RFC2312 日本語訳
2312 S/MIME Version 2 Certificate Handling. S. Dusse, P. Hoffman, B.Ramsdell, J. Weinstein. March 1998. (Format: TXT=39829 bytes) (Status: INFORMATIONAL)
プログラムでの自動翻訳です。
RFC一覧
英語原文
Network Working Group S. Dusse Request for Comments: 2312 RSA Data Security Category: Informational P. Hoffman Internet Mail Consortium B. Ramsdell Worldtalk J. Weinstein Netscape March 1998
Dusseがコメントのために要求するワーキンググループS.をネットワークでつないでください: 2312年のRSA Data Securityカテゴリ: 1998年の情報のP.のB.Ramsdell Worldtalk J.ワインスタインNetscapeホフマンインターネットメール共同体行進
S/MIME Version 2 Certificate Handling
S/MIMEバージョン2証明書取り扱い
Status of this Memo
このMemoの状態
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのための情報を提供します。 それはどんな種類のインターネット標準も指定しません。 このメモの分配は無制限です。
Copyright Notice
版権情報
Copyright (C) The Internet Society (1998). All Rights Reserved.
Copyright(C)インターネット協会(1998)。 All rights reserved。
1. Overview
1. 概要
S/MIME (Secure/Multipurpose Internet Mail Extensions), described in [SMIME-MSG], provides a method to send and receive secure MIME messages. In order to validate the keys of a message sent to it, an S/MIME agent needs to certify that the key is valid. This memo describes the mechanisms S/MIME uses to create and validate keys using certificates.
[SMIME-MSG]で説明されたS/MIME(安全な/マルチパーパスインターネットメールエクステンション)は安全なMIMEメッセージを送って、受け取るメソッドを提供します。 それに送られたメッセージのキーを有効にするために、S/MIMEエージェントは、キーが有効であることを公認する必要があります。 このメモはS/MIMEが証明書を使用することでキーを作成して、有効にするのに使用するメカニズムについて説明します。
This specification is compatible with PKCS #7 in that it uses the data types defined by PKCS #7. It also inherits all the varieties of architectures for certificate-based key management supported by PKCS #7. Note that the method S/MIME messages make certificate requests is defined in [SMIME-MSG].
PKCS#7によって定義されたデータ型を使用するので、この仕様はPKCS#7と互換性があります。 また、それはPKCS#7つサポートされた証明書を拠点とするかぎ管理のためのすべての種類のアーキテクチャを引き継ぎます。 メソッドS/MIMEメッセージが証明書要求をするというメモは[SMIME-MSG]で定義されます。
In order to handle S/MIME certificates, an agent has to follow specifications in this memo, as well as some of the specifications listed in the following documents:
S/MIME証明書を扱うために、エージェントはこのメモによる仕様に従わなければなりません、以下のドキュメントにリストアップされた仕様のいくつかと同様に:
- "PKCS #1: RSA Encryption", [PKCS-1]. - "PKCS #7: Cryptographic Message Syntax", [PKCS-7] - "PKCS #10: Certification Request Syntax", [PKCS-10].
- 「PKCS#1:」 「RSA暗号化」、[PKCS-1。] - 「PKCS#7:」 「暗号のメッセージ構文」、[PKCS-7]--、「PKCS#10:」 「証明要求構文」、[PKCS-10。]
Dusse, et. al. Informational [Page 1] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[1ページ]のバージョン2証明書
Please note: The information in this document is historical material being published for the public record. It is not an IETF standard. The use of the word "standard" in this document indicates a standard for adopters of S/MIME version 2, not an IETF standard.
注意してください: 情報は本書では公記録のために発行された歴史的な有形物です。 それはIETF規格ではありません。 「標準」という言葉の使用は本書ではIETF規格ではなく、S/MIMEバージョン2の採用者の規格を示します。
1.1 Definitions
1.1 定義
For the purposes of this memo, the following definitions apply.
このメモの目的のために、以下の定義は申し込まれます。
ASN.1: Abstract Syntax Notation One, as defined in CCITT X.208.
ASN.1: CCITT X.208で定義されるような抽象的なSyntax Notation One。
BER: Basic Encoding Rules for ASN.1, as defined in CCITT X.209.
BER: ASN.1のためのCCITT X.209で定義されるような基本的なEncoding Rules。
Certificate: A type that binds an entity's distinguished name to a public key with a digital signature. This type is defined in CCITT X.509 [X.509]. This type also contains the distinguished name of the certificate issuer (the signer), an issuer-specific serial number, the issuer's signature algorithm identifier, and a validity period.
以下を証明してください。 デジタル署名で実体の分類名を公開鍵に縛るタイプ。 このタイプはCCITT X.509[X.509]で定義されます。 また、このタイプは証明書発行人(署名者)、発行人特有の通し番号、発行人の署名アルゴリズム識別子、および有効期間の分類名を含んでいます。
Certificate Revocation List (CRL): A type that contains information about certificates whose validity an issuer has prematurely revoked. The information consists of an issuer name, the time of issue, the next scheduled time of issue, and a list of certificate serial numbers and their associated revocation times. The CRL is signed by the issuer. The type intended by this specification is the one defined in [KEYM].
取消しリスト(CRL)を証明してください: 早まって、発行人には正当性がある証明書の情報を含むタイプは取り消しました。 情報は発行人名、問題の時間、問題の次の予定されている時間、および証明書通し番号と彼らの関連取消し時代のリストから成ります。 CRLは発行人によって署名されます。 この仕様で意図するタイプは[KEYM]で定義されたものです。
DER: Distinguished Encoding Rules for ASN.1, as defined in CCITT X.509.
DER: ASN.1のためのCCITT X.509で定義されるような顕著なEncoding Rules。
1.2 Compatibility with Prior Practice of S/MIME
1.2 S/MIMEの先の習慣との互換性
Appendix C contains important information about how S/MIME agents following this specification should act in order to have the greatest interoperability with earlier implementations of S/MIME.
付録Cはこの仕様に従うS/MIMEエージェントがS/MIMEの以前の実装がある最もすばらしい相互運用性を持つためにどう行動するべきであるかに関する重要情報を含んでいます。
1.3 Terminology
1.3 用語
Throughout this memo, the terms MUST, MUST NOT, SHOULD, and SHOULD NOT are used in capital letters. This conforms to the definitions in [MUSTSHOULD]. [MUSTSHOULD] defines the use of these key words to help make the intent of standards track documents as clear as possible. The same key words are used in this document to help implementors achieve interoperability.
このメモ中では、用語が使用しなければならない、大文字でNOT、SHOULD、およびSHOULD NOTを使用しなければなりません。 これは[MUSTSHOULD]との定義に従います。 [MUSTSHOULD]は、標準化過程ドキュメントの意図をできるだけ明確にするのを助けるためにこれらのキーワードの使用を定義します。 同じキーワードは、作成者が相互運用性を達成するのを助けるのに本書では使用されます。
Dusse, et. al. Informational [Page 2] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[2ページ]のバージョン2証明書
2. PKCS #7 Options
2. PKCS#7つのオプション
The PKCS #7 message format allows for a wide variety of options in content and algorithm support. This section puts forth a number of support requirements and recommendations in order to achieve a base level of interoperability among all S/MIME implementations. Most of the PKCS #7 format for S/MIME messages is defined in [SMIME-MSG].
PKCS#7メッセージ・フォーマットは内容とアルゴリズムサポートにおけるさまざまなオプションを考慮します。 このセクションは、すべてのS/MIME実装の中で基準面の相互運用性を達成するために多くのサポート要件と推薦を差し出します。 S/MIMEメッセージのためのPKCS#7書式の大部分は[SMIME-MSG]で定義されます。
2.1 CertificateRevocationLists
2.1 CertificateRevocationLists
Receiving agents MUST support for the Certificate Revocation List (CRL) format defined in [KEYM]. If sending agents include CRLs in outgoing messages, the CRL format defined in [KEYM] MUST be used.
エージェントを受けるのは、Certificate Revocation Listのために(CRL)が[KEYM]で定義された書式であるとサポートしなければなりません。 送付エージェントが送信されるメッセージでCRLsを入れるなら、[KEYM]で定義されたCRL書式を使用しなければなりません。
All agents MUST validate CRLs and check certificates against CRLs, if available, in accordance with [KEYM]. All agents SHOULD check the nextUpdate field in the CRL against the current time. If the current time is later than the nextUpdate time, the action that the agent takes is a local decision. For instance, it could warn a human user, it could retrieve a new CRL if able, and so on.
