English

インターネットX.509 PKI：証明書とCRLのプロファイル
(Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile)

このメモの位置づけ

本書は、 インターネットコミュニティに対してインターネットスタンダードトラックのプロトコルを定義するとともに、 それを改良するための議論や提言を求めるものである。 このプロトコルの標準化状態およびステータスについては、 「Internet Official Protocol Standards」(STD 1)の最新版を参照すること。 このメモの配布に制限はない。

要旨

本書は、インターネットにおいて利用されるX.509 v3証明書とX.509 v2証明書失効リスト(CRL)について記述する。 このアプローチとモデルの概観は、「はじめに」の章で提供される。 X.509 v3証明書フォーマットは、 インターネット名前形式のフォーマットとセマンティックスに関する追加的情報と共に詳述されている。 標準証明書拡張が記述されており、 ふたつのインターネット固有拡張が規定されている。 要求される証明書拡張の集合が、規定されている。 X.509 v2 CRLフォーマットは、 標準拡張とインターネット固有拡張と共に詳述されている。 X.509認証パス検証のためのアルゴリズムが、記述されている。 ASN.1モジュールと例示は、付録において提供される。

目次

1. 1. はじめに
2. 2. 要件および想定
   1. 2.1. 通信およびトポロジ
   2. 2.2. 受容可能性のクライテリア
   3. 2.3. ユーザの期待
   4. 2.4. 運用管理者の期待
3. 3. アプローチの概観
   1. 3.1. X.509 v3証明書
   2. 3.2. 証明書パスおよびトラスト
   3. 3.3. 失効
   4. 3.4. 運用プロトコル
   5. 3.5. 管理プロトコル
4. 4. 証明書および証明書拡張のプロファイル
   1. 4.1. 基本証明書フィールド
      1. 4.1.1. 証明書フィールド
         1. 4.1.1.1. tbsCertificate
         2. 4.1.1.2. signatureAlgorithm
         3. 4.1.1.3. signatureValue
      2. 4.1.2. TBSCertificate
         1. 4.1.2.1. バージョン
         2. 4.1.2.2. シリアル番号
         3. 4.1.2.3. 署名
         4. 4.1.2.4. 発行者
         5. 4.1.2.5. Validity
            1. 4.1.2.5.1. UTCTime
            2. 4.1.2.5.2. GeneralizedTime
         6. 4.1.2.6. Subject
         7. 4.1.2.7. サブジェクト公開鍵情報
         8. 4.1.2.8. 固有な識別子
         9. 4.1.2.9. 拡張
   2. 4.2. 証明書拡張
      1. 4.2.1. 標準拡張
         1. 4.2.1.1. Authority鍵識別子
         2. 4.2.1.2. サブジェクト鍵識別子
         3. 4.2.1.3. 鍵用途
         4. 4.2.1.4. 証明書ポリシー
         5. 4.2.1.5. ポリシーマッピング
         6. 4.2.1.6. サブジェクト代替名
         7. 4.2.1.7. 発行者代替名
         8. 4.2.1.8. サブジェクトディレクトリ属性
         9. 4.2.1.9. 基本制約
         10. 4.2.1.10. 名前制約
         11. 4.2.1.11. ポリシー制約
         12. 4.2.1.12. 拡張された鍵用途
         13. 4.2.1.13. CRL 配布点
         14. 4.2.1.14. Inhibit anyPolicy
         15. 4.2.1.15. Freshest CRL (a.k.a. Delta CRL Distribution Point)
      2. 4.2.2. プライベートインターネット拡張
         1. 4.2.2.1. Authority情報アクセス
         2. 4.2.2.2. サブジェクト情報アクセス
5. 5. CRLおよびCRL拡張のプロファイル
   1. 5.1. CRLフィールド
      1. 5.1.1. CertificateListフィールド
         1. 5.1.1.1. tbsCertList
         2. 5.1.1.2. signatureAlgorithm
         3. 5.1.1.3. signatureValue
      2. 5.1.2. Certificate List "To Be Signed"
         1. 5.1.2.1. バージョン
         2. 5.1.2.2. 署名
         3. 5.1.2.3. 発行者名
         4. 5.1.2.4. This Update
         5. 5.1.2.5. Next Update
         6. 5.1.2.6. 失効された証明書
         7. 5.1.2.7. 拡張
   2. 5.2. CRL拡張
      1. 5.2.1. Authority鍵識別子
      2. 5.2.2. 発行者代替名
      3. 5.2.3. CRL番号
      4. 5.2.4. Delta CRL表示子
      5. 5.2.5. Issuing配布点
      6. 5.2.6. Freshest CRL (a.k.a. Delta CRL配布点)
      7. 5.2.7. Authority情報アクセス
   3. 5.3. CRL Entry拡張
      1. 5.3.1. 理由コード
      2. 5.3.2. Invalidity日付
      3. 5.3.3. 証明書発行者
6. 6. 証明書パス検証
   1. 6.1. Basicパス検証
      1. 6.1.1. Inputs
      2. 6.1.2. 初期化
      3. 6.1.3. Basic証明書処理
      4. 6.1.4. Preparation for Certificate i+1
      5. 6.1.5. Wrap-Up Procedure
      6. 6.1.6. Outputs
   2. 6.2. パス検証アルゴリズムを使う
   3. 6.3. CRL検証
      1. 6.3.1. Revocation Inputs
      2. 6.3.2. 初期化および失効状態変数
      3. 6.3.3. CRL処理
7. 7. 国際化された名前についての処理ルール
   1. 7.1. DNにおける国際化された名前
   2. 7.2. GeneralNameにおける国際化ドメイン名
   3. 7.3. DNにおける国際化ドメイン名
   4. 7.4. 国際化されたリソース識別子
   5. 7.5. 国際化された電子メールアドレス
8. 8. セキュリティに関する考慮事項
9. 9. IANAに関する考慮事項
10. 10. 謝辞
11. 11. 参考文献
    1. 11.1. 規範的参考文献
    2. 11.2. 参考資料
12. 付録 A. Pseudo-ASN.1 Structures and OIDs
    1. A.1. Explicitly Tagged Module, 1988 Syntax
    2. A.2. Implicitly Tagged Module, 1988 Syntax
13. 付録 B. ASN.1 Notes
14. 付録 C. 例示
    1. C.1. RSA Self-Signed証明書
    2. C.2. End Entity証明書Using RSA
    3. C.3. End Entity証明書Using DSA
    4. C.4. 証明書失効リスト

