Zoomプラットフォーム全体におけるZoomアプリケーション、通信、およびメディアの高いセキュリティ基準を維持するため、ZoomはグローバルインフラストラクチャをDigiCert Global Root G2によって署名された証明書へ移行しています。サービスを引き続き機能させるため、管理者は新しい証明書をインストールする必要がある場合があります。影響を受ける各サービスの概要は以下のとおりです。
| サービス / デバイスタイプ | 変更日 |
|
クラウドルームコネクタを利用するデバイス* |
|
|
Bring Your Own Carrier - Premises(BYOC-Premises) |
2023年8月1日以降 |
|
Zoom Phone用の汎用SIPデバイス |
|
|
SIP接続オーディオデバイス |
2024年1月1日 |
|
シングルサインオン |
2024年1月1日 |
*注: これらの変更は1月27日と2月3日に開始される予定でしたが、1週間延期されました。
Zoomは現在、ルート証明書をDigiCert Root CAからDigiCert Global Root G2に移行しています。この変更に伴い、お客様はDigiCert Global Root G2をセッションボーダーコントローラ(SBC)にアップロードする必要があります。これにより、TLS用に設定されているBYOC / BYOPトランクが証明書の変更後も動作を継続できるようにします。証明書の変更後も動作を継続させるには、汎用デバイスにもこれらの証明書をアップロードする必要があります。
注: 確実な動作を保証するため、Zoomが新しい証明書に更新するまでは、デバイス上に現行のDigiCert Root CA証明書を残しておく必要があります。
セッションボーダーコントローラでの証明書更新方法に関する追加リソースについては、以下のリンク、またはご利用の電話メーカーのウェブサイトをご参照ください。
Zoom CRCサービスは、SIP TLS接続においてDigiCert Global Root G2ルート証明書およびDigiCert Global G2 TLS RSA SHA256 2020 CA1中間証明書によって発行された証明書を使用するようになります。
この変更はSIP TLSを使用してZoom CRCに接続するデバイスにのみ影響します。SIP over TCP、SIP over UDP、H.323を使用する接続には影響ありません。
注: 確実な動作を保証するため、Zoomが変更を完了するまでは、SIP TLSを使用してZoom CRCに接続するデバイス上に現行のDigiCert Root CA証明書を残しておく必要があります。変更後、SIP TLSを使用してZoom CRCに接続するデバイスからこれらの証明書を削除する必要はありません。
Zoomは、この変更がSIPベースのルームシステムやZoom CRCサービスを利用する連携機能に影響を与える可能性があることを理解しています。Zoomは、一般的なSIP/H.323カンファレンスルーム機器をデフォルト設定でテストし、Zoom CRC証明書がSIP TLSを使用してZoom CRC経由でZoomミーティングに接続する機能に影響を与えないことを確認しました。SIP/H.323カンファレンスルーム機器のテストは、最新リリースのデバイスベンダーファームウェアを使用して行われました。また、SIP TLSを通話プロトコルとして設定して、Zoom CRCに直接通話することで各デバイスのテストを実施しました。新しい証明書を使用したSIP TLS経由でのZoom CRCへの接続に成功したデバイス / ファームウェアの組み合わせは以下のとおりです(デバイスはデフォルト設定)。
Zoomでは、SIP/H.323カンファレンスルームデバイスがこれらの要件を満たしていることを確認するよう推奨しています。必要に応じてデバイスを更新し、Zoom CRCのサポート対象となるようにしてください。
上記リストにないデバイス、アプリケーション、プラットフォームで、SIP(特にSIP over TLS)を使ってZoom CRCに接続する場合は、ベンダーのドキュメントを確認するか、サポートに問い合わせて、デバイス、アプリケーション、プラットフォームで使用できるトラストストア証明書にDigiCert Global Root G2ルート証明書が含まれているかどうかを確認してください。必要に応じて、ベンダーの指示に従って追加の証明書をインストールしてください。
SIP TLSを使ってZoom CRCに接続するSIP/H.323デバイスから、SIP URI「0@dvgo.zmus.us」にダイヤルすると、Zoom CRCテストサービスに接続できます。Zoom CRCサービス(dvgo.zmus.us)では、SIP TLS接続にDigiCert Global Root G2ルート証明書およびDigiCert Global G2 TLS RSA SHA256 2020 CA1中間証明書によって発行された証明書が使用されます。