[KEYM]に従って利用可能であるなら、すべてのエージェントが、CRLsを有効にして、CRLsに対して証明書をチェックしなければなりません。 すべてのエージェントSHOULDが現在の時間に対してCRLのnextUpdate分野をチェックします。 時間nextUpdate時間より現在の後半であるなら、エージェントが取る行動はローカルの決定です。 例えば、人間のユーザに警告するかもしれなくて、できて、とてもオンであるなら、新しいCRLを検索するかもしれません。
Receiving agents MUST recognize CRLs in received S/MIME messages.
エージェントを受けると、CRLsは容認されたS/MIMEメッセージで認識されなければなりません。
Clients MUST use revocation information included as a CRL in an S/MIME message when verifying the signature and certificate path validity in that message. Clients SHOULD store CRLs received in messages for use in processing later messages.
そのメッセージにおける署名と証明書経路の正当性について確かめるとき、CRLとしてS/MIMEメッセージに情報を含んでいる場合、クライアントは取消しを使用しなければなりません。 クライアントSHOULDは、後のメッセージを処理しながら、使用へのメッセージに受け取られたCRLsを蓄えます。
Clients MUST handle multiple valid Certificate Authority (CA) certificates containing the same subject name and the same public keys but with overlapping validity intervals.
クライアントは公開鍵にもかかわらず、正当性間隔を重ね合わせるのに同じ対象の名前と同じくらい含む複数の有効なCertificate Authority(カリフォルニア)証明書を扱わなければなりません。
2.2 ExtendedCertificateOrCertificate
2.2 ExtendedCertificateOrCertificate
Receiving agents MUST support X.509 v1 and X.509 v3 certificates. See [KEYM] for details about the profile for certificate formats. End entity certificates MUST include an Internet mail address, as described in section 3.1.
エージェントを受けるのは、X.509 v1とX.509 v3が証明書であるとサポートしなければなりません。 証明書形式のためのプロフィールに関する詳細に関して[KEYM]を見てください。 終わりの実体証明書はセクション3.1で説明されるようにインターネット郵便の宛先を含まなければなりません。
2.2.1 Historical Note About PKCS #7 Certificates
2.2.1 PKCS#7通の証明書に関する歴史的な注
The PKCS #7 message format supports a choice of certificate two formats for public key content types: X.509 and PKCS #6 Extended Certificates. The PKCS #6 format is not in widespread use. In addition, proposed revisions of X.509 certificates address much of the same functionality and flexibility as was intended in the PKCS #6. Thus, sending and receiving agents MUST NOT use PKCS #6 extended certificates.
7メッセージ・フォーマットが証明書twoの選択をサポートするPKCS#は公開鍵content typeのために以下をフォーマットします。 X.509とPKCS#6、は証明書を広げました。 PKCS#6形式は普及使用中ではありません。 さらに、X.509証明書の修正案はPKCS#6で意図したように同じ機能性と柔軟性の多くを扱います。 したがって、送受信エージェントはPKCS#6通の拡張証明書を使用してはいけません。
Dusse, et. al. Informational [Page 3] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[3ページ]のバージョン2証明書
2.3 ExtendedCertificateAndCertificates
2.3 ExtendedCertificateAndCertificates
Receiving agents MUST be able to handle an arbitrary number of certificates of arbitrary relationship to the message sender and to each other in arbitrary order. In many cases, the certificates included in a signed message may represent a chain of certification from the sender to a particular root. There may be, however, situations where the certificates in a signed message may be unrelated and included for convenience.
エージェントを受けると、順序不同にメッセージ送付者と互いとの任意の関係の証明書の特殊活字の数字を扱うことができなければなりません。 多くの場合、署名しているメッセージに証明書を含んでいると、送付者から特定の根までの証明のチェーンは代表されるかもしれません。 しかしながら、そこでは、署名しているメッセージの証明書が関係なく、便宜のために含まれるかもしれない状況であるかもしれません。
Sending agents SHOULD include any certificates for the user's public key(s) and associated issuer certificates. This increases the likelihood that the intended recipient can establish trust in the originator's public key(s). This is especially important when sending a message to recipients that may not have access to the sender's public key through any other means or when sending a signed message to a new recipient. The inclusion of certificates in outgoing messages can be omitted if S/MIME objects are sent within a group of correspondents that has established access to each other's certificates by some other means such as a shared directory or manual certificate distribution. Receiving S/MIME agents SHOULD be able to handle messages without certificates using a database or directory lookup scheme.
送付エージェントSHOULDはユーザの公開鍵と関連発行人証明書のためのどんな証明書も含んでいます。 これは意図している受取人が創始者の公開鍵に信頼を確立できる可能性を広げます。 署名しているメッセージを新しい受取人に送りながらいかなる他の手段かいつまでも送付者の公開鍵に近づく手段を持っていないかもしれない受取人にメッセージを送るとき、これは特に重要です。 共有ディレクトリか手動の証明書分配などのある他の手段で互いの証明書へのアクセスを確立した通信員のグループの中でS/MIMEオブジェクトを送るなら、送信されるメッセージでの証明書の包含を省略できます。 S/MIMEエージェントSHOULDを受けて、証明書なしでデータベースかディレクトリルックアップ体系を使用することでメッセージを扱うことができてください。
A sending agent SHOULD include at least one chain of certificates up to, but not including, a Certificate Authority (CA) that it believes that the recipient may trust as authoritative. A receiving agent SHOULD be able to handle an arbitrarily large number of certificates and chains.
包含、それが信じているCertificate Authority(カリフォルニア)ではなく、受取人が正式であるとして信じるかもしれないSHOULDが証明書の少なくとも1つのチェーンを含む送付エージェント。 エージェントSHOULDを受けて、証明書と任意に多くのチェーンを扱うことができてください。
Clients MAY send CA certificates, that is, certificates that are self-signed and can be considered the "root" of other chains. Note that receiving agents SHOULD NOT simply trust any self-signed certificates as valid CAs, but SHOULD use some other mechanism to determine if this is a CA that should be trusted.
クライアントを、カリフォルニア証明書、すなわち、自己に署名される証明書を送るかもしれなくて、他のチェーンの「根」であると考えることができます。 受信エージェントSHOULD NOTが有効なCAsとして単にどんな自己署名入りの証書も信じますが、SHOULDがこれが信じられるべきであるカリフォルニアであるかどうか決定するのにある他のメカニズムを使用することに注意してください。
Receiving agents MUST support chaining based on the distinguished name fields. Other methods of building certificate chains may be supported but are not currently recommended.
エージェントを受けると、分類名分野に基づく推論はサポートされなければなりません。 証明書チェーンを組立てる他のメソッドは、サポートされるかもしれませんが、現在、推薦されません。
Dusse, et. al. Informational [Page 4] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[4ページ]のバージョン2証明書
3. Distinguished Names in Certificates
3. 証明書の分類名
3.1 Using Distinguished Names for Internet Mail
3.1 インターネットへの分類名が郵送する使用
The format of an X.509 certificate includes fields for the subject name and issuer name. The subject name identifies the owner of a particular public key/private key pair while the issuer name is meant to identify the entity that "certified" the subject (that is, who signed the subject's certificate). The subject name and issuer name are defined by X.509 as Distinguished Names.
X.509証明書の形式は対象の名前と発行人名のための分野を含んでいます。 発行人名は対象を「公認した」実体を特定することになっていますが(すなわち、だれが対象の証明書に署名しましたか)、対象の名前は1特定の公開鍵/秘密鍵組の所有者を特定します。 対象の名前と発行人名はX.509によってDistinguished Namesと定義されます。
Distinguished Names are defined by a CCITT standard X.501 [X.501]. A Distinguished Name is broken into one or more Relative Distinguished Names. Each Relative Distinguished Name is comprised of one or more Attribute-Value Assertions. Each Attribute-Value Assertion consists of a Attribute Identifier and its corresponding value information, such as CountryName=US. Distinguished Names were intended to identify entities in the X.500 directory tree [X.500]. Each Relative Distinguished Name can be thought of as a node in the tree which is described by some collection of Attribute-Value Assertions. The entire Distinguished Name is some collection of nodes in the tree that traverse a path from the root of the tree to some end node which represents a particular entity.
