RFC3739 日本語訳
3739 Internet X.509 Public Key Infrastructure: Qualified CertificatesProfile. S. Santesson, M. Nystrom, T. Polk. March 2004. (Format: TXT=67436 bytes) (Obsoletes RFC3039) (Status: PROPOSED STANDARD)
プログラムでの自動翻訳です。
英語原文
Network Working Group S. Santesson
Request for Comments: 3739 Microsoft
Obsoletes: 3039 M. Nystrom
Category: Standards Track RSA Security
T. Polk
NIST
March 2004
Santessonがコメントのために要求するワーキンググループS.をネットワークでつないでください: 3739 マイクロソフトは以下を時代遅れにします。 3039年のM.ニストロムカテゴリ: 2004年の標準化過程RSAセキュリティT.ポークのNIST行進
Internet X.509 Public Key Infrastructure:
Qualified Certificates Profile
インターネットX.509公開鍵暗号基盤: 限定事項付き証明プロフィール
Status of this Memo
このMemoの状態
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティにインターネット標準化過程プロトコルを指定して、改良のために議論と提案を要求します。 このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD1)の現行版を参照してください。 このメモの分配は無制限です。
Copyright Notice
版権情報
Copyright (C) The Internet Society (2004). All Rights Reserved.
Copyright(C)インターネット協会(2004)。 All rights reserved。
Abstract
要約
This document forms a certificate profile, based on RFC 3280, for identity certificates issued to natural persons.
このドキュメントは自然人に発行されたアイデンティティ証明書のためにRFC3280に基づく証明書プロフィールを形成します。
The profile defines specific conventions for certificates that are qualified within a defined legal framework, named Qualified Certificates. However, the profile does not define any legal requirements for such Qualified Certificates.
Qualified Certificatesは、プロフィールが定義された法的枠組みの中で資格がある証明書のために特定のコンベンションを定義すると命名しました。 しかしながら、プロフィールはそのようなQualified Certificatesのための少しの法的必要条件も定義しません。
The goal of this document is to define a certificate profile that supports the issuance of Qualified Certificates independent of local legal requirements. The profile is however not limited to Qualified Certificates and further profiling may facilitate specific local needs.
このドキュメントの目標は地方の法的必要条件の如何にかかわらずQualified Certificatesの発行をサポートする証明書プロフィールを定義することです。 しかしながら、プロフィールはQualified Certificatesに制限されません、そして、一層のプロフィールは特定の地方の必要性を容易にするかもしれません。
Santesson, et al. Standards Track [Page 1] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[1ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.1. Changes since RFC 3039 . . . . . . . . . . . . . . . . . 3
1.2. Definitions. . . . . . . . . . . . . . . . . . . . . . . 4
2. Requirements and Assumptions . . . . . . . . . . . . . . . . . 4
2.1. Properties . . . . . . . . . . . . . . . . . . . . . . . 5
2.2. Statement of Purpose . . . . . . . . . . . . . . . . . . 5
2.3. Policy Issues. . . . . . . . . . . . . . . . . . . . . . 5
2.4. Uniqueness of Names. . . . . . . . . . . . . . . . . . . 6
3. Certificate and Certificate Extensions Profile . . . . . . . . 6
3.1. Basic Certificate Fields . . . . . . . . . . . . . . . . 6
3.1.1. Issuer . . . . . . . . . . . . . . . . . . . . . 6
3.1.2. Subject. . . . . . . . . . . . . . . . . . . . . 7
3.2. Certificate Extensions . . . . . . . . . . . . . . . . . 9
3.2.1. Subject Alternative Name . . . . . . . . . . . . 9
3.2.2. Subject Directory Attributes . . . . . . . . . . 9
3.2.3. Certificate Policies . . . . . . . . . . . . . . 11
3.2.4. Key Usage. . . . . . . . . . . . . . . . . . . . 11
3.2.5. Biometric Information. . . . . . . . . . . . . . 11
3.2.6. Qualified Certificate Statements . . . . . . . . 13
4. Security Considerations. . . . . . . . . . . . . . . . . . . . 15
A. ASN.1 Definitions. . . . . . . . . . . . . . . . . . . . . . . 17
A.1. 1988 ASN.1 Module (Normative). . . . . . . . . . . . . . 17
A.2. 1997 ASN.1 Module (Informative). . . . . . . . . . . . . 19
B. A Note on Attributes . . . . . . . . . . . . . . . . . . . . . 23
C. Example Certificate. . . . . . . . . . . . . . . . . . . . . . 23
C.1. ASN.1 Structure. . . . . . . . . . . . . . . . . . . . . 24
C.1.1. Extensions . . . . . . . . . . . . . . . . . . . 24
C.1.2. The Certificate. . . . . . . . . . . . . . . . . 25
C.2. ASN.1 Dump . . . . . . . . . . . . . . . . . . . . . . . 27
C.3. DER-encoding . . . . . . . . . . . . . . . . . . . . . . 30
C.4. CA's Public Key. . . . . . . . . . . . . . . . . . . . . 31
References . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Authors' Addresses . . . . . . . . . . . . . . . . . . . . . . . . 33
Full Copyright Statement . . . . . . . . . . . . . . . . . . . . . 34
1. 序論. . . . . . . . . . . . . . . . . . . . . . . . . 2 1.1。 RFC3039.31.2以来の変化。 定義。 . . . . . . . . . . . . . . . . . . . . . . 4 2. 要件と仮定. . . . . . . . . . . . . . . . . 4 2.1。 特性. . . . . . . . . . . . . . . . . . . . . . . 5 2.2。 目的説明書. . . . . . . . . . . . . . . . . . 5 2.3。 政策問題。 . . . . . . . . . . . . . . . . . . . . . 5 2.4. 名前のユニークさ。 . . . . . . . . . . . . . . . . . . 6 3. 証明書と証明書拡張子は.63.1の輪郭を描きます。 基本的な証明書分野. . . . . . . . . . . . . . . . 6 3.1.1。 発行人. . . . . . . . . . . . . . . . . . . . . 6 3.1.2。 受けることがある。 . . . . . . . . . . . . . . . . . . . . 7 3.2. 拡大. . . . . . . . . . . . . . . . . 9 3.2.1を証明してください。 代替名. . . . . . . . . . . . 9 3.2.2人をかけてください。 ディレクトリ属性. . . . . . . . . . 9 3.2.3人をかけてください。 方針. . . . . . . . . . . . . . 11 3.2.4を証明してください。 主要な用法。 . . . . . . . . . . . . . . . . . . . 11 3.2.5. バイオメトリックな情報。 . . . . . . . . . . . . . 11 3.2.6. 限定事項付き証明声明. . . . . . . . 13 4。 セキュリティ問題。 . . . . . . . . . . . . . . . . . . . 15 A.ASN.1定義。 . . . . . . . . . . . . . . . . . . . . . . 17 A.1。 1988ASN.1モジュール(標準の)。 . . . . . . . . . . . . . 17 A.2。 1997ASN.1モジュール(有益な)。 . . . . . . . . . . . . 19 B. 属性. . . . . . . . . . . . . . . . . . . . . 23C.例の証明書に関する注。 . . . . . . . . . . . . . . . . . . . . . 23 C.1。 ASN.1構造。 . . . . . . . . . . . . . . . . . . . . 24 C.1.1。 拡大. . . . . . . . . . . . . . . . . . . 24C.1.2。 証明書。 . . . . . . . . . . . . . . . . 25 C.2。 ASN.1は.27C.3を捨てます。 DERをコード化している.30C.4。 CAの公開鍵。 . . . . . . . . . . . . . . . . . . . . 31の参照箇所. . . . . . . . . . . . . . . . . . . . . . . . . . . . 31の作者のアドレス. . . . . . . . . . . . . . . . . . . . . . . . 33の完全な著作権宣言文. . . . . . . . . . . . . . . . . . . . . 34
1. Introduction
1. 序論
This specification is one part of a family of standards for the X.509 Public Key Infrastructure (PKI) for the Internet. It is based on [X.509] and [RFC 3280], which defines underlying certificate formats and semantics needed for a full implementation of this standard.