接続に失敗した場合、デバイスまたはサービスが、DigiCert Global Root G2ルート証明書およびDigiCert Global G2 TLS RSA SHA256 2020 CA1中間証明書によって発行された新しいZoom CRC証明書を信頼していないことが原因である可能性があります。SIP/H.323デバイスのログを確認し、通話が失敗した原因を特定してください(例:「検証が失敗した」または「証明書チェーンに自己署名証明書が含まれている」ことが原因でTLS接続が作成できない場合は、信頼が確立されていないことを示しています)。この場合、デバイスベンダーの管理インターフェイスを使用してDigiCert Global Root G2ルート証明書を読み込むことができます。デバイスがZoom CRCに直接ダイヤルしていない場合(例: オンプレミスやサードパーティのクラウドインフラストラクチャに登録されている場合)、通話失敗の原因がSIP/H.323デバイス自体ではなく、通話経路の途中にある可能性もあります。インフラストラクチャのログを確認して、通話が失敗した原因を確認してください。
SIP/H.323デバイスがZoom CRCのビデオIVRに接続され、ミーティングIDの入力を求められた場合、DigiCert Global Root G2ルート証明書およびDigiCert Global G2 TLS RSA SHA256 2020 CA1中間証明書によって発行された新しい証明書を使用したSIP TLS接続が正常にネゴシエートされたことを意味します。この場合、ミーティングに参加する必要はなく、デバイスがビデオIVRに接続され、音声 / 映像を受信できれば、SIP TLS証明書の信頼性テストとして十分です。
ただし、Zoomでは、実際にSIP TLSで接続しており、SIP over TCP、SIP over UDP、またはH.323接続方式にフォールバックしていないことを確認するため、SIP/H.323デバイスのログを確認することを推奨しています。デバイスがZoom CRCに直接ダイヤルしていない場合(例: オンプレミスやサードパーティのクラウドインフラストラクチャに登録されている場合)、通話経路のどこかでフォールバックが発生している可能性もあります。この場合は、インフラストラクチャのログを確認し、通話がSIP TLSを使用して接続されていることを確認してください。
SIP UDP、SIP TCP、またはH.323を使用してカンファレンスルームコネクタに接続するようにデバイス、アプリケーション、プラットフォームを設定することも可能ですが、ZoomではSIP TLSの使用を推奨しています。ベンダーのドキュメントを確認するか、サポートに問い合わせて、デバイス、アプリケーション、プラットフォームで使用できるトラストストア証明書にDigiCert Global Root G2ルート証明書が含まれているかどうかを確認してください。必要に応じて、ベンダーの指示に従ってこのページの他の場所に記載されている追加の証明書をインストールしてください。デバイス、アプリケーション、プラットフォームのベンダーが提供するトラストストアに証明書を追加できず、SIP TLS接続が不可能な場合は、代わりにハードウェアをZoom Roomsに置き換えることを検討してください。
標準的な業界慣行に追従するため、Zoomは2024年1月2日(火)の期限切れに先立ち、シングルサインオン(SSO)証明書を更新します。ただし、Zoom SSO証明書ローテーションを実施する前に、DigiCert Global Root G2がトラストストアに含まれていることを確認してください。ほとんどのクラウドベースのアイデンティティプロバイダー(IdP)サービスにはすでに含まれていますが、オンプレミスベースのIdPサーバーでは証明書トラストストアの更新が必要になる場合があります。DigiCert Global Root G2がトラストストアに含まれていない場合、Zoom SSO証明書ローテーション時にサービスの中断が発生します。
2024年3月時点で、G1ルート証明書は利用できなくなっており、組織は新しいDigiCert Global Root G2証明書を使用する必要があります。
DigiCert Global Root CA
| ダウンロード |
PEM形式: https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem DER形式: https://cacerts.digicert.com/DigiCertGlobalRootCA.crt |
| 有効期限 | 2031年11月10日 |
| シリアル番号 | 08:3B:E0:56:90:42:46:B1:A1:75:6A:C9:59:91:C7:4A |
| SHA1フィンガープリント | A8:98:5D:3A:65:E5:E5:C4:B2:D7:D6:6D:40:C6:DD:2F:B1:9C:54:36 |
| SHA256フィンガープリント | 43:48:A0:E9:44:4C:78:CB:26:5E:05:8D:5E:89:44:B4:D8:4F:96:62:BD:26:DB:25:7F:89:34:A4:43:C7:01:61 |
DigiCert TLS RSA SHA256 2020 CA1証明書
| ダウンロード |
PEM形式: https://cacerts.digicert.com/DigiCertTLSRSASHA2562020CA1-1.crt.pem DER形式: https://cacerts.digicert.com/DigiCertTLSRSASHA2562020CA1-1.crt |
| 有効期限 | 2031年4月13日 |
| シリアル番号 | 06:D8:D9:04:D5:58:43:46:F6:8A:2F:A7:54:22:7E:C4 |