顕著なNamesはCCITTの標準のX.501[X.501]によって定義されます。 1Relative Distinguished NamesがDistinguished Nameに細かく分けられます。 各Relative Distinguished Nameは1Attribute-値のAssertionsから成ります。 それぞれのAttribute-値のAssertionはAttribute Identifierから成ります、そして、CountryNameなどの換算値情報は米国と等しいです。 顕著なNamesがX.500ディレクトリツリー[X.500]で実体を特定することを意図しました。 ノードとしてAttribute-値のAssertionsの何らかの収集で説明される木で各Relative Distinguished Nameを考えることができます。 全体のDistinguished Nameは木の木の根から特定の実体を表す何らかのエンドノードまで経路を横断するノードの何らかの収集です。
The goal of the directory was to provide an infrastructure to uniquely name every communications entity everywhere. However, adoption of a global X.500 directory infrastructure has been slower than expected. Consequently, there is no requirement for X.500 directory service provision in the S/MIME environment, although such provision would almost undoubtedly be of great value in facilitating key management for S/MIME.
ディレクトリの目標はいたる所で唯一あらゆるコミュニケーション実体を命名するためにインフラストラクチャを提供することでした。 しかしながら、グローバルなX.500ディレクトリインフラストラクチャの採用は予想より遅いです。 その結果、S/MIME環境へのX.500ディレクトリサービス支給のための要件が全くありません、S/MIMEのためのかぎ管理を容易にするのにおいてかなりの価値がほとんど確かにそのような支給にはあるでしょうが。
The use of Distinguished Names in accordance with the X.500 directory is not very widespread. By contrast, Internet mail addresses, as described in RFC 822 [RFC-822], are used almost exclusively in the Internet environment to identify originators and recipients of messages. However, Internet mail addresses bear no resemblance to X.500 Distinguished Names (except, perhaps, that they are both hierarchical in nature). Some method is needed to map Internet mail addresses to entities that hold public keys. Some people have
X.500ディレクトリに従ったDistinguished Namesの使用はそれほど広範囲ではありません。 対照的に、RFC822[RFC-822]で説明されるインターネット・メールアドレスは、メッセージの創始者と受取人を特定するのに専らインターネット環境で使用されます。 しかしながら、インターネット郵便の宛先がX.500 Distinguished Namesとの類似を全く持っていない、(恐らく除いてください、彼らはともに現実に階層的です) 何らかのメソッドが、公開鍵を保持する実体にインターネット郵便の宛先を写像するのに必要です。 そうした人々もいました。
Dusse, et. al. Informational [Page 5] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[5ページ]のバージョン2証明書
suggested that the X.509 certificate format should be abandoned in favor of other binding mechanisms. Instead, S/MIME keeps the X.509 certificate and Distinguished Name mechanisms while tailoring the content of the naming information to suit the Internet mail environment.
示されて、X.509が書式を証明するのは他の結合機構を支持して捨てられるべきです。代わりに、S/MIMEは、インターネット・メール環境に合うように命名情報の内容を合わせている間、X.509証明書とDistinguished Nameがメカニズムであることを保ちます。
End-entity certificates MUST contain an Internet mail address as described in [RFC-822]. The address must be an "addr-spec" as defined in Section 6.1 of that specification.
終わり実体証明書は[RFC-822]で説明されるようにインターネット郵便の宛先を含まなければなりません。 アドレスはその仕様のセクション6.1で定義されるように「addr-仕様」であるに違いありません。
Receiving agents MUST recognize email addresses in the subjectAltName field. Receiving agents MUST recognize email addresses in the Distinguished Name field.
エージェントを受けると、EメールアドレスはsubjectAltName分野で認識されなければなりません。 エージェントを受けると、EメールアドレスはDistinguished Name分野で認識されなければなりません。
Sending agents SHOULD make the address in the From header in a mail message match an Internet mail address in the signer's certificate. Receiving agents MUST check that the address in the From header of a mail message matches an Internet mail address in the signer's certificate. A receiving agent MUST provide some explicit alternate processing of the message if this comparison fails, which may be to reject the message.
送付エージェントSHOULDはメール・メッセージのFromヘッダーのアドレスに署名者の証明書のインターネット郵便の宛先を合わせます。 エージェントを受けるのは、メール・メッセージのFromヘッダーのアドレスが署名者の証明書のインターネット郵便の宛先に合っているのをチェックしなければなりません。 メッセージを拒絶することであるかもしれないこの比較が失敗するなら、受信エージェントはメッセージの何らかの明白な代替の処理を提供しなければなりません。
3.2 Required Name Attributes
3.2 必要な名前属性
Receiving agents MUST support parsing of zero, one, or more instances of each of the following set of name attributes within the Distinguished Names in certificates.
エージェントを受けると、ゼロ(証明書のDistinguished Namesの中のそれぞれの以下のセットの名前属性の1つ以上のインスタンス)の構文解析はサポートしなければなりません。
Sending agents MUST include the Internet mail address during Distinguished Name creation. Guidelines for the inclusion, omission, and ordering of the remaining name attributes during the creation of a distinguished name will most likely be dictated by the policies associated with the certification service which will certify the corresponding name and public key.
送付エージェントはDistinguished Name作成の間、インターネット郵便の宛先を入れなければなりません。 包含と、省略と、分類名の作成の間、属性という残っている名前を注文するためのガイドラインはたぶん対応する名前と公開鍵を公認する証明サービスに関連している方針で書き取られるでしょう。
CountryName StateOrProvinceName Locality CommonName Title Organization OrganizationalUnit StreetAddress PostalCode PhoneNumber EmailAddress
CountryName StateOrProvinceName場所CommonNameタイトル組織OrganizationalUnit StreetAddress PostalCode PhoneNumber EmailAddress
Dusse, et. al. Informational [Page 6] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[6ページ]のバージョン2証明書
All attributes other than EmailAddress are described in X.520 [X.520]. EmailAddress is an IA5String that can have multiple attribute values.
EmailAddress以外のすべての属性がX.520[X.520]で説明されます。 EmailAddressは複数の属性値を持つことができるIA5Stringです。
4. Certificate Processing
4. 証明書処理
A receiving agent needs to provide some certificate retrieval mechanism in order to gain access to certificates for recipients of digital envelopes. There are many ways to implement certificate retrieval mechanisms. X.500 directory service is an excellent example of a certificate retrieval-only mechanism that is compatible with classic X.500 Distinguished Names. The PKIX Working Group is investigating other mechanisms. Another method under consideration by the IETF is to provide certificate retrieval services as part of the existing Domain Name System (DNS). Until such mechanisms are widely used, their utility may be limited by the small number of correspondent's certificates that can be retrieved. At a minimum, for initial S/MIME deployment, a user agent could automatically generate a message to an intended recipient requesting that recipient's certificate in a signed return message.
受信エージェントは、デジタル封筒の受取人への証明書へのアクセスを得るために何らかの証明書回収機構を提供する必要があります。 証明書検索がメカニズムであると実装する多くの方法があります。X.500ディレクトリサービスは古典的なX.500 Distinguished Namesと互換性がある証明書検索だけメカニズムに関する好例です。 PKIX作業部会は他のメカニズムを調査しています。IETFによる考慮での別のメソッドは既存のドメインネームシステム(DNS)の一部として証明書検索サービスを提供することです。 そのようなメカニズムが広く使用されるまで、それらのユーティリティは検索できる通信員の証明書の少ない数によって制限されるかもしれません。 最小限では、初期のS/MIME展開のために、ユーザエージェントは自動的に署名しているリターンメッセージのその受取人の証明書を要求する意図している受取人にメッセージを生成することができました。
Receiving and sending agents SHOULD also provide a mechanism to allow a user to "store and protect" certificates for correspondents in such a way so as to guarantee their later retrieval. In many environments, it may be desirable to link the certificate retrieval/storage mechanisms together in some sort of certificate database. In its simplest form, a certificate database would be local to a particular user and would function in a similar way as a "address book" that stores a user's frequent correspondents. In this way, the certificate retrieval mechanism would be limited to the certificates that a user has stored (presumably from incoming messages). A comprehensive certificate retrieval/storage solution may combine two or more mechanisms to allow the greatest flexibility and utility to the user. For instance, a secure Internet mail agent may resort to checking a centralized certificate retrieval mechanism for a certificate if it can not be found in a user's local certificate storage/retrieval database.