この仕様はインターネットへのX.509公開鍵暗号基盤(PKI)の規格のファミリーの一部です。 それは[X.509]と[RFC3280]に基づいています。(それは、基本的な証明書形式とこの規格の完全な実施に必要である意味論を定義します)。
This profile includes specific mechanisms intended for use with Qualified Certificates. The term Qualified Certificates and the assumptions that affect the scope of this document are discussed in Section 2.
このプロフィールはQualified Certificatesとの使用のために意図する特定のメカニズムを含んでいます。 セクション2でこのドキュメントの範囲に影響する用語Qualified Certificatesと仮定について議論します。
Santesson, et al. Standards Track [Page 2] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[2ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
Section 3 defines requirements on certificate information content. This specification provides profiles for two certificate fields: issuer and subject. It also provides profiles for four certificate extensions defined in RFC 3280: subject alternate name, subject directory attributes, certificate policies, and key usage, and it defines two additional extensions: biometric information and qualified certificate statements. The certificate extensions are presented in the 1997 Abstract Syntax Notation One (ASN.1) [X.680], but in conformance with RFC 3280 the 1988 ASN.1 module in Appendix A contains all normative definitions (the 1997 module in Appendix A is informative).
セクション3は証明書情報量に関する要件を定義します。 この仕様は2つの証明書分野のためのプロフィールを提供します: 発行人と対象。 また、それはRFC3280で定義された4つの証明書拡張子のためのプロフィールを提供します: 対象の別名称、テーマ別ディレクトリ属性は方針、および主要な用法を証明します、そして、2つの追加拡大を定義します: バイオメトリックな情報と限定事項付き証明声明。 証明書拡張子は1997の抽象的なSyntax Notation One(ASN.1)[X.680]に提示されますが、RFC3280 1988ASNとの順応では、Appendix Aの.1モジュールはすべての標準の定義を含んでいます(Appendix Aの1997年のモジュールは有益です)。
In Section 4, some security considerations are discussed in order to clarify the security context in which the standard may be utilized.
セクション4では、規格が利用されるかもしれないセキュリティ文脈をはっきりさせるためにいくつかのセキュリティ問題について議論します。
Appendix A contains all relevant ASN.1 structures that are not already defined in RFC 3280. Appendix B contains a note on attributes. Appendix C contains an example certificate.
付録AはRFC3280で既に定義されないすべての関連ASN.1構造を含んでいます。 付録Bは属性に関する注を含んでいます。 付録Cは例の証明書を含んでいます。
The appendices sections are followed by the References, Authors Addresses, and the Full Copyright Statement.
付録部分はReferences、Authors Addresses、およびFull Copyright Statementによって続かれています。
1.1. Changes since RFC 3039
1.1. RFC3039以来の変化
This specification obsoletes RFC 3039. This specification differs from RFC 3039 in the following basic areas:
この仕様はRFC3039を時代遅れにします。 この仕様は以下の基本的な領域でRFC3039と異なっています:
* Some editorial clarifications have been made to introductory
sections to clarify that this profile is generally applicable
to a broad type of certificates, even if its prime purpose is
to facilitate issuance of Qualified Certificates.
* いくつかの編集の明確化はそれが紹介しているセクションにはっきりさせられて、一般に、このプロフィールが広いタイプの証明書に適切です、主要な目的がQualified Certificatesの発行を容易にすることであるならことです。
* To align with RFC 3280, support for domainComponent and title
attributes in subject names are included, and postalAddress is
no longer supported.
* RFC3280に並ぶために、domainComponentのサポートと対象の名前のタイトル属性は含まれています、そして、postalAddressはもうサポートされません。
* To align with actual usage, support for the title attribute in
the subject directory attributes extension is no longer
supported.
* 実際の用法に並ぶために、テーマ別ディレクトリ属性拡張子におけるタイトル属性のサポートはもうサポートされません。
* To better facilitate broad applicability of this profile, some
constraints on key usage settings in the key usage extension
have been removed.
* このプロフィールの広い適用性をよりよく容易にするために、主要な用法拡大での主要な用法設定におけるいくつかの規制を取り除きました。
* A new qc-Statement reflecting this second version of the
profile has been defined in Section 3.2.6.1. This profile
obsoletes RFC 3039, but the qc-statement reflecting compliance
with RFC 3039 is also defined for backwards compatibility.
* プロフィールのバージョンがセクション3.2.6で定義されたこの秒に反射する新しいqc-声明.1。 このプロフィールはしかし、RFC3039、また、RFC3039への反射しているコンプライアンスが後方にように定義されるというqc-声明互換性を時代遅れにします。
Santesson, et al. Standards Track [Page 3] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[3ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
1.2. Definitions
1.2. 定義
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14, [RFC 2119].
キーワード“MUST"、「必須NOT」が「必要です」、“SHALL"、「」、“SHOULD"、「「推薦され」て、「5月」の、そして、「任意」のNOTはBCP14[RFC2119]で説明されるように本書では解釈されることであるべきです。
2. Requirements and Assumptions
2. 要件と仮定
The term "Qualified Certificate" is used by the European Directive on Electronic Signature [EU-ESDIR] to refer to a specific type of certificates, with appliance in European electronic signature legislation. This specification is intended to support this class of certificates, but its scope is not limited to this application.