| SHA1フィンガープリント | 1C:58:A3:A8:51:8E:87:59:BF:07:5B:76:B7:50:D4:F2:DF:26:4F:CD |
| SHA256フィンガープリント | 52:27:4C:57:CE:4D:EE:3B:49:DB:7A:7F:F7:08:C0:40:F7:71:89:8B:3B:E8:87:25:A8:6F:B4:43:01:82:FE:14 |
Zoomは現在、DigiCertを通じて証明書を発行しています。システムのトラストストアにルート証明書がない場合は、手動で追加しなければならないことがあります。以下は、組織が2024年1月1日までに利用すべき現在の証明書です。
DigiCert Global Root G2証明書
| ダウンロード |
PEM形式: https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem DER形式: https://cacerts.digicert.com/DigiCertGlobalRootG2.crt |
| 有効期限 | 2038年1月15日 |
| シリアル番号 | 03:3A:F1:E6:A7:11:A9:A0:BB:28:64:B1:1D:09:FA:E5 |
| SHA1フィンガープリント | DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4 |
| SHA256フィンガープリント | CB:3C:CB:B7:60:31:E5:E0:13:8F:8D:D3:9A:23:F9:DE:47:FF:C3:5E:43:C1:14:4C:EA:27:D4:6A:5A:B1:CB:5F |
DigiCert TLS RSA4096 Root G5証明書
| ダウンロード | PEM形式: https://cacerts.digicert.com/DigiCertTLSRSA4096RootG5.crt.pem DER形式: https://cacerts.digicert.com/DigiCertTLSRSA4096RootG5.crt |
| 有効期限 | 2046年1月14日 |
| シリアル番号 | 08:F9:B4:78:A8:FA:7E:DA:6A:33:37:89:DE:7C:CF:8A |
| SHA1フィンガープリント | A7:88:49:DC:5D:7C:75:8C:8C:DE:39:98:56:B3:AA:D0:B2:A5:71:35 |
| SHA256フィンガープリント | 37:1A:00:DC:05:33:B3:72:1A:7E:EB:40:E8:41:9E:70:79:9D:2B:0A:0F:2C:1D:80:69:31:65:F7:CE:C4:AD:75 |
まれではありますが、システムから中間証明書を手動で追加するように求められることがあります。
DigiCert Global G2 TLS RSA SHA256 2020 CA1
| ダウンロード |
PEM形式: https://cacerts.digicert.com/DigiCertGlobalG2TLSRSASHA2562020CA1-1.crt.pem |
| 有効期限 | 2031年3月29日 |
| シリアル番号 | 0C:F5:BD:06:2B:56:02:F4:7A:B8:50:2C:23:CC:F0:66 |
| SHA1フィンガープリント | 1B:51:1A:BE:AD:59:C6:CE:20:70:77:C0:BF:0E:00:43:B1:38:26:12 |
| SHA256フィンガープリント | C8:02:5F:9F:C6:5F:DF:C9:5B:3C:A8:CC:78:67:B9:A5:87:B5:27:79:73:95:79:17:46:3F:C8:13:D0:B6:25:A9 |
DigiCert G5 TLS RSA4096 SHA384 2021 CA1
| ダウンロード |
PEM形式: https://cacerts.digicert.com/DigiCertG5TLSRSA4096SHA3842021CA1-1.crt.pem |
| 有効期限 | 2031年4月13日 |
| シリアル番号 | 0E:64:58:E7:54:EC:9C:C7:BA:C8:32:31:D5:F9:4D:58 |
| SHA1フィンガープリント | 81:5C:D8:FF:64:BE:AC:E0:7E:F8:F2:F9:D5:33:01:1F:A4:79:36:58 |
| SHA256フィンガープリント | C6:27:0A:15:06:91:FB:E1:90:D8:31:F5:13:9B:DF:EE:CF:7B:29:8B:4F:A0:CA:17:30:6A:69:D7:E9:1E:7B:A2 |
Digicert証明書のダウンロードについての詳細は、Digicertサポートにお問い合わせください。
2026年6月15日以降、Google Chromeはクライアント認証拡張キー使用法(EKU)を含む公開サーバー証明書を信頼しなくなります。これにより、現在Chromeルートストアに登録されている、すべての公開信頼されたTLS認証局(CA)が影響を受けます。この変更は、BYOC(Bring Your Own Carrier)、SIP接続オーディオデバイス、その他クライアント認証にSSL/TLS証明書を利用するZoomサービスに影響します。
Google ChromeによるmTLS廃止に伴い必要となる変更の詳細については、こちらをご覧ください。