著者のアドレス

David Cooper
National Institute of Standards and Technology
100 Bureau Drive, Mail Stop 8930
Gaithersburg, MD 20899-8930
USA
EMail： david.cooper＠nist.gov

Stefan Santesson
Microsoft
One Microsoft Way
Redmond, WA 98052
USA
EMail： stefans＠microsoft.com

Stephen Farrell
Distributed Systems Group
Computer Science Department
Trinity College Dublin
Ireland
EMail： stephen.farrell＠cs.tcd.ie

Sharon Boeyen
Entrust
1000 Innovation Drive
Ottawa, Ontario
Canada K2K 3E7
EMail： sharon.boeyen＠entrust.com

Russell Housley
Vigil Security, LLC
918 Spring Knoll Drive
Herndon, VA 20170
USA
EMail： housley＠vigilsec.com

Tim Polk
National Institute of Standards and Technology
100 Bureau Drive, Mail Stop 8930
Gaithersburg, MD 20899-8930
USA
EMail： wpolk＠nist.gov

翻訳者のアドレス

宮川 寧夫
独立行政法人 情報処理推進機構
EMail： miyakawa＠ipa.go.jp

著作権表記全文

Copyright (C) The IETF Trust (2008).

This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.

This document and the information contained herein are provided on an"AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. Intellectual Property

The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79. Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr. The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr＠ietf.org.