「限定事項付き証明」という用語は特定のタイプの証明書を参照するのにElectronic Signature[EU-ESDIR]の上のヨーロッパのDirectiveによって使用されます、器具がヨーロッパの電子署名法律にある状態で。 この仕様がこのクラスの証明書を支えることを意図しますが、範囲はこのアプリケーションに制限されません。
Within this standard, the term "Qualified Certificate" is used generally, describing a certificate whose primary purpose is to identify a person with a high level of assurance, where the certificate meets some qualification requirements defined by an applicable legal framework, such as the European Directive on Electronic Signature [EU-ESDIR]. The actual mechanisms that decide whether a certificate should or should not be considered a "Qualified Certificate" in regard to any legislation are outside the scope of this standard.
この規格の中では、一般に、「限定事項付き証明」という用語は使用されます、高いレベルを保証と人を同一視するプライマリ目的がことである証明書について説明して、証明書が適切な法的枠組みによって定義されたいくつかの応募資格を満たすところで、Electronic Signature[EU-ESDIR]の上のヨーロッパのDirectiveなどのように。 この規格の範囲の外に証明書が考えられるべきであるか、または何か法律に関する「限定事項付き証明」であることは考えられるべきでないかどうか決める実際のメカニズムがあります。
Harmonization in the field of identity certificates issued to natural persons, in particular Qualified Certificates, is essential within several aspects that fall outside the scope of RFC 3280. The most important aspects that affect the scope of this specification are:
自然人に発行されたアイデンティティ証明書の分野の調和させること(特にQualified Certificates)はRFC3280の範囲をそらせるいくつかの局面の中で不可欠です。 この仕様の範囲に影響する最も重要な局面は以下の通りです。
- Definition of names and identity information in order to identify
the associated subject in a uniform way.
- 定義、名前とアイデンティティ情報では、aで関連対象を特定するには、道を一様にしてください。
- Definition of information which identifies the CA and the
jurisdiction under which the CA operates when issuing a particular
certificate.
- カリフォルニアを特定する情報の定義と管轄特定の証明書を発行するときカリフォルニアが作動する。
- Definition of key usage extension usage for Qualified
Certificates.
- Qualified Certificatesに、主要な用法拡大用法の定義。
- Definition of information structure for storage of biometric
information.
- バイオメトリックな情報のストレージのための情報構造の定義。
- Definition of a standardized way to store predefined statements
with relevance for Qualified Certificates.
- 保存する標準化された方法の定義はQualified Certificatesのために関連性で声明を事前に定義しました。
- Requirements for critical extensions.
- 重要な拡大のための要件。
Santesson, et al. Standards Track [Page 4] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[4ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
2.1. Properties
2.1. 特性
This profile accommodates profiling needs for Qualified Certificates based on the assumptions that:
このプロフィールは以下のことという仮定に基づくQualified Certificatesのためにプロフィールの必要性を収容します。
- Qualified Certificates are issued by a CA that makes a statement
that the certificate serves the purpose of a Qualified
Certificate, as discussed in Section 2.2.
- 適切なCertificatesは証明書がQualified Certificateの目的に役立つという声明を出すカリフォルニアによって発行されます、セクション2.2で議論するように。
- The Qualified Certificate indicates a certificate policy
consistent with liabilities, practices, and procedures undertaken
by the CA, as discussed in Section 2.3.
- Qualified Certificateはカリフォルニアによって引き受けられた負債、習慣、および手順と一致した証明書方針を示します、セクション2.3で議論するように。
- The Qualified Certificate is issued to a natural person (living
human being).
- Qualified Certificateは自然人(実在の人物)に発行されます。
- The Qualified Certificate contains a name which may be either
based on the real name of the subject or a pseudonym.
- Qualified Certificateは対象か匿名の本名に基づくかもしれない名前を含んでいます。
2.2. Statement of Purpose
2.2. 目的説明書
This profile defines conventions to declare within a certificate that it serves the purpose of being a Qualified Certificate. This enables the CA to explicitly define this intent.
このプロフィールは、証明書の中にQualified Certificateである目的に役立つと宣言するためにコンベンションを定義します。 これは、カリフォルニアが明らかにこの意図を定義するのを可能にします。
The function of this declaration is thus to assist any concerned entity in evaluating the risk associated with creating or accepting signatures that are based on a Qualified Certificate.
この宣言の機能はその結果、署名を作成するか、または受け入れると関連している危険を評価するのにどんな関係がある実体も助けるのがQualified Certificateを基礎づけたということです。
This profile defines two ways to include this information:
このプロフィールはこの情報を含む2つの方法を定義します:
- As information defined by a certificate policy included in the
certificate policies extension, and
- そして証明書方針拡張子で証明書方針を含んでいることによって定義された情報として。
- As a statement included in the Qualified Certificates Statements
extension.
- Qualified Certificates Statements拡張子で声明を含んでいるとして。
2.3. Policy Issues
2.3. 政策問題
Certain policy aspects define the context in which this profile is to be understood and used. It is however outside the scope of this profile to specify any policies or legal aspects that will govern services that issue or utilize certificates according to this profile.
ある一定の方針局面はこのプロフィールが理解されて、使用されることになっている文脈を定義します。 どんな方針や法的な局面も指定するこのプロフィールの範囲の外では、それがどのように、サービスを治めても、このプロフィールに従って、証明書を発行するか、または利用してください。
It is however an underlying assumption in this profile that a responsible issuing CA will undertake to follow a certificate policy that is consistent with its liabilities, practices, and procedures.
責任がある発行カリフォルニアが引き受けるこのプロフィールの基本的な仮定がどのように負債、習慣、および手順と一致した証明書方針に従っても、それはそうです。
Santesson, et al. Standards Track [Page 5] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[5ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
2.4. Uniqueness of names
2.4. 名前のユニークさ
Distinguished name is originally defined in X.501 [X.501] as a representation of a directory name, defined as a construct that identifies a particular object from among a set of all objects. The distinguished name MUST be unique for each subject entity certified by the one CA as defined by the issuer name field, for the whole life time of the CA.
分類名は元々、X.501[X.501]ですべてのオブジェクトの1セットから特定のオブジェクトを特定する構造物と定義されたディレクトリ名の表現と定義されます。 発行人名前欄によって定義されるようにもののカリフォルニアによって公認されたそれぞれの対象の実体に、分類名はユニークであるに違いありません、カリフォルニアの一生涯の時に。
3. Certificate and Certificate Extensions Profile
3. 拡大プロフィールを証明して、証明してください。
This section defines certificate profiling conventions. The profile is based on the Internet certificate profile RFC 3280, which in turn is based on the X.509 version 3 format. For full implementation of this section, implementers are REQUIRED to consult the underlying formats and semantics defined in RFC 3280.
このセクションはコンベンションの輪郭を描く証明書を定義します。 プロフィールはインターネット証明書プロフィールRFC3280に基づいています。(順番に、それは、X.509バージョン3形式に基づいています)。 このセクションの完全な実施のために、implementersは基本的な形式に相談するREQUIREDとRFC3280で定義された意味論です。
ASN.1 definitions, relevant for this section that are not supplied by RFC 3280, are supplied in Appendix A.
