-EDI-CHAIN_v2.cer GMO グローバルサイン株式会社 https://edi.globalsign.com/repository/#cer ルート証明書 (SHA256 証明書 ) [ ダウンロードするファイル名 ] rootcacertsha2.cer デジサート ジャパン合同会社 https://www.digicert.co.jp/repository/bms/ Symantec PKI BMS Certificate (SHA2) ルート 中間 CA 証明書のダウンロード [ ダウンロードするファイル名 ] bms_sha2_root_inter.zip 解凍後のファイル名 SymantecJapanBMSRootCA.cer ( ルート証明書 ) SymantecJapanBMSOnlineCA.cer ( 中間証明書 ) SymantecJapanBMSRootCA.pem * インストール不要 SymantecJapanBMSOnlineCA.pem * インストール不要 2. 1. で入手した証明書を Windows 証明書ストアにインポートします ( 圧縮 (zip) ファイルはあらかじめ解凍を行っておいて下さい ) 1) 証明書の各ファイルをダブルクリックし 証明書画面を開きます 2) [ 全般 ] タブにある [ 証明書のインストール ] ボタンをクリックします ルート証明書の場合 中間証明書の場合 EINSPKI-EDI-ROOT_v2.cer EINSPKI-EDI-CHAIN_v2.cer rootcacertsha2.cer SymantecJapanBMSOnlineCA.cer SymantecJapanBMSRootCA.cer 2
3) 保存場所の指定画面が表示された場合は ローカルコンピュータを選択して [ 次へ ] をクリックします 4) 証明書ストア 画面で 証明書をすべてのストアに配置するを選択し [ 参照 ] ボタンをクリックします ユーザーアカウント制御 画面次のプログラムにこのコンピューターへの変更を許可しますか? というメッセージが表示された場合は [ はい ] をクリックして下さい [ 参照 ] で選択した内容が表示されます 証明書の種類に応じた証明機関を指定して [OK] を選択し上記画面に戻ったら [ 次へ ] ボタンをクリックして下さい 1 ルート証明書の場合 2 中間証明書の場合 EINSPKI-EDI-ROOT_v2.cer rootcacertsha2.cer EINSPKI-EDI-CHAIN_v2.cer SymantecJapanBMSRootCA.cer SymantecJapanBMSOnlineCA.cer 信頼されたルート証明機関 を選択 中間証明機関 を選択 3
5) 証明書のインポートウィザードの完了 画面で [ 完了 ] ボタンをクリックします セキュリティ警告 画面が表示された場合は [ はい ] をクリックして下さい 6) 正しくインポートされました という画面が表示されれば完了です [OK] ボタンをクリックします 2) の証明書の画面は [OK] か [ ] をクリックして画面を閉じます 入手した証明書 ( 拡張子が.cer の 5 ファイル ) すべてで 1) ~ 6) の処理を行って下さい 4
確認手順 証明書が正しく登録されていることを確認します 1) [ スタート ] ボタンをクリックし [ 検索 ] ボックスに certmgr.msc と入力して [Enter] キーを押します 2) 左側のツリーで 以下の証明書機関を選択します [ 証明書 ] - [ 信頼されたルート証明機関 ] - [ 証明書 ] 右図 が SHA-2 版の証明書です 以下 3 つの発行先が存在することをご確認ください EINS/PKI for EDI Root Certificate Authority V2 GlobalSign EDI CA - SHA256 - G3 Symantec Japan BMS Root CA マークはSHA-1 版の証明書です EINS/PKI for EDI Root Certificate Authority GlobalSign EDI CA VeriSign Japan BMS Root CA [ 証明書 ] - [ 中間証明書 ] - [ 証明書 ] 右図 が SHA-2 版の証明書です 以下 2 つの発行先が存在することをご確認ください EINS/PKI for EDI Certificate Authority V2 Symantec Japan BMS CA 3) 各証明書を選択し タブルクリック もしくは右クリックで [ 開く ] を選択します 4) [ 詳細 ] タブをクリックします マークは SHA-1 版の証明書です EINS/PKI for EDI Root Certificate Authority VeriSign Japan BMS Root CA 5) 表示に プロパティのみ を指定し 拇印 をクリックします 表示されている値が下の表と一致していることを確認し [OK] ボタンをクリックします 5
信頼されたルート証明機関発行先 EINS/PKI for EDI Root Certificate Authority V2 拇印 9b 74 13 6a d5 a5 2a 94 0e 36 a6 9f 8a 68 f9 74 fe 23 c8 0f 発行先 GlobalSign EDI CA - SHA256 - G3 拇印 08 00 64 2d 99 99 cb d0 81 e9 b2 a6 7c b3 d3 58 9e 33 40 9b 発行先 Symantec Japan BMS Root CA 拇印 0b 87 9e 39 61 2b b4 60 b8 54 a9 af a3 1c 67 75 32 87 c8 d4 中間証明機関発行先 EINS/PKI for EDI Certificate Authority V2 拇印 a1 ad 8a 80 9b 5d 2d ea ea f9 21 26 6d 51 65 97 e2 e6 7f 7e 発行先 Symantec Japan BMS CA 拇印 53 81 27 b8 72 91 84 72 fa 22 57 bf 21 d3 7b e8 7a e2 6a 17 クライアント証明書を購入してご利用の方へ 対応内容 接続先と切り替え時期について調整のうえご対応ください b.sslver3.0 脆弱性対応暗号化通信で利用している SSLver3.0 の利用を停止し TLS へ移行再ネゴシエーション対策の確認 http://www.dsri.jp/ryutsu-bms/standard/data/sslv3_201506.pdf EOS 名人.NET Ver1.3.0 以降で流通 BMS をご利用のすべての方へ EOS 名人.NET Ver1.3.0 以降で流通 BMS の通信に利用している ACMSLiteNeo では対応不要です 接続先サーバの都合により SSL3.0 を許容する必要がある場合は 以下の回避策を行ってください http://www.dal.co.jp/products/edi/liteneo/pdf/ssl_communication_error_20100817.pdf 参考 ACMSLiteNeo の対応につきましては 株式会社データ アプリケーションの情報もご参照ください http://www.dal.co.jp/information/info_20150603.html 以上 6