Private CA を使用する

Prev Next

Classic/VPC環境で利用できます。

Private CAではプライベート CAを運用してプライベート証明書を安全に発行して管理、廃棄できます。廃棄した証明書の場合、別途リストにして管理して情報も確認できます。

参考

Private CA を使用するでは認証関連の様々な用語が登場します。理解に役立つために Private CA の用語を必ずご参照ください。

Private CA画面

Private CAを利用するための基本的な説明は次の通りです。

privateca-use_01_ko

領域 説明
① メニュー名 サービス名と作成した CA数
② 基本機能 CA作成、Private CAの詳細情報を確認、Private CA画面の更新
③ 作成後の機能 CA証明書の確認、無効化と削除の設定、プライベート証明書の発行と廃棄
④ CAリスト CAリストと詳細情報の確認、OCSPの管理、証明書登録、期限切れの証明書を削除

CAリスト確認

作成した CAリストでそれぞれの CAの情報を確認できます。確認する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、i_menu > Services > Security > Private CAメニューを順にクリックします。
  2. 作成した CAリストが表示されたらサマリー情報を確認するか、CAをクリックして詳細情報を確認します。
    privateca-use_02_ko
    • タイプ : プライベート CAの名前
    • 名前 : プライベート CAの名前
    • 有効期限 : プライベート CAの有効期限が切れる日付
    • ステータス : プライベート CAの運用ステータスであり、詳細は CAのステータスを参照
    • CA Tag : 顧客がリソースを確認する時に使う CAの固有 ID
    • 一般名(Common Name) : 主体(発行者)の一般名
    • 作成日 : プライベート CAを作成した日付
    • 発行証明書 : CAで発行した証明書数
      • clouddbforredis_ico-02_vpc_ko: クリックすると発行したプライベート証明書のシリアルナンバーリストを確認できて、シリアルナンバーをクリックすると証明書ファイルをローカル PCにダウンロードできる
        privateca-use_20_ko
    • CA発行者 : 詳細は CA情報 URLを参照
    • CRLリリースポイント : 証明書廃棄リスト(Certificate Revocation List)の URL情報であり、詳細は CA情報 URLを参照
    • OCSP : オンライン証明書ステータスプロトコル(Online Certificate Status Protocol)の URL情報であり、詳細は CA情報 URLを参照
    • メモ : CAについての追加情報
    • [CSRダウンロード] ボタン: 登録待ちステータスの CA有効化のための署名リクエストファイル
    • [証明書登録] ボタン: 登録待ちステータスの CA有効化のために署名した証明書と発行 CAの証明書を登録したい場合にクリック

CAのステータス

CAのステータスによって基本機能が利用可能かどうかが変わります。ステータス別に利用可能な基本機能情報は、次の通りです。

CA証明書を見る 無効化/有効化 削除リクエスト プライベート証明書発行 プライベート証明書廃棄
有効 O 無効化 O O O O
無効 O 有効化 O O X X
登録待ち O X O X X
有効期限切れ O X X X X
削除予定 O X - X X
完全削除 X X X X X

CAが無効ステータスになると、基本的に照会機能を除いたその他の機能の実行ができなくなります。特に証明書を発行できなくなるだけではなく、既に発行した証明書も認証方法によって信頼されないことがあり、リリースされた URLによる機能は使用できません。従って CAのステータスは大事に管理して、ステータスの変更を招く無効化/有効化および削除リクエスト機能は慎重に行ってください。

参考

期限切れとなった CAは [今すぐ削除] ボタンをクリックして完全に削除でき、復旧はできません。
privateca-use_21_ko

CA情報 URL

プライベート証明書には証明書の検証と照会に必要な情報を照会できるように3種類の URLポイントが示されます。

privateca-use_03_ko

通信接続時にプロトコルの中で自動的に照会することもでき、当該 URLから直接照会することもできます。Private CAで発行するプライベート証明書に含まれる CA情報 URLは基本的に提供しており、ユーザーの必要に応じて含まれて提供することもあります。CA情報 URLの提供有無は次の通りです。

  • 発行者チェーン(Issuer Chain): Private CAで基本的に提供
  • 証明書廃棄リスト(Certificate Revocation List、CRL): Private CAで基本的に提供
  • オンライン証明書ステータスプロトコル(Online Certificate Status Protocol、OCSP): ユーザーが必要とする場合に Private CAで提供。詳細は6. OCSP管理を参照

