1 <- index ->3


2.  要件および想定 English

この仕様の目的は、X.509 証明書の利用を、X.509 技術を利活用することを望むコミュニティのために、インターネットアプリケーションにおいて促進するためにプロファイルを策定することである。このようなアプリケーションは、WWW、電子メール、ユーザ認証 および IPsec を含む可能性がある。X.509 証明書を使うことの障害のいくつかを除去するようにするため、本書は、証明書管理システムの開発、アプリケーションツールの開発、および、ポリシーによって決定された相互運用可能性を促進するためにプロファイルを規定する。

コミュニティには、特化されたアプリケーションドメインもしくは環境の要件に適合させるために、追加的な認可、保証もしくは運用的要件について、このプロファイルを補ったり、あるいは、置き換えたりすることを必要とするところがある。しかし、基本アプリケーション用には、頻繁に使われる属性の卑近な」(common)表現が、アプリケーション開発者が必要不可欠な情報を特定の証明書もしくは CRL(証明書失効リスト)の発行者とは関係無しに入手できるように規定される。

証明書ユーザは、特定の証明書中の公開鍵に関連する本人認証サービスもしくは否認防止サービスに依存する前に、その認証局(CA:Certification Authority)によって策定された証明書ポリシーを見直す必要がある。この目的で、この標準は、法的に適用されるルールもしくは義務については規定しない。

属性証明書のような、補助的な認可および属性の管理ツールが台頭するしてきたので、証明書中に含まれた認証された属性を制限することが適切である可能性がある。これらの他の管理ツールは、多くの認証された属性を運ぶための、より適切な手段を提供する可能性がある。

2.1. 通信およびトポロジ English

証明書のユーザ(特にセキュアな電子メールのユーザ)は、彼らの通信トポロジに関して、広範な環境において運用する。このプロファイルは、広帯域やリアルタイム IP 接続性あるいは高い接続の利用可能性をもたないユーザをサポートする。さらに、そのプロファイルは、ファイアウォールもしくは他のフィルタされた通信の存在を許容する。

このプロファイルは、X.500 ディレクトリ システム [X.500] もしくは LDAP(Lightweight Directory Access Protocol)ディレクトリシステム [RFC4510] の配備を想定しない。このプロファイルは、X.500 ディレクトリもしくは LDAP ディレクトリの利用を禁止しない。; 証明書および CRL を配布するためのあらゆる手段が使われる可能性がある。

2.2. 受容性クライテリア English

PKI の目的は、決定論的な自動化された識別、認証、アクセス制御および認可の機能のニーズに合致させることである。これらのサービスについてのサポートは、ポリシーデータおよび証明書パス制約のような証明書中の補助的な制御情報 と共に、その証明書中に含まれる属性を判定する。

2.3. ユーザの期待 English

インターネット PKI のユーザは、クライアントソフトウェアを使い、証明書中に「サブジェクト」として記名される人々とプロセスである。これらの利用は、電子メールソフトウェア、WWW ブラウザ用クライアント、WWW サーバ、および、ルータ内の IPsec 用鍵マネージャを含む。このプロファイルは、「これらのユーザが採用するプラットフォームの制限」と、「ユーザ自身の洗練および注意力における制限」を認識する。これ自体は、最低限のユーザ設定責任(例: trusted CA 鍵、ルール)において、証明書中の明示的プラットフォーム用途制約、ユーザが多くの悪意ある活動をしないように防ぐ証明書パス制約、および、検証機能を敏感に自動化するアプリケーションを明示する。

2.4. 運用管理者の期待 English

ユーザの期待と同様に、インターネット PKI プロファイルは、一般に CA を運用する人をサポートするために構築された。運用管理者に無制限な選択肢を与えることは、「些細な CA 運用管理者の間違いが広域な侵害をもたらす」機会を増加させる。また、無制限な選択は、その CA によって作成された証明書を処理し、検証するソフトウェアを大幅に複雑化する。

 


1 <- index -> 3