Appendix AでRFC3280によって供給されないこのセクションにおいて、関連しているASN.1定義を供給します。
3.1. Basic Certificate Fields
3.1. 基本的な証明書分野
This section provides additional details regarding the contents of two fields in the basic certificate. These fields are the issuer and subject fields.
このセクションは基本の証明書の2つの分野のコンテンツに関する追加詳細を明らかにします。 これらの分野は、発行人と対象の分野です。
3.1.1. Issuer
3.1.1. 発行人
The issuer field SHALL identify the organization responsible for issuing the certificate. The name SHOULD be an officially registered name of the organization.
発行人分野SHALLは証明書を発行するのに責任がある組織を特定します。 SHOULDを命名してください。公式に登録された組織名になってください。
The distinguished name of the issuer SHALL be specified using an appropriate subset of the following attributes:
分類名、発行人SHALLでは、以下の属性の適切な部分集合を使用することで、指定されてください:
domainComponent;
countryName;
stateOrProvinceName;
organizationName;
localityName; and
serialNumber.
domainComponent。 countryName。 stateOrProvinceName。 organizationName。 localityName。 そして、serialNumber。
The domainComponent attribute is defined in [RFC 2247], all other attributes are defined in [RFC 3280] and [X.520].
domainComponent属性は[RFC2247]で定義されて、他のすべての属性が[RFC3280]と[X.520]で定義されます。
Additional attributes MAY be present, but they SHOULD NOT be necessary to identify the issuing organization.
追加属性は存在しているかもしれなくて、唯一のそれらはSHOULD NOTです。発行組織を特定するには、必要であってください。
Santesson, et al. Standards Track [Page 6] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[6ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
A relying party MAY have to consult associated certificate policies and/or the issuer's CPS, in order to determine the semantics of name fields.
信用パーティーは関連証明書方針、そして/または、発行人のCPSに相談しなければならないかもしれません、名前欄の意味論を決定するために。
3.1.2. Subject
3.1.2. 対象
The subject field of a certificate compliant with this profile SHALL contain a distinguished name of the subject (see 2.4 for definition of distinguished name).
このプロフィールSHALLに伴う対応することの証明書の対象の分野は対象の分類名を含んでいます(分類名の定義に関して2.4を見てください)。
The subject field SHALL contain an appropriate subset of the following attributes:
対象の分野SHALLは以下の属性の適切な部分集合を含んでいます:
domainComponent;
countryName;
commonName;
surname;
givenName;
pseudonym;
serialNumber;
title;
organizationName;
organizationalUnitName;
stateOrProvinceName; and
localityName.
domainComponent。 countryName。 commonName。 姓。 givenName。 匿名。 serialNumber。 タイトル。 organizationName。 organizationalUnitName。 stateOrProvinceName。 そして、localityName。
The domainComponent attribute is defined in [RFC 2247], all other attributes are defined in [RFC 3280] and [X.520].
domainComponent属性は[RFC2247]で定義されて、他のすべての属性が[RFC3280]と[X.520]で定義されます。
Other attributes MAY also be present; however, the use of other attributes MUST NOT be necessary to distinguish one subject name from another subject name. That is, the attributes listed above are sufficient to ensure unique subject names.
また、他の属性も存在しているかもしれません。 しかしながら、他の属性の使用が、別の対象の名前と1つの対象の名前を区別するのに必要であるはずがありません。 すなわち、上に記載された属性は、ユニークな対象の名前を確実にするために十分です。
Of these attributes, the subject field SHALL include at least one of the following:
これらの属性では、対象の分野SHALLは少なくとも以下の1つを含んでいます:
Choice I: commonName
Choice II: givenName
Choice III: pseudonym
特選している私: commonName選択II: givenName選択III: 匿名
The countryName attribute value specifies a general context in
which other attributes are to be understood. The country
attribute does not necessarily indicate the subject's country of
citizenship or country of residence, nor does it have to indicate
the country of issuance.
countryName属性値は理解されている他の属性がことである一般情勢を指定します。 国の属性は必ず対象の市民権か居住国の国を示すというわけではありません、そして、それは発行の国を示す必要はありません。
Santesson, et al. Standards Track [Page 7] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[7ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
Note: Many X.500 implementations require the presence of countryName in the DIT. In cases where the subject name, as specified in the subject field, specifies a public X.500 directory entry, the countryName attribute SHOULD always be present.
以下に注意してください。 多くのX.500実装がDITで存在にcountryNameを要求します。 対象の分野で指定される対象の名前がいつも公共のX.500ディレクトリエントリ、countryName属性SHOULDを指定する場合では、存在してください。
The commonName attribute value SHALL, when present, contain a name
of the subject. This MAY be in the subject's preferred
presentation format, or a format preferred by the CA, or some
other format. Pseudonyms, nicknames, and names with spelling
other than defined by the registered name MAY be used. To
understand the nature of the name presented in commonName,
complying applications MAY have to examine present values of the
givenName and surname attributes, or the pseudonym attribute.
存在しているとき、commonName属性値SHALLは対象の名前を含んでいます。 対象の都合のよいプレゼンテーション形式、カリフォルニアによって好まれた形式、またはある他の形式にはこれがあるかもしれません。 登録名によって定義されるのを除いたスペルの匿名、あだ名、および名前は使用されるかもしれません。 commonName、応じることで提示された名前の本質を理解するために、アプリケーションはgivenNameと姓の属性の現在価値、または匿名属性を調べなければならないかもしれません。
Note: Many client implementations presuppose the presence of the commonName attribute value in the subject field and use this value to display the subject's name regardless of present givenName, surname, or pseudonym attribute values.
以下に注意してください。 多くのクライアント実装が、対象の分野でのcommonName属性値の存在を予想して、現在のgivenName、姓、または匿名属性値にかかわらず対象の名前を表示するのにこの値を使用します。
The surname and givenName attribute types SHALL be used in the
subject field if neither the commonName attribute nor the
pseudonym attribute is present. In cases where the subject only
has a givenName, the surname attribute SHALL be omitted.
中古のコネが対象の分野であり、commonName属性も匿名属性も存在していないなら、姓とgivenNameはタイプのためにSHALLを結果と考えます。 対象がgivenName、姓の属性SHALLを持っているだけである場合では、省略されてください。
The pseudonym attribute type SHALL, if present, contain a
pseudonym of the subject. Use of the pseudonym attribute MUST NOT
be combined with use of any of the attributes surname and/or
givenName.