また、エージェントSHOULDを受けて、送ると、メカニズムは、彼らの後の検索を保証するためにユーザが通信員のためにそのような方法で証明書を「保存して、保護すること」を許容するために提供されます。 多くの環境で、ある種の証明書データベースで証明書検索/ストレージメカニズムを結びつけるのは望ましいかもしれません。 最も簡単なフォームでは、証明書データベースは、特定のユーザにとって地方であるだろう、ユーザの頻繁な通信員を保存する「アドレス帳」として同様の方法で機能するでしょう。 このように、証明書回収機構はユーザが保存した(おそらく入力メッセージから)証明書に制限されるでしょう。 包括的な証明書検索/ストレージソリューションは、最も優れた柔軟性とユーティリティをユーザに許容するために2つ以上のメカニズムを結合するかもしれません。 例えば、安全なインターネット・メールエージェントはユーザの地方の証明書ストレージ/検索データベースでそれを見つけることができないなら証明書がないかどうか集結された証明書回収機構をチェックするのに再ソートするかもしれません。
Receiving and sending agents SHOULD provide a mechanism for the import and export of certificates, using a PKCS #7 certs-only message. This allows for import and export of full certificate chains as opposed to just a single certificate. This is described in [SMIME-MSG].
エージェントSHOULDを受けて、送ると、メカニズムは証明書の輸出入に提供されます、PKCS#7本命だけメッセージを使用して。 これはまさしくただ一つの証明書と対照的に完全な証明書チェーンの輸出入を考慮します。 これは[SMIME-MSG]で説明されます。
Dusse, et. al. Informational [Page 7] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[7ページ]のバージョン2証明書
4.1 Certificate Revocation Lists
4.1 証明書取消しリスト
A receiving agent SHOULD have access to some certificate-revocation list (CRL) retrieval mechanism in order to gain access to certificate-revocation information when validating certificate chains. A receiving or sending agent SHOULD also provide a mechanism to allow a user to store incoming certificate-revocation information for correspondents in such a way so as to guarantee its later retrieval. However, it is always better to get the latest information from the CA than to get information stored away from incoming messages.
証明書を有効にするとき、SHOULDが証明書取消し情報へのアクセスを得るために何らかの証明書失効リスト(CRL)に回収機構をアクセスさせる受信エージェントは鎖を作ります。 またSHOULDが後の検索を保証するためにユーザが通信員のためにそのような方法で入って来る証明書取消し情報を保存するのを許容するためにメカニズムを提供する受信か送付エージェント。 しかしながら、カリフォルニアから最新情報を得るのは入力メッセージから情報を蓄えさせるよりいつも良いです。
Receiving and sending agents SHOULD retrieve and utilize CRL information every time a certificate is verified as part of a certificate chain validation even if the certificate was already verified in the past. However, in many instances (such as off-line verification) access to the latest CRL information may be difficult or impossible. The use of CRL information, therefore, may be dictated by the value of the information that is protected. The value of the CRL information in a particular context is beyond the scope of this memo but may be governed by the policies associated with particular certificate hierarchies.
証明書が過去に既に確かめられたとしても証明書が証明書チェーン合法化の一部が確かめられるときはいつも、エージェントSHOULDを受けて、送るのは、CRL情報を検索して、利用します。 しかしながら、多くのインスタンス(オフライン検証などの)では、最新のCRL情報へのアクセスは、難しいか、または不可能であるかもしれません。 したがって、CRL情報の使用は保護される情報の価値によって書き取られるかもしれません。 特定の文脈のCRL情報の値は、このメモの範囲を超えていますが、特定の証明書階層構造に関連している方針で決定されるかもしれません。
4.2 Certificate Chain Validation
4.2 証明書チェーン合法化
In creating a user agent for secure messaging, certificate, CRL, and certificate chain validation SHOULD be highly automated while still acting in the best interests of the user. Certificate, CRL, and chain validation MUST be performed when validating a correspondent's public key. This is necessary when a) verifying a signature from a correspondent and, b) creating a digital envelope with the correspondent as the intended recipient.
安全なメッセージング、証明書、CRL、および証明書チェーン合法化SHOULDのためにユーザエージェントを創造する際に、ユーザの利益のためでまだ行動している間、非常に自動化されてください。 通信員の公開鍵を有効にするとき、証明書、CRL、およびチェーン合法化を実行しなければなりません。 そして、a)であるときに、これが通信員から署名について確かめながら必要である、b) 通信員と共に意図している受取人としてデジタル封筒を作成します。
Certificates and CRLs are made available to the chain validation procedure in two ways: a) incoming messages, and b) certificate and CRL retrieval mechanisms. Certificates and CRLs in incoming messages are not required to be in any particular order nor are they required to be in any way related to the sender or recipient of the message (although in most cases they will be related to the sender). Incoming certificates and CRLs SHOULD be cached for use in chain validation and optionally stored for later use. This temporary certificate and CRL cache SHOULD be used to augment any other certificate and CRL retrieval mechanisms for chain validation on incoming signed messages.
証明書とCRLsを2つの方法でチェーン合法化手順に利用可能にします: a) 入力メッセージ、b)証明書、およびCRL回収機構入力メッセージの証明書とCRLsがどんな特定のオーダーにもいる必要はなくて、それらによって何らかの方法でメッセージの送付者か受取人と関係がある必要はありません(多くの場合送付者と関係があるでしょうが)。 チェーン合法化における使用のためにキャッシュされて、後の使用のために任意に保存された入って来る証明書とCRLs SHOULD。 この臨時免許状とCRLはメッセージであると署名される入来のときにチェーンのためのいかなる他の証明書も増大させるのにおいて中古、そして、CRL回収機構が合法化であったならSHOULDをキャッシュします。
Dusse, et. al. Informational [Page 8] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[8ページ]のバージョン2証明書
4.3 Certificate and CRL Signing Algorithms
4.3証明書とCRL署名アルゴリズム
Certificates and Certificate-Revocation Lists (CRLs) are signed by the certificate issuer. A receiving agent MUST be capable of verifying the signatures on certificates andCRLs made with md5WithRSAEncryption and sha-1WithRSAEncryption signature algorithms with key sizes from 512 bits to 2048 bits described in [SMIME-MSG]. A receiving agent SHOULD be capable of verifying the signatures on certificates and CRLs made with the md2WithRSAEncryption signature algorithm with key sizes from 512 bits to 2048 bits.
証明書とCertificate-取消しLists(CRLs)は証明書発行人によって署名されます。 受信エージェントはmd5WithRSAEncryptionと共に作られた証明書andCRLsとsha-1WithRSAEncryption署名アルゴリズムで主要なサイズで512ビットから[SMIME-MSG]で説明された2048ビットまで署名について確かめることができなければなりません。 エージェントSHOULDを受けて、主要なサイズでmd2WithRSAEncryption署名アルゴリズムで512ビットから2048ビットまで作られた証明書とCRLsで署名について確かめることができてください。
4.4 X.509 Version 3 Certificate Extensions
4.4 X.509バージョン3証明書拡張子
The X.509 v3 standard describes an extensible framework in which the basic certificate information can be extended and how such extensions can be used to control the process of issuing and validating certificates. The PKIX Working Group has ongoing efforts to identify and create extensions which have value in particular certification environments. As such, there is still a fair amount of profiling work to be done before there is widespread agreement on which v3 extensions will be used. Further, there are active efforts underway to issue X.509 v3 certificates for business purposes. This memo identifies the minumum required set of certificate extensions which have the greatest value in the S/MIME environment. The basicConstraints, and keyUsage extensions are defined in [X.509].
X.509 v3規格は基本の証明書情報を広げることができる広げることができるフレームワークと証明書を発行して、有効にするプロセスを制御するのにどうそのような拡張子を使用できるかを説明します。 PKIX作業部会には、特定の証明環境における値を持っている拡大を特定して、作成する進行中の取り組みがあります。 そういうものとして、v3拡張子が使用される広範囲の協定がある前にやるべき仕事の公正な量輪郭を描くのがまだあります。 さらに、ビジネス目的のための証明書をX.509 v3に発行するためには進行中のアクティブな取り組みがあります。 このメモはS/MIME環境における最大値を持っているminumumの必要な証明書拡張子を特定します。 拡大が定義されるbasicConstraints、およびkeyUsage[X.509]。
Sending and receiving agents MUST correctly handle the v3 Basic Constraints Certificate Extension, the Key Usage Certificate Extension, authorityKeyID, subjectKeyID, and the subjectAltNames when they appear in end-user certificates. Some mechanism SHOULD exist to handle the defined v3 certificate extensions when they appear in intermediate or CA certificates.