プライベート CAの作成

プライベート CAを作成します。Private CAではルート CAと中間 CAを両方とも作成できます。CAを作成するために以下の1.~4.は必ず行う必要があります。5. 証明書登録は中間 CAを直接署名方式で作成する場合にのみ行います。6. OCSP管理は OCSPの作成が必要なユーザーに限って行います。
ルート CAや中間 CAを作成する方法は次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、i_menu > Services > Security > Private CAメニューを順にクリックします。
  2. [ご利用の申し込み] ボタンをクリックします。
    privateca-use_04_ko
  3. サービスの申し込み画面が表示されたら、次のステップを順に行います。
参考

NAVERクラウドプラットフォームポータルの サービス > Security > Private CA にある [ご利用の申し込み] ボタンをクリックすると4.の画面にすぐ移動できます。

1. 一般設定

プライベート CAを作成するための一般情報を設定します。設定する方法は、次の通りです。

  1. 一般設定 画面が表示されたら、必要な情報を入力します。
    privateca-use_05_ko
  • タイプ: 作成する CAの種類を選択
  • 名前: 作成する CAの名前を先頭文字は英字にして、英数字、記号「-」「_」を組み合わせて3~15文字以内で入力
  • メモ: 作成する CAについての追加情報を1000バイト以下で入力
  1. [次へ] ボタンをクリックします。

2. 基本情報の入力

作成する CAについての基本的な情報を設定します。 1. 一般設定 で選択したタイプと 2. 基本情報の入力 で選択した方式に従って入力すべき基本情報は、次の通りです。

  • ルート CAを選択した場合: 有効期限、キータイプ
  • 中間 CAを選択して上位 CA指定方式を選択した場合: 上位 CA、有効期限、キータイプ
  • 中間 CAを選択して直接署名方式を選択した場合: キータイプ
参考

証明書の有効期限は署名する時に設定するため、直接署名方式の場合は有効期限を指定することができません。

設定する方法は、次の通りです。

  1. 基本情報の入力画面が表示されたら、必要な情報を入力するか選択してください。
    privateca-use_06_ko

    • 上位 CA: 中間 CAを作成する場合にクリックして選択
      • 上位 CA指定方式: Private CAに既に作成されている CAを発行者(Issuer)ロールに自動指定する場合、指定したい CAをクリックして選択
      • 直接署名方式: 顧客が直接管理する CAを使用して行う場合、 直接署名 をクリックして選択
    参考

    ルート CAを作成する場合、 上位 CA 項目は無効になって選択できません。

    • 有効期限: 作成する CAの寿命を1~3650日の間で入力。指定できる最大期間に設定するには「MAX」と入力
    • キータイプ: 作成する CAに使用する公開キーの暗号化アルゴリズムをクリックして選択
      • RSA2048: Rivest-Shamir-Adleman(RSA)アルゴリズムの一種であり、詳細は RFC7518を参照
      • RSA4096: Rivest-Shamir-Adleman(RSA)アルゴリズムの一種であり、詳細は RFC7518を参照
      • EC256: Elliptic Curves(EC)アルゴリズムの一種であり、詳細は Certicomの資料を参照
      • EC521: アルゴリズムの一種であり、詳細は Certicomの資料を参照

  2. [次へ] ボタンをクリックします。

参考

中間 CA作成時の有効期限は上位 CAの有効期限を超過して設定できません。

3. 高度な設定情報の入力

作成する CAについての高度な設定情報を設定します。設定できる高度な設定情報は次の通りです。

  • 主体情報(Subject Info): 証明書所有者主体の識別情報
  • アドレス情報(Address Info): 証明書に記載するアドレス情報
  • SANs情報(Subject Alternative Names Info): マルチドメイン証明書作成のための情報(証明書1つで一緒にセキュリティを保つ DNS/Email、IPアドレス情報)
参考