存在しているなら、匿名属性タイプSHALLは対象の匿名を含んでいます。 属性姓、そして/または、givenNameのどれかの使用に匿名属性の使用を結合してはいけません。
The serialNumber attribute type SHALL, when present, be used to
differentiate between names where the subject field would
otherwise be identical. This attribute has no defined semantics
beyond ensuring uniqueness of subject names. It MAY contain a
number or code assigned by the CA or an identifier assigned by a
government or civil authority. It is the CA's responsibility to
ensure that the serialNumber is sufficient to resolve any subject
name collisions.
serialNumberはタイプSHALLを結果と考えます、存在しているとき使用されて、そうでなければ対象の分野が同じである名前を区別してください。 この属性に、対象の名前のユニークさを確実にすることを超えて定義された意味論が全くありません。 それは数、カリフォルニアによって割り当てられたコードまたは政府か民間権威によって割り当てられた識別子を含むかもしれません。 serialNumberが確実にどんな対象の名前衝突も決議できるくらいなるようにするのは、CAの責任です。
The title attribute type SHALL, when present, be used to store a
designated position or function of the subject within the
organization specified by present organizational attributes in the
subject field. The association between the title, the subject,
and the organization is beyond the scope of this document.
タイトル属性はSHALLをタイプします、存在しているとき使用されて、対象の分野の現在の組織的な属性によって指定された組織の中に指定された位置か対象の関数を保存してください。 タイトルと、対象と、組織との協会はこのドキュメントの範囲を超えています。
The organizationName and the organizationalUnitName attribute
types SHALL, when present, be used to store the name and relevant
information of an organization with which the subject is
organizationNameとorganizationalUnitNameはタイプのためにSHALLを結果と考えます、存在しているとき使用されて、組織の名前と対象がそうである関連情報を保存してください。
Santesson, et al. Standards Track [Page 8] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[8ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
associated. The type of association between the organization and
the subject is beyond the scope of this document.
関連。 組織と対象との協会のタイプはこのドキュメントの範囲を超えています。
The stateOrProvinceName and the localityName attribute types
SHALL, when present, be used to store geographical information
with which the subject is associated. If an organizationName
value is also present, then the stateOrProvinceName and
localityName attribute values SHALL be associated with the
specified organization. The type of association between the
stateOrProvinceName and the localityName and either the subject or
the organizationName is beyond the scope of this document.
stateOrProvinceNameとlocalityNameはタイプのためにSHALLを結果と考えます、存在しているとき使用されて、対象が関連している地理的な情報を保存してください。 また、organizationName値も存在しているなら、stateOrProvinceNameとlocalityNameは値のSHALLを結果と考えます。指定団体に関連してください。 stateOrProvinceNameと、localityNameと対象かorganizationNameのどちらかとの協会のタイプはこのドキュメントの範囲を超えています。
Compliant implementations SHALL be able to interpret the attributes named in this section.
言いなりになっている実装SHALL、このセクションで指定された属性は解釈できてください。
3.2. Certificate Extensions
3.2. 証明書拡張子
This section provides additional details regarding the contents of four certificate extensions defined in RFC 3280: Subject Alternative Name, Subject directory attributes, Certificate policies, and Key usage. This section also defines two additional extensions: biometric information and qualified certificate statements.
このセクションはRFC3280で定義された4つの証明書拡張子のコンテンツに関する追加詳細を明らかにします: 対象のAlternative Name、Subjectディレクトリ属性、Certificate方針、およびKey用法。 また、このセクションは2つの追加拡大を定義します: バイオメトリックな情報と限定事項付き証明声明。
3.2.1. Subject Alternative Name
3.2.1. 対象の代替名
If the subjectAltName extension is present, and it contains a directoryName name, then the directoryName MUST follow the conventions specified in section 3.1.2 of this profile.
subjectAltName拡張子が存在していて、directoryName名を含んでいるなら、directoryNameはこの.2個のセクション3.1プロフィールで指定されたコンベンションに続かなければなりません。
3.2.2. Subject Directory Attributes
3.2.2. テーマ別ディレクトリ属性
The subjectDirectoryAttributes extension MAY be present and MAY contain additional attributes associated with the subject, as a complement to present information in the subject field and the subject alternative name extension.
subjectDirectoryAttributes拡張子は、存在しているかもしれなくて、対象の分野と対象の代替名拡大で情報を提供するために補数として対象に関連している追加属性を含むかもしれません。
Attributes suitable for storage in this extension are attributes which are not part of the subject's distinguished name, but which MAY still be useful for other purposes (e.g., authorization).
この拡大でストレージに適した属性は対象の分類名の一部ではありませんが、まだ他の目的(例えば、承認)の役に立つかもしれない属性です。
This extension MUST NOT be marked critical.
重要であるとこの拡大をマークしてはいけません。
Compliant implementations SHALL be able to interpret the following attributes:
言いなりになっている実装SHALL、以下の属性を解釈できてください:
dateOfBirth;
placeOfBirth;
gender;
dateOfBirth。 placeOfBirth。 性。
Santesson, et al. Standards Track [Page 9] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[9ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
countryOfCitizenship; and
countryOfResidence.
countryOfCitizenship。 そして、countryOfResidence。
Other attributes MAY be included according to local definitions.
地方の定義に従って、他の属性は含まれるかもしれません。
The dateOfBirth attribute SHALL, when present, contain the value
of the date of birth of the subject. The manner in which the date
of birth is associated with the subject is outside the scope of
this document. The date of birth is defined in the
GeneralizedTime format and SHOULD specify GMT 12.00.00 (noon) down
to the granularity of seconds, in order to prevent accidental
change of date due to time zone adjustments. For example, a birth
date of September 27, 1959 is encoded as "19590927120000Z".
Compliant certificate parsing applications SHOULD ignore any time
data and just present the contained date without any time zone
adjustments.
存在しているとき、dateOfBirth属性SHALLは対象の生年月日の値を含んでいます。 このドキュメントの範囲の外に生年月日が対象に関連している方法があります。 生年月日はGeneralizedTime形式で定義されます、そして、SHOULDはグリニッジ標準時の.00(正午)が秒の粒状に倒す12.00を指定します、時間帯の調整のため日付の偶然の変化を防ぐために。 例えば、1959年9月27日の生年月日は"19590927120000Z"としてコード化されます。 言いなりになっている証明書構文解析アプリケーションSHOULDはいつでもデータを無視して、少しも時間帯の調整なしで含まれた期日をただ提示します。
The placeOfBirth attribute SHALL, when present, contain the value
of the place of birth of the subject. The manner in which the
place of birth is associated with the subject is outside the scope
of this document.
存在しているとき、placeOfBirth属性SHALLは対象の誕生の場所の値を含んでいます。 このドキュメントの範囲の外に出生の場所が対象に関連している方法があります。
The gender attribute SHALL, when present, contain the value of the
gender of the subject. For females the value "F" (or "f"), and
for males the value "M" (or "m"), have to be used. The manner in
which the gender is associated with the subject is outside the
scope of this document.