彼らがエンドユーザ証明書に現れるとき、送受信エージェントは正しくv3 Basic Constraints Certificate Extension、Key Usage Certificate Extension、authorityKeyID、subjectKeyID、およびsubjectAltNamesを扱わなければなりません。 何らかのメカニズムSHOULDは、中間介在物かカリフォルニア証明書に現れるとき、定義されたv3証明書拡張子を扱うために存在しています。
Certificates issued for the S/MIME environment SHOULD NOT contain any critical extensions other than those listed here. These extensions SHOULD be marked as non-critical unless the proper handling of the extension is deemed critical to the correct interpretation of the associated certificate. Other extensions may be included, but those extensions SHOULD NOT be marked as critical.
S/MIME環境SHOULD NOTのために発行された証明書はここに記載されたもの以外のどんな重要な拡大も含んでいます。 これらの拡大SHOULD、非臨界であるとして、拡大の適切な取り扱いが関連証明書の正しい解釈に重要であることは考えられない場合、マークされてください。 他の拡大は含まれるかもしれなくて、唯一のそれらは拡大SHOULD NOTです。重要であるとして、マークされてください。
4.4.1 Basic Constraints Certificate Extension
4.4.1 基本的な規制は拡大を証明します。
The basic constraints extension serves to delimit the role and position of an issuing authority or end-user certificate plays in a chain of certificates.
基本的な規制拡大は、証明書のチェーンで発行機関かエンドユーザ証明書劇の役割と位置を区切るのに役立ちます。
Dusse, et. al. Informational [Page 9] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[9ページ]のバージョン2証明書
For example, certificates issued to CAs and subordinate CAs contain a basic constraint extension that identifies them as issuing authority certificates. End-user subscriber certificates contain an extension that constrains the certificate from being an issuing authority certificate.
例えば、CAsと下位のCAsに発行された証明書は彼らが発行機関証明書であると認識する基本的な規制拡大を含んでいます。 エンドユーザ加入者証明書は発行機関証明書であるのからの証明書を抑制する拡大を含んでいます。
Certificates SHOULD contain a basicContstraints extension.
証明書SHOULDはbasicContstraints拡張子を含んでいます。
4.4.2 Key Usage Certificate Extension
4.4.2 主要な用法証明書拡張子
The key usage extension serves to limit the technical purposes for which a public key listed in a valid certificate may be used. Issuing authority certificates may contain a key usage extension that restricts the key to signing certificates, certificate revocation lists and other data.
主要な用法拡大は、有効な証明書に記載された公開鍵が使用されるかもしれない技術的な目的を制限するのに役立ちます。 発行機関証明書は署名証明書、証明書失効リスト、および他のデータのキーを制限する主要な用法拡張子を含むかもしれません。
For example, a certification authority may create subordinate issuer certificates which contain a keyUsage extension which specifies that the corresponding public key can be used to sign end user certs and sign CRLs.
例えば、証明権威はエンドユーザ本命に署名して、CRLsに署名するのに対応する公開鍵を使用できると指定するkeyUsage拡張子を含む下位の発行人証明書を作成するかもしれません。
5. Generating Keys and Certification Requests
5. キーと証明要求を生成します。
5.1 Binding Names and Keys
5.1 拘束力がある名前とキー
An S/MIME agent or some related administrative utility or function MUST be capable of generating a certification request given a user's public key and associated name information. In most cases, the user's public key/private key pair will be generated simultaneously. However, there are cases where the keying information may be generated by an external process (such as when a key pair is generated on a cryptographic token or by a "key recovery" service).
ユーザの公開鍵と関連名前情報を考えて、何らかのS/MIMEエージェント、関連する管理ユーティリティまたは機能が証明要求を生成することができなければなりません。 多くの場合、ユーザの公開鍵/秘密鍵組は同時に、生成されるでしょう。 しかしながら、ケースが外部過程(主要な組が暗号のトークンか「キーリカバリー」サービスで生成される時などの)で合わせる情報が生成されるかもしれないところにあります。
There SHOULD NOT be multiple valid (that is, non-expired and non- revoked) certificates for the same key pair bound to different Distinguished Names. Otherwise, a security flaw exists where an attacker can substitute one valid certificate for another in such a way that can not be detected by a message recipient. If a users wishes to change their name (or create an alternate name), the user agent SHOULD generate a new key pair. If the user wishes to reuse an existing key pair with a new or alternate name, the user SHOULD first have any valid certificates for the existing public key revoked.
倍数有効であってください。そこ、SHOULD NOT、(それがそう、非、満期で非取り消される、)、同じ主要な組証明書は異なったDistinguished Namesにバウンドしています。 さもなければ、セキュリティー・フローは攻撃者がメッセージ受取人が検出できないそのような方法で1つの有効な証明書を別のものの代わりに用いることができるところに存在しています。 改名するという(別名称を作成してください)ユーザ願望であるなら、ユーザエージェントSHOULDは新しい主要な組を生成します。 ユーザが新しいか別名称で既存の主要な組を再利用したいなら、ユーザSHOULDは最初に、既存の公開鍵のためのどんな有効な証明書も取り消させます。
In general, it is possible for a user to request certification for the same name and different public key from the same or different certification authorities. This is acceptable both for end-entity and issuer certificates and can be useful in supporting a change of issuer keys in a smooth fashion.
一般に、ユーザが同じであるか異なった証明当局から同じ名前と異なった公開鍵のための証明を要求するのは、可能です。 これは、終わり実体と発行人証明書において許容できて、滑らかなファッションにおける、発行人キーの変化をサポートする際に役に立つ場合があります。
Dusse, et. al. Informational [Page 10] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[10ページ]のバージョン2証明書
CAs that re-use their own name with distinct keys MUST include the AuthorityKeyIdentifier extension in certificates that they issue, and MUST have the SubjectKeyIdentifier extension in their own certificate. CAs SHOULD use these extensions uniformly.
異なったキーのそれら自身の名前を再使用するCAsはそれらが発行する証明書にAuthorityKeyIdentifier拡張子を含まなければならなくて、それら自身の証明書にSubjectKeyIdentifier拡張子を持たなければなりません。 CAs SHOULDは一様にこれらの拡張子を使用します。
Clients SHOULD handle multiple valid CA certificates that certify different public keys but contain the same subject name (in this case, that CA's name).
クライアントSHOULDは異なった公開鍵を公認しますが、同じ対象の名前を含む複数の有効なカリフォルニア証明書(この場合そのCAの名前)を扱います。
When selecting an appropriate issuer's certificate to use to verify a given certificate, clients SHOULD process the AuthorityKeyIdentifier and SubjectKeyIdentifier extensions.
与えられた証明書について確かめるために使用への適切な発行人の証明書を選択するとき、クライアントSHOULDはAuthorityKeyIdentifierとSubjectKeyIdentifier拡張子を処理します。
5.2 Using PKCS #10 for Certification Requests
5.2 証明要求のための使用PKCS#10
PKCS #10 is a flexible and extensible message format for representing the results of cryptographic operations on some data. The choice of naming information is largely dictated by the policies and procedures associated with the intended certification service.
PKCS#10は、いくつかのデータに暗号の操作の結果を表すためのフレキシブルで広げることができるメッセージ・フォーマットです。 情報を命名することの選択は意図している証明サービスに関連している方針と手順で主に書き取られます。
In addition to key and naming information, the PKCS #10 format supports the inclusion of optional attributes, signed by the entity requesting certification. This allows for information to be conveyed in a certification request which may be useful to the request process, but not necessarily part of the Distinguished Name being certified.
キーと情報を命名することに加えて、PKCS#10形式は証明を要求する実体によって署名される任意の属性の包含をサポートします。 公認されていて、これは、情報が必ずDistinguished Nameの一部ではなく、要求プロセスの役に立つかもしれない証明要求で伝えられるのを許容します。
Receiving agents MUST support the identification of an RSA key with the rsa defined in X.509 and the rsaEncryption OID. Certification authorities MUST support sha-1WithRSAEncryption and md5WithRSAEncryption and SHOULD support MD2WithRSAEncryption for verification of signatures on certificate requests as described in [SMIME-MSG].