CA証明書は一般的に SANs設定が必要ないため、SANs情報は必須設定値ではありません。

設定する方法は、次の通りです。

  1. 高度な設定情報の入力画面が表示されたら、主体情報(Subject Info)を入力します。
    privateca-use_07_ko
    • 一般名(Common Name): 証明書所有者主体を識別できる固有情報や発行者の一般的な名前
    • 組織(O): 証明書所有者主体の組織情報
    • 部署(OU): 証明書所有者主体の部署情報
  2. 主体情報(Subject Info)の設定を完了した後、アドレス情報(Address Info)をクリックして選択するか入力します。
    privateca-use_08_ko
    • 国: 証明書に記載する国情報
    • 都(State/Province): 証明書に記載する州/都や地方名の情報
    • 市(Locality): 証明書に記載する都市名の情報
    • 詳細アドレス(Street/Address): 国、都、市以外に証明書に記載する残りのアドレス情報
  3. アドレス情報(Address Info)の設定を完了した後、SANs情報(Subject Alternative Names Info)を入力します。
    privateca-use_09_ko
    • DNS/Email SANs: ドメイン/ホスト名やメールアドレスを入力し、2つ以上を入力する場合はコンマで区分。ドメイン入力時に記号「*」を使用可能
    • IP SANs: IPアドレスを入力し、2つ以上を入力する場合はコンマで区分
  4. [次へ] ボタンをクリックします。

4. 確認

作成する CA情報を確認した後、次の作成を開始します。

  1. CA情報確認の画面が表示されたら作成情報を確認した後、 [作成] ボタンをクリックします。
    privateca-use_10_ko
  2. 中間 CAを直接署名方式で作成した場合、 CA登録待ち のポップアップが表示されたら、 [確認] ボタンをクリックします。
  3. 作成した CAリストが表示されたら、結果を確認します。

5. 証明書登録

中間 CAを直接署名方式で作成した場合、CSR(署名リクエストファイル)が作成されます。CSRが作成された時から24時間以内に署名して証明書を登録します。24時間以内に証明書を登録しない場合、CSRは自動的に削除されます。署名して証明書を登録する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、i_menu > Services > Security > Private CAメニューを順にクリックします。

  2. Services > Security > Private CA メニューを順にクリックします。

  3. 証明書署名のために登録待ちの中間 CAの [CSRダウンロード] ボタンをクリックします。
    privateca-use_11_ko

  4. CSRファイル署名方式には様々な方法がありますが、opensslを使うと簡単に CSRに署名して証明書を発行することができます。次は opensslを使って直接管理する CAのプライベートキーである my local ca.keyでダウンロードした CSRファイルを、署名365日の有効期限を持つ証明書の TEST SUB crt.pemを作成するコマンドの例です。
    openssl x509 -req -days 365 -in MY_SUB_csr.pem -signkey my_local_ca.key -out TEST_SUB_crt.pem

  5. 署名した証明書と発行 CAの証明書を登録するために、登録待ちの中間 CAの [証明書登録] ボタンをクリックします。
    privateca-use_12_ko