存在しているとき、性属性SHALLは対象の性の値を含んでいます。 女性値「F」(または、「f」)、および男性値「M」(または、「m」)に関しては、使用させてください。 このドキュメントの範囲の外に性が対象に関連している方法があります。
The countryOfCitizenship attribute SHALL, when present, contain
the identifier of at least one of the subject's claimed countries
of citizenship at the time the certificate was issued. If more
than one country of citizenship is specified, each country of
citizenship SHOULD be specified through a separate, single-valued
countryOfCitizenship attribute. Determination of citizenship is a
matter of law and is outside the scope of this document.
存在しているとき、countryOfCitizenship属性SHALLは証明書を発行したとき市民権の国であると主張する少なくとも対象のものの1つに関する識別子を含んでいます。 市民権の1つ以上の国が指定されるなら、市民権SHOULDの各国は、aを通して別々の状態で指定されて、countryOfCitizenship属性をシングル評価しました。 市民権の決断は、法律問題であり、このドキュメントの範囲の外にあります。
The countryOfResidence attribute SHALL, when present, contain the
value of at least one country in which the subject is resident.
If more than one country of residence is specified, each country
of residence SHOULD be specified through a separate, single-valued
countryOfResidence attribute. Determination of residence is a
matter of law and is outside the scope of this document.
存在しているとき、countryOfResidence属性SHALLは対象が居住している少なくとも1つの国の値を含んでいます。 1つ以上の居住国が指定されるなら、住居SHOULDの各国は、aを通して別々の状態で指定されて、countryOfResidence属性をシングル評価しました。 住居の決断は、法律問題であり、このドキュメントの範囲の外にあります。
Santesson, et al. Standards Track [Page 10] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[10ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
3.2.3. Certificate Policies
3.2.3. 証明書方針
The certificate policies extension SHALL be present and SHALL contain the identifier of at least one certificate policy which reflects the practices and procedures undertaken by the CA. The certificate policy extension MAY be marked critical.
方針拡大SHALLを証明します。存在してください。そうすれば、SHALLは習慣を反映する少なくとも1つの証明書方針とカリフォルニアによって引き受けられた手順に関する識別子を含んでいます。 証明書方針拡張子は重要であるとマークされるかもしれません。
Information provided by the issuer stating the purpose of the certificate, as discussed in Section 2.2, SHOULD be evident through indicated policies.
情報は証明書の目的を述べる発行人で提供しました、セクション2.2で議論するように、SHOULD。示された方針で、明白であってください。
The certificate policies extension MUST include all policy information needed for certification path validation. If policy related statements are included in the QCStatements extension (see 3.2.6), then these statements SHOULD also be contained in the identified policies.
証明書方針拡張子は証明経路合法化に必要であるすべての方針情報を含まなければなりません。 方針が関係したなら声明がQCStatements拡張子で含まれている、(見る、3.2、.6、)、次に、これらの声明SHOULD、また、特定された方針で、含まれてください。
Certificate policies MAY be combined with any qualifier defined in RFC 3280.
証明書方針はRFC3280で定義されるどんな資格を与える人にも結合されるかもしれません。
3.2.4. Key Usage
3.2.4. 主要な用法
The key usage extension SHALL be present. Key usage settings SHALL be set in accordance with RFC 3280 definitions. Further requirements on key usage settings MAY be defined by local policy and/or local legal requirements.
用法拡大SHALLを合わせてください。存在してください。 RFC3280に従ったセットが定義であったなら用法設定SHALLを合わせてください。 主要な用法設定に関するさらなる要件はローカルの方針、そして/または、地方の法的必要条件によって定義されるかもしれません。
The key usage extension SHOULD be marked critical.
用法拡大SHOULDを合わせてください。重要であるとマークされます。
3.2.5. Biometric Information
3.2.5. バイオメトリックな情報
This section defines an OPTIONAL extension for storage of biometric information. Biometric information is stored in the form of a hash of a biometric template.
このセクションはバイオメトリックな情報のストレージのためのOPTIONAL拡張子を定義します。 バイオメトリックな情報はバイオメトリックなテンプレートのハッシュの形に保存されます。
The purpose of this extension is to provide a means for the authentication of biometric information. The biometric information that corresponds to the stored hash is not stored in this extension, but the extension MAY include a URI (sourceDataUri) that references a file containing this information.
この拡大の目的はバイオメトリックな情報の認証のための手段を提供することです。 保存されたハッシュに対応するバイオメトリックな情報はこの拡大では保存されませんが、拡大はこの情報を含むファイルに参照をつけるURI(sourceDataUri)を含むかもしれません。
If included, the URI MUST use the HTTP scheme (http://) [HTTP/1.1] or the HTTPS scheme (https://) [RFC 2818]. Since the fact that identifying data is being checked may itself be sensitive information, those deploying this mechanism may also wish to consider using URIs which cannot be easily tied by outsiders to the identities of those whose information is being retrieved.
含まれているなら、URIはHTTP体系(http://)[HTTP/1.1]かHTTPS体系(https://)[RFC2818]を使用しなければなりません。 以来にデータを特定するのがチェックされているという事実がそうするかもしれない、それ自体、機密情報(またこのメカニズムを配布すると部外者が容易に情報が検索されているそれらのアイデンティティに結ぶことができないURIを使用すると考えられたがっているかもしれないもの)になってください。
Santesson, et al. Standards Track [Page 11] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[11ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
Use of the URI option presumes that the data encoding format of the file content is determined through means outside the scope of this specification, such as file naming conventions and metadata inside the file. Use of this URI option does not imply that it is the only way to access this information.
URIオプションの使用は、ファイル内容のzデータの符号化形式がこの仕様の範囲の外の手段で決定すると推定します、ファイルにおけるファイル命名規則やメタデータのように。 このURIオプションの使用は、それがこの情報にアクセスする唯一の方法であることを含意しません。
It is RECOMMENDED that biometric information in this extension be limited to information types suitable for human verification, i.e., where the decision of whether the information is an accurate representation of the subject is naturally performed by a person. This implies a usage where the biometric information is represented by, for example, a graphical image displayed to the relying party, which MAY be used by the relying party to enhance identification of the subject.
この拡大におけるバイオメトリックな情報が人間の検証に適した情報タイプに制限されるのは、RECOMMENDEDです、すなわち、情報が対象の正確な表現であるかどうかに関する決定が人によって自然に実行されるところで。 これは、バイオメトリックな情報が例えば、グラフィカルなイメージによって表される用法が信用パーティーに表示したのを含意します。(そのパーティーは、対象の識別を機能アップするのに信用パーティーによって使用されるかもしれません)。
This extension MUST NOT be marked critical.
