ネットワーク WG
Request for Comments: 5280
廃止: 3280, 4325, 4630
分類: Standards Track
 

D. Cooper
NIST
S. Santesson
                                      Microsoft
S. Farrell
Trinity College Dublin
 Boeyen
Entrust
R. Housley
Vigil Security
W. Polk
NIST
2008年 5月

English

インターネットX.509 PKI: 証明書と CRL のプロファイル
(Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile)

このメモの位置づけ

本書は、インターネットコミュニティに対してインターネットスタンダードトラックのプロトコルを定義するとともに、それを改良するための議論や提言を求めるものである。 このプロトコルの標準化状態およびステータスについては、「Internet Official Protocol Standards」(STD 1) の最新版を参照すること。 このメモの配布に制限はない。

要旨

本書は、インターネットにおいて利用される X.509 v3 証明書と X.509 v2 証明書失効リスト(CRL)について記述する。このアプローチとモデルの概観は、「はじめに」の章で提供される。X.509 v3 証明書フォーマットは、インターネット名前形式のフォーマットとセマンティックスに関する追加的情報と共に詳述されている。標準証明書拡張が記述されており、ふたつのインターネット固有拡張が規定されている。要求される証明書拡張の集合が、規定されている。 X.509 v2 CRL フォーマットは、標準拡張とインターネット固有拡張と共に詳述されている。X.509 認証パス検証のためのアルゴリズムが、記述されている。ASN.1 モジュールと例示は、付録において提供される。

目次

1. はじめに
2. 要件および想定
      2.1. 通信およびトポロジ
      2.2. 受容可能性のクライテリア
      2.3. ユーザの期待
      2.4. 運用管理者の期待
3. アプローチの概観
      3.1. X.509 v3 証明書
      3.2. 証明書パスおよびトラスト
      3.3. 失効
      3.4. 運用プロトコル
      3.5. 管理プロトコル
4. 証明書および証明書拡張のプロファイル
      4.1. 基本証明書フィールド
           4.1.1. 証明書フィールド
                  4.1.1.1. tbsCertificate
                  4.1.1.2. signatureAlgorithm
                  4.1.1.3. signatureValue
           4.1.2. TBSCertificate
                  4.1.2.1. バージョン
                  4.1.2.2. シリアル番号
                  4.1.2.3. 署名
                  4.1.2.4. 発行者
                  4.1.2.5. Validity
                           4.1.2.5.1. UTCTime
                           4.1.2.5.2. GeneralizedTime
                  4.1.2.6. Subject
                  4.1.2.7. サブジェクト公開鍵情報
                  4.1.2.8. 固有な識別子
                  4.1.2.9. 拡張
      4.2. 証明書拡張
           4.2.1. 標準拡張
                  4.2.1.1. Authority 鍵識別子
                  4.2.1.2. サブジェクト鍵識別子
                  4.2.1.3. 鍵用途
                  4.2.1.4. 証明書ポリシー
                  4.2.1.5. ポリシーマッピング
                  4.2.1.6. サブジェクト代替名
                  4.2.1.7. 発行者代替名
                  4.2.1.8. サブジェクトディレクトリ属性
                  4.2.1.9. 基本制約
                  4.2.1.10. 名前制約
                  4.2.1.11. ポリシー制約
                  4.2.1.12. 拡張された鍵用途
                  4.2.1.13. CRL 配布点
                  4.2.1.14. Inhibit anyPolicy
                  4.2.1.15. Freshest CRL (a.k.a. Delta CRL Distribution Point)
           4.2.2. プライベートインターネット拡張
                  4.2.2.1. Authority 情報アクセス
                  4.2.2.2. サブジェクト情報アクセス
5. CRL および CRL 拡張のプロファイル
      5.1. CRL フィールド
           5.1.1. CertificateList フィールド
                  5.1.1.1. tbsCertList
                  5.1.1.2. signatureAlgorithm
                  5.1.1.3. signatureValue
           5.1.2. Certificate List "To Be Signed"
                  5.1.2.1. バージョン
                  5.1.2.2. 署名
                  5.1.2.3. 発行者名
                  5.1.2.4. This Update
                  5.1.2.5. Next Update
                  5.1.2.6. 失効された証明書
                  5.1.2.7. 拡張
      5.2. CRL 拡張
           5.2.1. Authority 鍵識別子
           5.2.2. 発行者代替名
           5.2.3. CRL 番号
           5.2.4. Delta CRL 表示子
           5.2.5. Issuing 配布点
           5.2.6. Freshest CRL (a.k.a. Delta CRL 配布点)
           5.2.7. Authority 情報アクセス
      5.3. CRL Entry 拡張
           5.3.1. 理由コード
           5.3.2. Invalidity 日付
           5.3.3. 証明書発行者
6. 証明書パス検証
      6.1. Basic パス検証
           6.1.1. Inputs
           6.1.2. 初期化
           6.1.3. Basic 証明書処理
           6.1.4. Preparation for Certificate i+1
           6.1.5. Wrap-Up Procedure
           6.1.6. Outputs
      6.2. パス検証アルゴリズムを使う
      6.3. CRL 検証
           6.3.1. Revocation Inputs
           6.3.2. 初期化および失効状態変数
           6.3.3. CRL 処理
7. 国際化された名前についての処理ルール
      7.1. DN における国際化された名前
      7.2. GeneralName における国際化ドメイン名
      7.3. DN における国際化ドメイン名
      7.4. 国際化されたリソース識別子
      7.5. 国際化された電子メールアドレス
8. セキュリティに関する考慮事項
9. IANA に関する考慮事項
10. 謝辞
11. 参考文献
      11.1. 規範的参考文献
      11.2. 参考資料
付録 A.  Pseudo-ASN.1 Structures and OIDs
      A.1. Explicitly Tagged Module, 1988 Syntax
      A.2. Implicitly Tagged Module, 1988 Syntax
付録 B. ASN.1 Notes
付録 C. 例示
      C.1. RSA Self-Signed 証明書
      C.2. End Entity 証明書 Using RSA
      C.3. End Entity 証明書 Using DSA
      C.4. 証明書失効リスト

著者のアドレス

David Cooper
National Institute of Standards and Technology
100 Bureau Drive, Mail Stop 8930
Gaithersburg, MD 20899-8930
USA
EMail: david.cooper@nist.gov

Stefan Santesson
Microsoft
One Microsoft Way
Redmond, WA 98052
USA
EMail: stefans@microsoft.com

Stephen Farrell
Distributed Systems Group
Computer Science Department
Trinity College Dublin
Ireland
EMail: stephen.farrell@cs.tcd.ie

Sharon Boeyen
Entrust
1000 Innovation Drive
Ottawa, Ontario
Canada K2K 3E7
EMail: sharon.boeyen@entrust.com

Russell Housley
Vigil Security, LLC
918 Spring Knoll Drive
Herndon, VA 20170
USA
EMail: housley@vigilsec.com

Tim Polk
National Institute of Standards and Technology
100 Bureau Drive, Mail Stop 8930
Gaithersburg, MD 20899-8930
USA
EMail: wpolk@nist.gov

翻訳者のアドレス

宮川 寧夫
独立行政法人 情報処理推進機構
EMail: miyakawa@ipa.go.jp

著作権表記全文

Copyright (C) The IETF Trust (2008).

This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.

This document and the information contained herein are provided on an"AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. Intellectual Property

The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79. Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr. The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.