6 <- index -> 8


7. 国際化された名前についての処理ルール English

国際化された名前には、DN(distinguished name)、IDN(internationalized domain names)、電子メールアドレスおよび IRI(Internationalized Resource Identifiers)を含む多数の証明書、CRL フィールドおよび拡張において、遭遇する可能性がある。このような名前の Storage、比較法および表現は、特別の配慮を要する。characters には、複数の方法で符号化される可能性があるものがある。同一の名前は、複数の符号化法(例: ASCII もしくは UTF8)で表現される可能性がある。この章では、これらの名前の形態の各々についての storage もしくは比較法 についての準拠性要件を確立する。表現についての Informative guidance が、これらの name forms のいくつかについて提供される。

7.1.DN における 国際化された名前 English

distinguished names における 国際化された名前 の表現は、4.1.2.4 節の Issuer Name および 4.1.2.6節の Subject Name において扱われている。common name のような標準命名属性は、DirectoryString type を採用する。これは、多様な言語の符号化を通じて、国際化された名前をサポートする。準拠実装は、UTF8String および PrintableString をサポートしなければならない(MUST)。RFC 3280 は、UTF8String に符号化された属性値のバイナリ比較法のみを要求していた。しかし、この仕様は、より包括的(comprehensive)な比較法の操作を要求する。実装は、名前が TeletexString、BMPString もしくは UniversalString を使って符号化された証明書および CRL に遭遇する可能性があるが、これらのサポートは、任意(OPTIONAL)である。

準拠実装は、[RFC4518], に規定されているように、LDAP StringPrep profile (including insignificant space handling)を PrintableString か、あるいは、UTF8String のいずれかに符号化された distinguished name 属性の比較法についての基礎として使わなければならない(MUST)。準拠実装は、caseIgnoreMatch を使った名前比較法をサポートしなければならない(MUST)。他の equality 突合ルールを使う属性 types についてのサポートは、任意(optional)である。

名前を caseIgnoreMatch matching ルールを使って比較する前に、準拠実装は、DirectoryString 形態の各属性について、[RFC4518] に記述された 6 ステップの string preparation アルゴリズムを下記の明確化事項と共に行わなければならない(MUST)。:

この string 比較アルゴリズムを行うとき、属性は、stored 値として扱われなければならない(MUST)

domainComponent 属性の比較法は、7.3 節に規定されているように行われなければならない(MUST)

2 つの naming 属性は、その属性 types が同一であり、かつ、その属性の値が string preparation アルゴリズムについて処理した後に一致する場合、一致する。2 つの relative distinguished names である RDN1 および RDN2 は、それらが同一番号の naming 属性をもち、各 naming 属性について RDN1 中に RDN2 中に一致する naming 属性がある場合、一致する。2 つの distinguished names である DN1 および DN2 は、それらが同数の RDN をもち、各 RDN について DN1 中に一致する RDN が DN2 中にあり、かつ、一致する RDN が両方の DN に同じ順に現れる場合、一致する。distinguished name DN1 は、DN1 が少なくとも DN2 と同数の RDN を含み、かつ、DN1 中の trailing RDNs が無視されるとき DN1 および DN2 が一致する場合、その distinguished name DN2 によって規定された subtree 中にある。

7.2. GeneralName における IDN English

IDN(Internationalized Domain Name)は、subjectAltName および issuerAltName 拡張、名前制約拡張、authority 情報アクセス拡張、サブジェクト情報アクセス拡張、CRL distribution points 拡張および issuing 配布点拡張中の証明書および CRL に含まれる可能性がある。これらの各拡張は、GeneralName 種別を使う。(GeneralName におけるひとつの選択は、dNSName フィールドであり、これは type IA5String として定義される。)

IA5String は、ASCII characters の集合に限定される。国際化ドメイン名を現在の構造に適応させるために、準拠実装は、国際化されたドメイン名を dNSName フィールド中に保存する前に、RFC 3490 の 4章に規定されているように、ACE(ASCII Compatible Encoding)フォーマットに変換しなければならない(MUST)。具体的には、準拠実装は、RFC 3490 の 4章に下記の明確化と共に規定されている変換操作を行わなければならない(MUST)。:

DNS names を equality について比較するとき、準拠実装は、DNS name 全体について case-insensitive exact match を行わなければならない(MUST)。名前制約を評価するとき、準拠実装は、逐一、case-insensitive exact 突合を行わなければならない(MUST)4.2.1.10 節に注記したように、labels を、制約として与えられた domain name の左手側に加えることによって構築される可能性がある、あらゆる DNS name は、示された subtree 中のものとなると見なされる。

実装は、IDN を表示される前に Unicode に変換する必要がある。具体的には、準拠実装は、下記の明確化事項と共に、RFC 3490 の 4 章に規定された変換処理行う必要がある。:

注: 実装は、IDN のために増加したスペースの要件について、受容しならない(MUST)。IDN ACE label は、4 文字の追加的 characters "xn--" で始まり、1 文字の国際化 character を規定するために、5 文字の ASCII characters と同量を要する可能性がある。

7.3. Distinguished Name における IDN English

ドメイン名は、サブジェクトフィールド、発行者フィールド、subjectAltName 拡張もしくは issuerAltName 拡張中の domain component を使って、DN(distinguished name)としても表現される可能性がある。GeneralName 種別における dNSName についてと同様に、この属性の値は、IA5String として規定される。各 domainComponent 属性は、単一ラベルを表現する。その distinguished name 中の IDN からの label を表現するため、その実装は、RFC 3490 の 4.1 節に規定された "ToASCII" ラベル変換を行わなければならない(MUST)。そのラベルは、"stored string"と見なされるものとする(SHALL)。すなわち、 その AllowUnassigned フラグは、セットされないものとする(SHALL NOT)

準拠実装は、domainComponent 属性を distinguished names において比較するとき、7.2 節に記述されているように、case-insensitive exact match を行うものとする。

実装は、ACE ラベルを表示する前に Unicode に変換する必要がある。具体的には、準拠実装は、7.2 節 に記述されているように、規定されている "ToUnicode" 変換処理を各 ACE label 上でその名前を表示する前に行う必要がある。

7.4. 国際化された Resource 識別子 English

IRI(Internationalized Resource Identifier)は、URI(Uniform Resource Identifier)に対して国際化された complement である。IRI は、Unicode character の sequences であり、一方、URI は、ASCII character set からの characters の sequences である。[RFC3987] は、IRI から URI への mapping を規定する。IRI は、いかなる certificate フィールドもしくは拡張においても、直接的には符号化されていないが、それらの mapped URI は、証明書および CRL に含まれる可能性がある。URI は、その subjectAltName and issuerAltName 拡張、name constraints 拡張、authority 情報アクセス拡張、サブジェクト情報アクセス拡張、issuing distribution point 拡張および CRL distribution points 拡張にある可能性がある。これらの各拡張は、その GeneralName type を使う。; URI は、GeneralName 中の uniformResourceIdentifier フィールドにおいて符号化される。これは、type IA5String として規定される。

現在の構造において、IRI に適合させるために、準拠実装は、[RFC3987] の 3.1節に規定されているように、下記の説明と共に、IRI を URI に対応づけなければならない(MUST)。:

実装は、ireg-name component をステップ 2 を行う前に変換してはならない(MUST NOT)

URI が比較される可能性がある前に、準拠実装は、syntax-based の正規化テクニックと、[RFC3987] に記述されているスキーム-based 正規化テクニックの組み合わせを行わなければならない(MUST)。具体的には、準拠実装は、比較法のために、下記のように URI を用意しなければならない(MUST)。:

準拠実装は、次のスキームについて、スキームに基づく正規化を認識し、行わなければならない(MUST)。: ldap, http, https および ftp。このスキームが認識されない場合、ステップ 5 は、省略される。

URI を同等性について比較するとき、準拠実装は、case-sensitive exact match を行うものとする。

実装は、URI を表示前に Unicode に変換する必要がある。具体的には、準拠実装は、[RFC3987] の 3.2 節に規定されている変換操作を行う必要がある。

7.5. 国際化された電子メールアドレス English

電子メールアドレスは、subjectAltName and issuerAltName 拡張、name constraints 拡張、authority 情報アクセス拡張、サブジェクト情報アクセス拡張、issuing distribution point 拡張もしくは CRL distribution points 拡張中の証明書および CRL に含まれる可能性がある。これらの各拡張は、GeneralName construct を使う。; GeneralName は、rfc822Name choice を含み、 これは、type IA5String として規定される。現在の structure を使う internationalized domain names をもつ電子メールアドレスを適合させるために、準拠実装は、そのアドレスを ASCII representation に変換しなければならない(MUST)

host-part (the Domain of the Mailbox) が internationalized name を含む場合、その DN は、7.2 節 に規定されているように、IDN から ASCII Compatible Encoding (ACE) フォーマットに変換されなければならない(MUST)

ふたつの電子メールアドレスは、下記の場合、一致すると見なされる。

1) 各名前の local-part が一致し、かつ、

2) 各名前の host-part が case-insensitive ASCII 比較法を使って一致する。

実装は、これらの拡張において、規定された国際化された電子メールアドレスの host-part を表示する前に Unicode に変換する必要がある。具体的には、準拠実装は、 7.2 節に記述されているように、その Mailbox の host-part の変換を行う必要がある。


6 <- index -> 8