    注意

    発行 CAの証明書は CAのプライベートキーではないため、ご利用の際はご注意ください。

  6. 証明書登録 のポップアップが表示されたら、必要な情報を登録します。
    privateca-use_13_ko

  • 証明書チェーン: 発行 CAが階層構造で構成されている場合、上位の発行 CAの証明書チェーンをすべて登録
  • 証明書本文: 署名した証明書の本文を登録

  1. [確認] ボタンをクリックします。

  2. プライベート CAリストで証明書を登録した後に変更された CAのステータスを確認します。

    • 有効化: CAのすべての機能を利用できる正常運用のステータス
参考

6.で登録する証明書チェーンファイルの例は次の通りです。

-----BEGIN CERTIFICATE-----
MIIDbjCCAlagAwIBAgIUIee5Ez90s6yqnC1RHYBkw3NpNc4wDQYJKoZIhvcNAQEL
BQAwPjELMAkGA1UEBhMCS1IxDDAKBgNVBAoTA05CUDEhMB8GA1UEAwwYW0JFVEFd
IEJlYWdsZV9Jb1QgU3ViIENBMB4XDTIwMDYyOTAxMDkzMVoXDTI5MDQxNzE4NTYw
M1owPzELMAkGA1UEBhMCS1IxDDAKBgNVBAoTA05CUDESMBAGA1UECxMJQ2xvdWQg
....
z0rXUrhhU2KMXtylXfzJqZkj3VLqjoNmjFcCgeeweto/1A8in9UhK1KzSUVcKVlL
XcHpYjn3BoxbVV+EsVCjhz+9dtKASo9ptZUDrOHLrYnaONShGI6pwxj5Dew4ttvm
VE39KQYNcdt7ajrXMmVfatq2zk+PoiSDjZ5flbzJoIrK3TE1NAgXYpXYjzphBXZ2
Gt9B53lFQHNnnMDDnjbIiQUp
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDazCCAlOgAwIBAgIUPIsBMXl3zeP5rSAcbahl6crbjwcwDQYJKoZIhvcNAQEL
BQAwPDELMAkGA1UEBhMCS1IxDDAKBgNVBAoTA05CUDEfMB0GA1UEAwwWW0JFVEFd
IE5DUCBQQ0EgUk9PVCBDQTAeFw0xOTA0MjIwMjE5NDVaFw0yOTA0MTcxODU2MTRa
MD4xCzAJBgNVBAYTAktSMQwwCgYDVQQKEwNOQlAxITAfBgNVBAMMGFtCRVRBXSBC
....
EWwyIcKDmymr7n14G15loPU0Q+cH2hTS/r9RXxw6Gjd7DnKcjF/970TR41tlxetW
f3DCAKP6KIUKh2eAy7HHt82HExP+KRLJbocA5QRwtwWY3zVIuHg6oLM5mdtDfBwl
kMLaJCAzSSgmcg63fQChz2kUuldaw7/5H1CI3i8VB+9JcM2l4imDhiaGlCquTKL3
VMfHx+eysnncEUxP54DD
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDaTCCAlGgAwIBAgIUNQfx2Rk2TqCM1o9PeN7/TJCz4iMwDQYJKoZIhvcNAQEL
BQAwPDELMAkGA1UEBhMCS1IxDDAKBgNVBAoTA05CUDEfMB0GA1UEAwwWW0JFVEFd
IE5DUCBQQ0EgUk9PVCBDQTAeFw0xOTA0MjAxODU1NDdaFw0yOTA0MTcxODU2MTda
MDwxCzAJBgNVBAYTAktSMQwwCgYDVQQKEwNOQlAxHzAdBgNVBAMMFltCRVRBXSBO
....
IQV7Vqgs0NsKqJ9rPKi88gu9x3y6/pEo8C9s2aTZ1l7sYauh00gySffRQeu2WCWx
mdxRKMRIlFaLFVHpXxGhga/DEvFo9EhouNP4CjaIe4FcvWBZ30Msp/fJbzg/Bnby
VXGZcU0qiFHZbIa7dViO0re5AujhqKt4HYuhT787xNLLyG95m/6XUKcEvxBGR9ZZ
vpDcpjcEC94qLxPHXg==
-----END CERTIFICATE-----
注意

証明書に直接署名する CA証明書には CA用拡張フィールド(Basic constraintsの CAオプション)を有効化します。例は次の通りです。

...

X509v3 extensions:
     X509v3 Key Usage: critical
         Certificate Sign, CRL Sign
     X509v3 Basic Constraints: critical
         CA:TRUE

...

6. OCSP管理

Private CAは顧客の便宜を図るためにオンライン証明書ステータスプロトコル(Online Certificate Status Protocol、OCSP)機能を基本的に提供します。必要な場合に OCSP照会機能を有効化して発行するプライベート証明書に含むように設定できます。

OCSP作成

基本的に提供する OCSP機能を有効化して OCSP URLを証明書にリリースするために OCSPを作成します。OCSPを作成した CAで発行した証明書には以下のような OCSP URLを含みます。

  Authority Information Access:
      OCSP - URI:{NCP PrivateCA OCSP URL}
      CA Issuers - URI:{NCP PrivateCA CA URL}
  X509v3 CRL Distribution Points:
      Full Name:
        URI:{NCP PrivateCA CRL URL}

OCSPを作成する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、i_menu > Services > Security > Private CAメニューを順にクリックします。
  2. OCSPを作成する CAをクリックして選択した後、 OCSP[作成] ボタンをクリックします。
    privateca-use_14_ko
参考

証明書廃棄のステータスを照会するには CRLを直接参照することもできますが、Private CAが提供する OCSP情報を照会して確認することもできます。 OCSPを照会して証明書廃棄のステータスを照会するためのコマンドは次の通りです。

openssl ocsp -issuer {Chain cert} -cert {Cert} -header Host {NCP Private CA Host Name} -url {OCSP URL} -VAfile {OCSP Responder cert} -text

OCSP削除

使用中の OCSP機能を無効化して削除できます。OCSPを削除した CAで発行した証明書には OCSP URLを含みません。OCSPを作成する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、i_menu > Services > Security > Private CAメニューを順にクリックします。
  2. OCSPを削除する CAをクリックして選択した後、 OCSP[削除] ボタンをクリックします。
  3. OCSP削除 のポップアップが表示されたら、 [削除] ボタンをクリックします。