エージェントを受けると、主要なX.509とrsaEncryption OIDで定義されているrsaでRSAの識別はサポートしなければなりません。 証明当局は証明書要求の署名の検証のために[SMIME-MSG]で説明されるようにsha-1WithRSAEncryption、md5WithRSAEncryption、およびSHOULDサポートMD2WithRSAEncryptionをサポートしなければなりません。
For the creation and submission of certification-requests, RSA keys SHOULD be identified with the rsaEncryption OID and signed with the sha-1WithRSAEncryption signature algorithm. Certification-requests MUST NOT be signed with the md2WithRSAEncryption signature algorithm.
証明要求の作成と提案のために、RSAキーSHOULDはrsaEncryption OIDと同一視されて、sha-1WithRSAEncryption署名アルゴリズムと契約しました。 md2WithRSAEncryption署名アルゴリズムを証明要求と契約してはいけません。
Certification requests MUST include a valid Internet mail address, either as part of the certificate (as described in 3.2) or as part of the PKCS #10 attribute list. Certification authorities MUST check that the address in the "From:" header matches either of these addresses. CAs SHOULD allow the CA operator to configure processing of messages whose addresses do not match.
証明要求は証明書(3.2で説明されるように)の一部として、または、PKCS#10属性リストの一部として有効なインターネット郵便の宛先を含まなければなりません。 証明当局がそれをチェックしなければならない、「From:」のアドレス ヘッダーはこれらのアドレスのどちらかに合っています。 CAs SHOULDはカリフォルニアのオペレータにアドレスが合っていないメッセージの処理を構成させます。
Dusse, et. al. Informational [Page 11] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[11ページ]のバージョン2証明書
Certification authorities SHOULD support parsing of zero or one instance of each of the following set of certification-request attributes on incoming messages. Attributes that a particular implementation does not support may generate a warning message to the requestor, or may be silently ignored. Inclusion of the following attributes during the creation and submission of a certification- request will most likely be dictated by the policies associated with the certification service which will certify the corresponding name and public key.
証明SHOULD当局はゼロの構文解析か入力メッセージのそれぞれの以下のセットの証明要求属性の1つのインスタンスをサポートします。 特定の実装がサポートしない属性は、要請者に警告メッセージを生成するか、または静かに無視されるかもしれません。 作成の間の以下の属性の包含と証明要求の提案はたぶん対応する名前と公開鍵を公認する証明サービスに関連している方針で書き取られるでしょう。
postalAddress challengePassword unstructuredAddress
postalAddress challengePassword unstructuredAddress
postalAddress is described in [X.520].
postalAddressは[X.520]で説明されます。
5.2.1 Challenge Password
5.2.1 挑戦パスワード
The challenge-password attribute type specifies a password by which an entity may request certificate revocation. The interpretation of the password is intended to be specified by the issuer of the certificate; no particular interpretation is required. The challenge-password attribute type is intended for PKCS #10 certification requests.
挑戦パスワード属性タイプは実体が証明書取消しを要求するかもしれないパスワードを指定します。 パスワードの解釈は証明書の発行人によって指定されることを意図します。 どんな特定の解釈も必要ではありません。 挑戦パスワード属性タイプはPKCS#10の証明要求のために意図します。
Challenge-password attribute values have ASN.1 type ChallengePassword:
挑戦パスワード属性値で、ASN.1はChallengePasswordをタイプします:
ChallengePassword ::= CHOICE { PrintableString, T61String }
ChallengePassword:、:= 選択PrintableString、T61String
A challenge-password attribute must have a single attribute value.
挑戦パスワード属性に、ただ一つの属性値がなければなりません。
It is expected that if UCS becomes an ASN.1 type (e.g., UNIVERSAL STRING), ChallengePassword will become a CHOICE type:
UCSがASN.1タイプ(例えば、UNIVERSAL STRING)になるなら、ChallengePasswordがCHOICEタイプになると予想されます:
ChallengePassword ::= CHOICE { PrintableString, T61String, UNIVERSAL STRING }
ChallengePassword:、:= 選択PrintableString、T61String、普遍的なストリング
5.2.2 Unstructured Address
5.2.2 不統一なアドレス
The unstructured-address attribute type specifies the address or addresses of the subject of a certificate as an unstructured ASCII or T.61 string. The interpretation of the addresses is intended to be specified by the issuer of the certificate; no particular interpretation is required. A likely interpretation is as an alternative to the X.520 postalAddress attribute type. The unstructured-address attribute type is intended for PKCS #10
不統一なアドレス属性タイプは不統一なASCIIかT.61ストリングとして証明書の対象のアドレスかアドレスを指定します。 アドレスの解釈は証明書の発行人によって指定されることを意図します。 どんな特定の解釈も必要ではありません。 ありそうな解釈がX.520 postalAddress属性タイプに代わる手段としてあります。 不統一なアドレス属性タイプはPKCS#10のために意図します。
Dusse, et. al. Informational [Page 12] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[12ページ]のバージョン2証明書
certification requests.
証明要求。
Unstructured-address attribute values have ASN.1 type UnstructuredAddress:
不統一なアドレス属性値で、ASN.1はUnstructuredAddressをタイプします:
UnstructuredAddress ::= CHOICE { PrintableString, T61String }
UnstructuredAddress:、:= 選択PrintableString、T61String
An unstructured-address attribute can have multiple attribute values.
不統一なアドレス属性は複数の属性値を持つことができます。
Note: T.61's newline character (hexadecimal code 0d) is recommended as a line separator in multi-line addresses.
以下に注意してください。 T.61のニューラインキャラクタ(16進コード0d)はマルチ系列アドレスのラインセパレータとしてお勧めです。
It is expected that if UCS becomes an ASN.1 type (e.g., UNIVERSAL STRING), UnstructuredAddress will become a CHOICE type:
UCSがASN.1タイプ(例えば、UNIVERSAL STRING)になるなら、UnstructuredAddressがCHOICEタイプになると予想されます:
UnstructuredAddress ::= CHOICE { PrintableString, T61String, UNIVERSAL STRING }
UnstructuredAddress:、:= 選択PrintableString、T61String、普遍的なストリング
5.3 Fulfilling a Certification Request
5.3 証明要求を実現させること。
Certification authorities SHOULD use the sha-1WithRSAEncryption signature algorithms when signing certificates.
証明書に署名するとき、証明SHOULD当局はsha-1WithRSAEncryption署名アルゴリズムを使用します。
5.4 Using PKCS #7 for Fulfilled Certificate Response
5.4 実現している証明書応答のための使用PKCS#7
[PKCS-7] supports a degenerate case of the SignedData content type where there are no signers on the content (and hence, the content value is "irrelevant"). This degenerate case is used to convey certificate and CRL information. Certification authorities MUST use this format for returning certificate information resulting from the successful fulfillment of a certification request. At a minimum, the fulfilled certificate response MUST include the actual subject certificate (corresponding to the information in the certification request). The response SHOULD include other certificates which link the issuer to higher level certification authorities and corresponding certificate-revocation lists. Unrelated certificates and revocation information is also acceptable.
[PKCS-7]は署名者が全く内容にない(したがって、満足している値は「無関係である」)SignedData content typeの堕落したケースを支えます。 この堕落したケースは、証明書とCRL情報を伝えるのに使用されます。 証明当局は証明要求のうまくいっている遂行から生じる戻っている証明書情報にこの形式を使用しなければなりません。 最小限では、実現している証明書応答は実際の対象の証明書(証明要求における情報に対応する)を含まなければなりません。 応答SHOULDは、より高い平らな証明当局と対応する証明書失効リストに発行人をリンクする他の証明書を含んでいます。 また、関係ない証明書と取消し情報も許容できます。
Receiving agents MUST parse this degenerate PKCS #7 message type and handle the certificates and CRLs according to the requirements and recommendations in Section 4.
エージェントを受けると、この堕落したPKCS#7メッセージタイプが分析されて、要件と推薦に従って、証明書とCRLsはセクション4で扱われなければなりません。
Dusse, et. al. Informational [Page 13] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[13ページ]のバージョン2証明書
6. Security Considerations
6. セキュリティ問題
All of the security issues faced by any cryptographic application must be faced by a S/MIME agent. Among these issues are protecting the user's private key, preventing various attacks, and helping the user avoid mistakes such as inadvertently encrypting a message for the wrong recipient. The entire list of security considerations is beyond the scope of this document, but some significant concerns are listed here.