重要であるとこの拡大をマークしてはいけません。
biometricInfo EXTENSION ::= {
SYNTAX BiometricSyntax
IDENTIFIED BY id-pe-biometricInfo }
biometricInfo拡張子:、:= イド-pe-biometricInfoによって特定された構文BiometricSyntax
id-pe-biometricInfo OBJECT IDENTIFIER ::= {id-pe 2}
イド-pe-biometricInfoオブジェクト識別子:、:= イド-pe2
BiometricSyntax ::= SEQUENCE OF BiometricData
BiometricSyntax:、:= BiometricDataの系列
BiometricData ::= SEQUENCE {
typeOfBiometricData TypeOfBiometricData,
hashAlgorithm AlgorithmIdentifier,
biometricDataHash OCTET STRING,
sourceDataUri IA5String OPTIONAL }
BiometricData:、:= 系列typeOfBiometricData TypeOfBiometricData、biometricDataHash八重奏ストリングの、そして、sourceDataUri IA5String任意のhashAlgorithm AlgorithmIdentifier
TypeOfBiometricData ::= CHOICE {
predefinedBiometricType PredefinedBiometricType,
biometricDataID OBJECT IDENTIFIER }
TypeOfBiometricData:、:= 選択predefinedBiometricType PredefinedBiometricType、biometricDataIDオブジェクト識別子
PredefinedBiometricType ::= INTEGER { picture(0),
handwritten-signature(1)} (picture|handwritten-signature,...)
PredefinedBiometricType:、:= INTEGERは(0)、手書きの署名(1)について描写します。(手書きの署名で|描写してください…)
The predefined biometric type picture, when present, SHALL identify that the source picture is in the form of a displayable graphical image of the subject. The hash of the graphical image SHALL be calculated over the whole referenced image file.
事前に定義されたバイオメトリックなタイプ画像、存在しているとき、SHALLはソース・ピクチャーが対象の「ディスプレイ-可能」グラフィカルなイメージの形にあるのを特定します。 計算されていて、グラフィカルのハッシュは全体の参照をつけられたイメージ・ファイルの上にSHALLに像を描きます。
The predefined biometric type handwritten-signature, when present, SHALL identify that the source data is in the form of a displayable graphical image of the subject's handwritten signature. The hash of the graphical image SHALL be calculated over the whole referenced image file.
事前に定義されたバイオメトリックなタイプ手書きの署名、存在しているとき、SHALLはソースデータが対象の手書きの署名の「ディスプレイ-可能」グラフィカルなイメージの形にあるのを特定します。 計算されていて、グラフィカルのハッシュは全体の参照をつけられたイメージ・ファイルの上にSHALLに像を描きます。
Santesson, et al. Standards Track [Page 12] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[12ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
3.2.6. Qualified Certificate Statements
3.2.6. 限定事項付き証明声明
This section defines an OPTIONAL extension for the inclusion of statements defining explicit properties of the certificate.
このセクションは証明書の明白な特性を定義する声明の包含のためのOPTIONAL拡張子を定義します。
Each statement SHALL include an object identifier for the statement and MAY also include optional qualifying data contained in the statementInfo parameter.
また、SHALLが声明のためのオブジェクト識別子を含んでいるという各声明と5月はデータがstatementInfoパラメタに含んだ任意の資格を得ることを含んでいます。
If the statementInfo parameter is included, then the object identifier of the statement SHALL define the syntax and SHOULD define the semantics of this parameter. If the object identifier does not define the semantics, a relying party may have to consult a relevant certificate policy or CPS to determine the exact semantics.
statementInfoパラメタが含まれているなら、そして、SHALLが構文を定義して、SHOULDがこのパラメタの意味論を定義するという声明に関するオブジェクト識別子です。 オブジェクト識別子が意味論を定義しないなら、信用パーティーは、正確な意味論を決定するために関連証明書方針かCPSに相談しなければならないかもしれません。
This extension may be critical or non-critical. If the extension is critical, this means that all statements included in the extension are regarded as critical.
この拡大は、重要であるか、または非臨界であるかもしれません。 拡大が重要であるなら、これは、拡大で含まれていたすべての声明が重要であると見なされることを意味します。
qcStatements EXTENSION ::= {
SYNTAX QCStatements
IDENTIFIED BY id-pe-qcStatements }
qcStatements拡張子:、:= イド-pe-qcStatementsによって特定された構文QCStatements
-- NOTE: This extension does not allow to mix critical and
-- non-critical Qualified Certificate Statements. Either all
-- statements must be critical or all statements must be
-- non-critical.
-- 以下に注意してください。 そして、この拡大がミックス重要に許容しない、--非臨界Qualified Certificate Statements。 すべて--すべての声明があるに違いありません--声明が重要であるに違いありませんか、または非臨界です。
id-pe-qcStatements OBJECT IDENTIFIER ::= { id-pe 3 }
イド-pe-qcStatementsオブジェクト識別子:、:= イド-pe3
QCStatements ::= SEQUENCE OF QCStatement
QCStatement ::= SEQUENCE {
statementId QC-STATEMENT.&Id({SupportedStatements}),
statementInfo QC-STATEMENT.&Type
({SupportedStatements}{@statementId}) OPTIONAL }
QCStatements:、:= QCStatement QCStatementの系列:、:= 系列statementId QC-STATEMENT statementInfo QC-STATEMENTイド(SupportedStatements)、タイプ、(SupportedStatements、@statementId)、任意
SupportedStatements QC-STATEMENT ::= { qcStatement-1,...}
SupportedStatements QC-声明:、:= qcStatement-1…
A statement suitable for inclusion in this extension MAY be a statement by the issuer that the certificate is issued as a Qualified Certificate in accordance with a particular legal system (as discussed in Section 2.2).
この拡大で包含に適した声明は発行人による特定の法的なシステムによると、Qualified Certificateとして証明書を発行するという(セクション2.2で議論するように)声明であるかもしれません。
Other statements suitable for inclusion in this extension MAY be statements related to the applicable legal jurisdiction within which the certificate is issued. As an example, this MAY include a maximum reliance limit for the certificate indicating restrictions on CA's liability.
この拡大で包含に適した他の声明は証明書が発行される適切な法的な管轄に関連する声明であるかもしれません。 例として、これはCAの責任で制限を示す証明書のための最大の信用限界を含むかもしれません。
Santesson, et al. Standards Track [Page 13] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[13ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
3.2.6.1. Predefined Statements
3.2.6.1. 事前に定義された声明
The certificate statement (id-qcs-pkixQCSyntax-v1), identifies conformance with requirements defined in the obsoleted RFC 3039 (Version 1). This statement is thus provided for identification of old certificates issued in conformance with RFC 3039. This statement MUST NOT be included in certificates issued in accordance with this profile.
声明(イド-qcs-pkixQCSyntax-v1)を証明して、時代遅れにされたRFC3039(バージョン1)で定義された要件と順応を同一視します。 このようにして古い証明書の識別にこの声明をRFC3039との順応で発行されていた状態で提供します。 このプロフィールによると、発行された証明書にこの声明を含んではいけません。
This profile includes a new qualified certificate statement (identified by the OID id-qcs-pkixQCSyntax-v2), identifying conformance with requirements defined in this profile. This Qualified Certificate profile is referred to as version 2, while RFC 3039 is referred to as version 1.