CA証明書を見る

作成した CA別の詳細情報と発行した証明書を確認して、証明書の本文とチェーン情報を PEMファイルでダウンロードできます。CA証明書を確認するかダウンロードする方法は次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、i_menu > Services > Security > Private CAメニューを順にクリックします。
  2. 確認する CAをクリックして選択した後、 [CA証明書を見る] ボタンをクリックします。
  3. CA証明書の詳細情報 のポップアップが表示されたら、必要な情報を確認します。
  4. 証明書の本文やチェーンをダウンロードするには [ダウンロード] ボタンをクリックします。
  5. [確認] ボタンをクリックします。
参考

ルート CAは上位 CAがないため、4.でチェーン情報が表示されません。

有効化/無効化

正常に運用していた CAを特定の理由で無効化するか、無効化した CAを再び有効化することができます。無効化すると CAは照会機能を除いたほとんどの機能が遮断されます。CAの有効化有無を設定する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、i_menu > Services > Security > Private CAメニューを順にクリックします。
  2. 有効化有無を設定する CAをクリックして選択し、次の設定を行います。
    • 有効ステータスを無効ステータスに変更する場合: [無効化] ボタンをクリック
    • 無効ステータスを有効ステータスに変更する場合: [有効化] ボタンをクリック

削除リクエスト

作成した CAに対する削除をリクエストできます。削除リクエストが送信されると72時間待った後に自動的に削除(廃棄)されます。削除待ちの CAは無効ステータスと同じく照会を除いたほとんどの機能が遮断されます。自動削除すると復旧できず、連携システムに深刻な影響を及ぼしかねませんので慎重に行ってください。

注意

待ち時間の72時間が過ぎた後に CAが自動削除されると下位 CAを含めて削除された CAが発行した証明書の運用ステータスおよび期限切れなどを確認せずに削除し、1度削除した CAは個人キーが完全削除されて復旧できないために慎重に行ってください。削除された CAはこれ以上信頼されず、発行されたすべての証明書は認証に使えません。

削除待ちの CAの削除リクエストをキャンセルするには72時間の待ち時間が過ぎる前に [削除キャンセル] ボタンをクリックします。ボタンをクリックすると削除リクエストは撤回されて、直ちに無効ステータスに切り替わります。CAを再び運用するには有効ステータスに切り替えます。ただし、登録待ちの CAに対する削除リクエストを撤回すると登録待ちに切り替わります。
削除リクエストを行う方法は次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、i_menu > Services > Security > Private CAメニューを順にクリックします。
  2. 削除をリクエストする CAをクリックして選択した後、 [削除リクエスト] ボタンをクリックします。
  3. CA削除 のポップアップが表示されたら、CA名を入力 に削除する CA名を入力します。
    privateca-use_16_ko
  4. [削除リクエスト] ボタンをクリックします。
  5. プライベート CAリストで削除をリクエストした後に変更された CAのステータスを確認します。
    • 削除予定: 削除リクエストが受け付けられ、完全削除までの72時間は待機中のステータス
  6. ステータス フィールドに表示された削除予定日に削除せずに直ちに削除するには、 [今すぐ削除] ボタンをクリックします。
    privateca-use_17_ko
  7. CAを直ちに削除 のポップアップが表示されたら注意事項を確認した後、 [削除] ボタンをクリックします。
    privateca-use_18_ko
注意

CAを直ちに削除も下位 CAを含めて削除された CAが発行した証明書の運用ステータスおよび期限切れなどを確認せずに削除し、1度削除した CAは個人キーが完全削除されて復旧できないために慎重に行ってください。削除された CAはこれ以上信頼されず、発行されたすべての証明書は認証に使えません。

プライベート証明書発行

作成した CAでプライベート証明書を発行できます。プライベート証明書の発行方法は次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、i_menu > Services > Security > Private CAメニューを順にクリックします。

  2. プライベート証明書を発行する CAをクリックして選択した後、 [プライベート証明書発行] ボタンをクリックします。

  3. プライベート証明書発行 のポップアップが表示されたら、発行する証明書情報を入力します。

  4. [発行] ボタンをクリックします。

  5. プライベート証明書の詳細情報 のポップアップが表示されたら、証明書情報を確認します。

    • 発行者: プライベート証明書を発行した CA名
    • シリアルナンバー: プライベート証明書を識別するための固有の番号
    • 証明書本文: 証明書本文の情報。ローカル PCに保存するには [ダウンロード] ボタンをクリック
    • 証明書個人キー: 証明書個人キーの情報。ローカル PCに保存するには [ダウンロード] ボタンをクリック
      privateca-use_19_ko
    • 証明書チェーンの発行者が階層構造の場合に含まれる証明書チェーンの情報。ローカル PCに保存するには [ダウンロード] ボタンをクリック
    • OCSP証明書: CAポイント URLが作成されている場合に含まれる OCSPの情報。ローカル PCに保存するには [ダウンロード] ボタンをクリック
    注意