S/MIMEエージェントはどんな暗号のアプリケーションでも直面されていた安全保障問題のすべてに面していなければなりません。 これらの問題の中では、ユーザの秘密鍵を保護して、様々な攻撃を防いで、ユーザを助けているのは間違った受取人のためにうっかりメッセージを暗号化するのなどように間違いを避けます。 セキュリティ問題の全体のリストはこのドキュメントの範囲を超えていますが、いくつかの重要な関心がここに記載されています。
When processing certificates, there are many situations where the processing might fail. Because the processing may be done by a user agent, a security gateway, or other program, there is no single way to handle such failures. Just because the methods to handle the failures has not been listed, however, the reader should not assume that they are not important. The opposite is true: if a certificate is not provably valid and associated with the message, the processing software should take immediate and noticable steps to inform the end user about it.
証明書を処理するとき、多くの状況が処理が失敗するかもしれないところにあります。 ユーザエージェント、セキュリティゲートウェイ、または他のプログラムで処理をするかもしれないので、そのような失敗を扱うどんなただ一つの方法もありません。 失敗を扱うメソッドが記載されているだけではないので、しかしながら、読者は、それらが重要でないと仮定するべきではありません。 正反対は本当です: 証明書がメッセージに有効であって、関連していて、証明可能に、処理ソフトウェアがそれに関してエンドユーザに知らせるために即座の、そして、目立っている方法を採るはずであるということでないなら。
Some of the many places where signature and certificate checking might fail include:
署名と証明書の照合が失敗するかもしれない多くの場所のいくつかは:
- no Internet mail addresses in a certificate match the sender of a message - no certificate chain leads to a trusted CA - no ability to check the CRL for a certificate - an invalid CRL was received - the CRL being checked is expired - the certificate is expired - the certificate has been revoked
- どんなインターネット・メールも、証明書マッチでどんな証明書チェーンも信じられたカリフォルニアに通じないというメッセージの送付者が証明書がないかどうかCRLをチェックする能力でないと扱いません--無効のCRLを受け取りました--チェックされるCRLは満期です--証明書は満期です--証明書は取り消されました。
There are certainly other instances where a certificate may be invalid, and it is the responsibility of the processing software to check them all thoroughly, and to decide what to do if the check fails.
確かに、チェックが失敗するなら、他のインスタンスが証明書が無効であるかもしれなく、それらを皆、徹底的にチェックして、何をしたらよいかを決めるのが、処理ソフトウェアの責任であるところにあります。
Dusse, et. al. Informational [Page 14] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[14ページ]のバージョン2証明書
A. Object Identifiers and Syntax
A。 オブジェクト識別子と構文
Sections A.1 through A.4 are adopted from [SMIME-MSG].
セクションのA.1からA.4は[SMIME-MSG]から採用されます。
A.5 Name Attributes
A.5名前属性
emailAddress OBJECT IDENTIFIER ::=
emailAddressオブジェクト識別子:、:=
{iso(1) member-body(2) US(840) rsadsi(113549) pkcs(1) pkcs-9(9) 1}
iso(1)は(2) 米国(840)rsadsi(113549) pkcs(1) pkcs-9(9)1をメンバーと同じくらい具体化させます。
CountryName OBJECT IDENTIFIER ::= {joint-iso-ccitt(2) ds(5) attributeType(4) 6}
CountryNameオブジェクト識別子:、:= 共同iso-ccitt(2) ds(5) attributeType(4)6
StateOrProvinceName OBJECT IDENTIFIER ::= {joint-iso-ccitt(2) ds(5) attributeType(4) 8}
StateOrProvinceNameオブジェクト識別子:、:= 共同iso-ccitt(2) ds(5) attributeType(4)8
locality OBJECT IDENTIFIER ::= {joint-iso-ccitt(2) ds(5) attributeType(4) 7}
場所OBJECT IDENTIFIER:、:= 共同iso-ccitt(2) ds(5) attributeType(4)7
CommonName OBJECT IDENTIFIER ::= {joint-iso-ccitt(2) ds(5) attributeType(4) 3}
CommonNameオブジェクト識別子:、:= 共同iso-ccitt(2) ds(5) attributeType(4)3
Title OBJECT IDENTIFIER ::= {joint-iso-ccitt(2) ds(5) attributeType(4) 12}
タイトルオブジェクト識別子:、:= 共同iso-ccitt(2) ds(5) attributeType(4)12
Organization OBJECT IDENTIFIER ::= {joint-iso-ccitt(2) ds(5) attributeType(4) 10}
組織オブジェクト識別子:、:= 共同iso-ccitt(2) ds(5) attributeType(4)10
OrganizationalUnit OBJECT IDENTIFIER ::= {joint-iso-ccitt(2) ds(5) attributeType(4) 11}
OrganizationalUnitオブジェクト識別子:、:= 共同iso-ccitt(2) ds(5) attributeType(4)11
StreetAddress OBJECT IDENTIFIER ::= {joint-iso-ccitt(2) ds(5) attributeType(4) 9}
StreetAddressオブジェクト識別子:、:= 共同iso-ccitt(2) ds(5) attributeType(4)9
Postal Code OBJECT IDENTIFIER ::= {joint-iso-ccitt(2) ds(5) attributeType(4) 17}
郵便番号オブジェクト識別子:、:= 共同iso-ccitt(2) ds(5) attributeType(4)17
Phone Number OBJECT IDENTIFIER ::= {joint-iso-ccitt(2) ds(5) attributeType(4) 20}
電話番号オブジェクト識別子:、:= 共同iso-ccitt(2) ds(5) attributeType(4)20
A.6 Certification Request Attributes
A.6証明要求属性
postalAddress OBJECT IDENTIFIER ::= {joint-iso-ccitt(2) ds(5) attributeType(4) 16}
postalAddressオブジェクト識別子:、:= 共同iso-ccitt(2) ds(5) attributeType(4)16
challengePassword OBJECT IDENTIFIER ::= {iso(1) member-body(2) US(840) rsadsi(113549) pkcs(1) pkcs-9(9) 7}
challengePasswordオブジェクト識別子:、:= iso(1)は(2) 米国(840)rsadsi(113549) pkcs(1) pkcs-9(9)7をメンバーと同じくらい具体化させます。
Dusse, et. al. Informational [Page 15] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[15ページ]のバージョン2証明書
unstructuredAddress OBJECT IDENTIFIER ::= {iso(1) member-body(2) US(840) rsadsi(113549) pkcs(1) pkcs-9(9) 8}
unstructuredAddressオブジェクト識別子:、:= iso(1)は(2) 米国(840)rsadsi(113549) pkcs(1) pkcs-9(9)8をメンバーと同じくらい具体化させます。
A.7 X.509 V3 Certificate Extensions
A.7 X.509 V3証明書拡張子
basicConstraints OBJECT IDENTIFIER ::=
basicConstraintsオブジェクト識別子:、:=
{joint-iso-ccitt(2) ds(5) 29 19 }
共同iso-ccitt(2) ds(5)29 19
The ASN.1 definition of basicConstraints certificate extension is:
basicConstraints証明書拡張子のASN.1定義は以下の通りです。
basicConstraints basicConstraints EXTENSION ::= { SYNTAX BasicConstraintsSyntax IDENTIFIED BY { id-ce 19 } }
basicConstraints basicConstraints拡張子:、:= SYNTAX BasicConstraintsSyntax IDENTIFIED BYイドCe19
BasicConstraintsSyntax ::= SEQUENCE { cA BOOLEAN DEFAULT FALSE, pathLenConstraint INTEGER (0..MAX) OPTIONAL }
BasicConstraintsSyntax:、:= 系列cA論理演算子は誤っていて、pathLenConstraint整数(0..MAX)任意の状態でデフォルトとします。
keyUsage OBJECT IDENTIFIER ::= {joint-iso-ccitt(2) ds(5) 29 15 }
keyUsageオブジェクト識別子:、:= 共同iso-ccitt(2) ds(5)29 15
The ASN.1 definition of keyUsage certificate extension is:
keyUsage証明書拡張子のASN.1定義は以下の通りです。
keyUsage EXTENSION ::= { SYNTAX KeyUsage IDENTIFIED BY { id-ce 15 }}
keyUsage拡張子:、:= SYNTAX KeyUsage IDENTIFIED BYイドCe15
KeyUsage ::= BIT STRING { digitalSignature (0), nonRepudiation (1), keyEncipherment (2), dataEncipherment (3), keyAgreement (4), keyCertSign (5), cRLSign (6)}
KeyUsage:、:= ビット列digitalSignature(0)、nonRepudiation(1)、keyEncipherment(2)、dataEncipherment(3)、keyAgreement(4)、keyCertSign(5)、cRLSign(6)
Dusse, et. al. Informational [Page 16] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[16ページ]のバージョン2証明書
B. References
B。 参照
[KEYM] PKIX Part 1. At the time of this writing, PKIX is a Work in Progress, but it is expected that there will be standards-track RFCs at some point in the future.
[KEYM]PKIX第1部。 この書くこと時点で、PKIXはProgressのWorkですが、標準化過程RFCsが将来何らかのポイントにあると予想されます。
[MUSTSHOULD] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 1l4, RFC 2119, March 1997.
[MUSTSHOULD] ブラドナー、S.、「Indicate Requirement LevelsへのRFCsにおける使用のためのキーワード」、BCP 1l4、RFC2119、1997年3月。
[PKCS-1] Kaliski, B., "PKCS #1: RSA Encryption Version 1.5", RFC 2313, March 1998.
[PKCS-1]Kaliski、B.、「PKCS#1:」 1.5インチ(RFC2313)が1998に行進させるRSA暗号化バージョン
[PKCS-7] Kaliski, B., "PKCS #7: Cryptographic Message Syntax Version 1.5", RFC 2315, March 1998.
[PKCS-7]Kaliski、B.、「PKCS#7:」 暗号のメッセージ構文バージョン1.5インチ、RFC2315、1998年3月。
[PKCS-10] Kaliski, B., "PKCS #10: Certification Request Syntax Version 1.5", RFC 2314, March 1998.
[PKCS-10]Kaliski、B.、「PKCS#10:」 証明は1998年3月に構文バージョン1.5インチ、RFC2314を要求します。
[RFC-822] Crocker, D., "Standard For The Format Of ARPA Internet Text Messages", STD 11, RFC 822, August 1982.
[RFC-822] クロッカー、D.、「アルパインターネットテキスト・メッセージの形式の規格」、STD11、RFC822、1982年8月。
[SMIME-MSG] Dusse, S., Hoffman, P., Ramsdell, R., Lundblade, L., and L. Repka, "S/MIME Version 2 Message Specification", RFC 2311, March 1998.
[SMIME-MSG] Dusse、S.、ホフマン、P.、Ramsdell、R.、Lundblade、L.、およびL.Repka、「S/MIMEバージョン2メッセージ仕様」、RFC2311(1998年3月)。
[X.500] ITU-T Recommendation X.500 (1997) | ISO/IEC 9594-1:1997, Information technology - Open Systems Interconnection - The Directory: Overview of concepts, models and services
[X.500]ITU-T推薦X.500(1997)| 情報技術--オープン・システム・インターコネクション--ISO/IEC9594-1:1997、ディレクトリ: 概念の、そして、モデルの、そして、サービスの概要
[X.501] ITU-T Recommendation X.501 (1997) | ISO/IEC 9594-2:1997, Information technology - Open Systems Interconnection - The Directory: Models
[X.501]ITU-T推薦X.501(1997)| 情報技術--オープン・システム・インターコネクション--ISO/IEC9594-2:1997、ディレクトリ: モデル
[X.509] ITU-T Recommendation X.509 (1997) | ISO/IEC 9594-8:1997, Information technology - Open Systems Interconnection - The Directory: Authentication framework
[X.509]ITU-T推薦X.509(1997)| 情報技術--オープン・システム・インターコネクション--ISO/IEC9594-8:1997、ディレクトリ: 認証フレームワーク
[X.520] ITU-T Recommendation X.520 (1997) | ISO/IEC 9594-6:1997, Information technology - Open Systems Interconnection - The Directory: Selected attribute types.
[X.520]ITU-T推薦X.520(1997)| 情報技術--オープン・システム・インターコネクション--ISO/IEC9594-6:1997、ディレクトリ: 属性タイプを選びました。
Dusse, et. al. Informational [Page 17] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[17ページ]のバージョン2証明書
C. Compatibility with Prior Practice in S/MIME
C。 S/MIMEにおける先の習慣との互換性
S/MIME was originally developed by RSA Data Security, Inc. Many developers implemented S/MIME agents before this document was published. All S/MIME receiving agents SHOULD make every attempt to interoperate with these earlier implementations of S/MIME.
S/MIMEは元々、このドキュメントが発表される前にS/MIMEエージェントであると実装されたRSA Data SecurityのInc.Many開発者によって開発されました。 エージェントSHOULDがS/MIMEのこれらの以前の実装で共同利用するための最善の努力をするすべてのS/MIME受信。
D. Acknowledgements
D。 承認
Significant contributions to the content of this memo were made by many people, including David Solo, Anil Gangolli, Jeff Thompson, and Lisa Repka.
このメモの中身への重要な貢献は多くの人々によってされました、デヴィッドSolo、Anil Gangolli、ジェフトンプソン、およびリサRepkaを含んでいて。
Dusse, et. al. Informational [Page 18] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[18ページ]のバージョン2証明書
E. Authors' Addresses
E。 作者のアドレス
Steve Dusse RSA Data Security, Inc. 100 Marine Parkway, #500 Redwood City, CA 94065 USA
スティーブDusse RSA Data Security Inc.100の海洋のレッドウッドシティー、カリフォルニア94065#500パークウェイ(米国)
Phone: (415) 595-8782 EMail: spock@rsa.com
以下に電話をしてください。 (415) 595-8782 メールしてください: spock@rsa.com
Paul Hoffman Internet Mail Consortium 127 Segre Place Santa Cruz, CA 95060
ポールホフマンインターネットメール共同体127セグレ・Placeサンタクルス、カリフォルニア 95060
Phone: (408) 426-9827 EMail: phoffman@imc.org
以下に電話をしてください。 (408) 426-9827 メールしてください: phoffman@imc.org
Blake Ramsdell Worldtalk 13122 NE 20th St., Suite C Bellevue, WA 98005
ワシントン 20番ブレークRamsdell Worldtalk13122Ne街、スイートCベルビュー、98005
Phone: (425) 882-8861 EMail: blaker@deming.com
以下に電話をしてください。 (425) 882-8861 メールしてください: blaker@deming.com
Jeff Weinstein Netscape Communications Corporation 501 East Middlefield Road Mountain View, CA 94043
ジェフワインスタインネットスケープ社501の東Middlefield Roadマウンテンビュー、カリフォルニア 94043
Phone: (415) 254-1900 EMail: jsw@netscape.com
以下に電話をしてください。 (415) 254-1900 メールしてください: jsw@netscape.com
Dusse, et. al. Informational [Page 19] RFC 2312 S/MIME Version 2 Certificate Handling March 1998
et Dusse、アル。 1998年3月を扱うRFCの2312秒間/MIMEの情報[19ページ]のバージョン2証明書
F. Full Copyright Statement
F。 完全な著作権宣言文
Copyright (C) The Internet Society (1998). All Rights Reserved.
Copyright(C)インターネット協会(1998)。 All rights reserved。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
それに関するこのドキュメントと翻訳は、コピーして、それが批評するか、またはそうでなければわかる他のもの、および派生している作品に提供するか、または準備されているかもしれなくて、コピーされて、発行されて、全体か一部分配された実装を助けるかもしれません、どんな種類の制限なしでも、上の版権情報とこのパラグラフがそのようなすべてのコピーと派生している作品の上に含まれていれば。 しかしながら、このドキュメント自体は何らかの方法で変更されないかもしれません、インターネット協会か他のインターネット組織の版権情報か参照を取り除くのなどように、それを英語以外の言語に翻訳するのが著作権のための手順がインターネットStandardsプロセスで定義したどのケースに従わなければならないか、必要に応じてさもなければ、インターネット標準を開発する目的に必要であるのを除いて。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上に承諾された限られた許容は、永久であり、インターネット協会、後継者または案配によって取り消されないでしょう。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとそして、「そのままで」という基礎とインターネットの振興発展を目的とする組織に、インターネット・エンジニアリング・タスク・フォースが速達の、または、暗示しているすべての保証を放棄するかどうかというここにことであり、他を含んでいて、含まれて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるという情報か市場性か特定目的への適合性のどんな黙示的な保証。
Dusse, et. al. Informational [Page 20]
et Dusse、アル。 情報[20ページ]
一覧
スポンサーリンク