    Private CAはプライベート証明書の個人キーを保存しないため、この画面が終了した後は再び獲得できません。従って発行されたプライベート証明書の個人キーは必ずダウンロードして保管してください。

プライベート証明書廃棄

発行したプライベート証明書を廃棄できます。廃棄すると直ちに CRL(証明書廃棄リスト)に登録され、廃棄タスクはキャンセルできないために慎重に行ってください。プライベート証明書の廃棄方法は次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、i_menu > Services > Security > Private CAメニューを順にクリックします。
  2. 廃棄する証明書が発行された CAをクリックして選択した後、 [プライベート証明書廃棄] ボタンをクリックします。
  3. プライベート証明書廃棄 のポップアップが表示されたら、廃棄する証明書のシリアルナンバーを入力します。
  4. [廃棄] ボタンをクリックします。
注意
  • 廃棄された証明書のシリアルナンバーは発行証明書リストから削除されません。従って証明書の有効性検証のための廃棄有無の確認は必ず CRL(または OCSP照会)をご参照ください。
  • 下位 CA証明書は発行証明書リストに表示されますが、直接廃棄できません。下位 CA証明書は CA削除時に自動的に廃棄されます。
参考

証明書廃棄が登録された CRLの例は次の通りです。

$ curl {CRL URL} | openssl crl -text -noout

Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /C=KR/ST=\xEA\xB2\xBD\xEA\xB8\xB0\xEB\x8F\x84/L=\xEC\x84\xB1\xEB\x82\xA8\xEC\x8B\x9C/O=Naver Cloud Platform/OU=Security Dev/CN=My sub CA
        Last Update: Jul 15 15:29:22 2020 GMT
        Next Update: Jul 18 15:29:22 2020 GMT
        CRL extensions:
            X509v3 Authority Key Identifier:
                keyid:17:43:8A:2C:FD:8A:7C:20:44:6F:F1:52:6B:9D:7E:27:8F:E8:0B:0C

Revoked Certificates:
    Serial Number: 658D43B364DD48B6F69AFB3E27010F6A42D61D66
        Revocation Date: Jul 15 15:29:22 2020 GMT
    Signature Algorithm: sha256WithRSAEncryption
         23:9e:a9:a8:76:32:db:c3:2c:15:ba:3c:15:94:ea:ef:d2:fd:
         3a:7d:0f:da:68:b2:69:8a:d0:c2:3e:21:19:f8:c7:b4:6a:a6:
         2e:2f:c1:3b:13:61:a0:98:ff:6d:f8:40:8f:2f:5b:09:db:c8:
         b6:85:5b:69:3b:5c:5a:8e:37:3a:12:eb:46:bd:e8:fd:4f:ba:
         e3:94:a3:75:96:bb:3c:4c:4d:3e:25:f1:54:bd:ae:09:ca:63:
         fb:31:2a:e4:b0:e0:de:0e:2f:83:f2:96:26:ef:7c:b8:c2:24:
         80:ce:38:d5:d4:b4:e4:04:13:56:c1:c4:63:26:9d:34:c9:e4:
         67:73:1d:0f:e0:5c:ca:b6:00:ea:f3:39:e6:f9:c8:67:07:3f:
         d5:cc:ca:82:7a:45:ae:ff:6f:b4:5f:bc:62:a8:9c:0c:7e:d3:
         88:e1:c9:5b:c8:d0:3c:b7:22:20:dd:3a:98:b9:82:61:25:e0:
         3b:6f:e1:f7:ea:94:b0:e5:a8:9b:49:e4:1c:0d:bc:6a:25:65:
         40:04:02:4b:eb:ea:71:d7:2f:74:85:c4:b9:aa:92:f2:60:e7:
         6c:bd:85:5f:17:f2:ca:0f:35:b1:fb:5e:33:65:0f:d8:50:70:
         2d:61:76:8d:19:d3:a0:f3:87:ee:7a:f8:10:fd:5f:c9:dc:44:
         e4:c3:7c:00