このプロフィールは新しい限定事項付き証明声明(OIDイド-qcs-pkixQCSyntax-v2によって特定される)を含んでいます、このプロフィールで定義された要件と順応を同一視して。 このQualified Certificateプロフィールはバージョン2と呼ばれますが、RFC3039はバージョン1と呼ばれます。
qcStatement-1 QC-STATEMENT ::= { SYNTAX SemanticsInformation
IDENTIFIED BY id-qcs-pkixQCSyntax-v1 }
-- This statement identifies conformance with requirements
-- defined in RFC 3039 (Version 1). This statement may
-- optionally contain additional semantics information as
-- specified below.
qcStatement-1 QC-声明:、:= SYNTAX SemanticsInformation IDENTIFIED BYイド-qcs-pkixQCSyntax-v1--この声明は順応を要件と同一視します--RFC3039(バージョン1)では、定義されます。 この声明は含むかもしれません。--任意に、指定されて、追加意味論情報を含んでいます。
qcStatement-2 QC-STATEMENT ::= { SYNTAX SemanticsInformation
IDENTIFIED BY id-qcs-pkixQCSyntax-v2 }
-- This statement identifies conformance with requirements
-- defined in this Qualified Certificate profile
-- (Version 2). This statement may optionally contain
-- additional semantics information as specified below.
qcStatement-2 QC-声明:、:= SYNTAX SemanticsInformation IDENTIFIED BYイド-qcs-pkixQCSyntax-v2--この声明は要件(このQualified Certificateプロフィールでは、定義される)と順応を同一視します(バージョン2)。 この声明が任意に含むかもしれない、--以下で指定されるとしての追加意味論情報。
SemanticsInformation ::= SEQUENCE {
semanticsIdentifier OBJECT IDENTIFIER OPTIONAL,
nameRegistrationAuthorities NameRegistrationAuthorities
OPTIONAL }
(WITH COMPONENTS {..., semanticsIdentifier PRESENT}|
WITH COMPONENTS {..., nameRegistrationAuthorities PRESENT})
SemanticsInformation:、:= 系列、semanticsIdentifierオブジェクト識別子任意で、nameRegistrationAuthorities NameRegistrationAuthorities任意(コンポーネント、…、semanticsIdentifierプレゼント|、コンポーネント、…、nameRegistrationAuthoritiesプレゼント)
NameRegistrationAuthorities ::= SEQUENCE SIZE (1..MAX) OF
GeneralName
NameRegistrationAuthorities:、:= GeneralNameの系列サイズ(1..MAX)
The SementicsInformation component identified by id-qcs- pkixQCSyntax-v1 MAY contain a semantics identifier and MAY identify one or more name registration authorities.
イド-qcs- pkixQCSyntax-v1によって特定されたSementicsInformationの部品は、意味論識別子を含んでいて、1つ以上の名前登録局を特定するかもしれません。
The semanticsIdentifier component, if present, SHALL contain an OID, defining semantics for attributes and names in basic certificate fields and certificate extensions. The OID may define semantics for all, or for a subgroup of all present attributes and/or names.
semanticsIdentifierの部品、存在しているなら、SHALLはOIDを含んでいます、属性と名前のために基本的な証明書分野と証明書拡張子で意味論を定義して。 OIDはすべて、またはすべての現在の属性、そして/または、名前のサブグループのために意味論を定義するかもしれません。
Santesson, et al. Standards Track [Page 14] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[14ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
The NameRegistrationAuthorities component, if present, SHALL contain a name of one or more name registration authorities, responsible for registration of attributes or names associated with the subject. The association between an identified name registration authority and present attributes MAY be defined by a semantics identifier OID, by a certificate policy (or CPS), or some other implicit factors.
NameRegistrationAuthoritiesの部品、存在しているなら、SHALLは1つ以上の名前登録局の名前を含んでいます、対象に関連している属性か名前の登録に責任があります。 特定された名前登録局と現在の属性との協会は意味論識別子OIDによって定義されるかもしれません、証明書方針(または、CPS)、またはある他の暗黙の要素で。
If a value of type SemanticsInformation is present in a QCStatement where the statementID component is set to id-qcs-pkix-QCSyntax-v1 or id-qcs-pkix-QCSyntax-v2, then at least one of the semanticsIdentifier or nameRegistrationAuthorities fields must be present, as indicated. Note that the statementInfo component need not be present in a QCStatement value even if the statementID component is set to id- qcs-pkix-QCSyntax-v1 or id-qcs-pkix-QCSyntax-v2.
タイプSemanticsInformationの値がstatementIDの部品がイド-qcs-pkix-QCSyntax-v1かイド-qcs-pkix-QCSyntax-v2に設定されるQCStatementに存在しているなら、少なくともsemanticsIdentifierかnameRegistrationAuthorities分野の1つは存在していなければなりません、示されるように。 statementIDの部品がイドqcs-pkix-QCSyntax-v1かイド-qcs-pkix-QCSyntax-v2に設定されてもstatementInfoの部品がQCStatement値で存在している必要はないことに注意してください。
4. Security Considerations
4. セキュリティ問題
The legal value of a digital signature that is validated with a Qualified Certificate will be highly dependent upon the policy governing the use of the associated private key. Both the private key holder, as well as the relying party, should make sure that the private key is used only with the consent of the legitimate key holder.
Qualified Certificateと共に有効にされるデジタル署名の正当な値は関連秘密鍵の使用を治める方針に非常に依存するようになるでしょう。 ともに、秘密鍵所有者、および信用パーティーは、秘密鍵が正統の主要な所有者の同意だけと共に使用されるのを確実にするべきです。
Since the public keys are for public use with legal implications for involved parties, certain conditions should exist before CAs issue certificates as Qualified Certificates. The associated private keys must be unique for the subject, and must be maintained under the subject's sole control. That is, a CA should not issue a qualified certificate if the means to use the private key is not protected against unintended usage. This implies that the CA has some knowledge about the subject's cryptographic module.
公開鍵が法的な含意がある関係者の公共の使用のためのものであるので、CAsがQualified Certificatesとして証明書を発行する前に、ある状態は存在するべきです。 関連秘密鍵を対象にユニークでなければならなく、対象の唯一のコントロールの下で維持しなければなりません。 秘密鍵を使用する手段が故意でない用法に対して保護されないなら、すなわち、カリフォルニアは限定事項付き証明を発行するべきではありません。 これは、カリフォルニアには対象の暗号のモジュールに関する何らかの知識があるのを含意します。
The CA must further verify that the public key contained in the certificate is legitimately representing the subject.
カリフォルニアは、証明書に含まれた公開鍵が合法的に対象を表していることをさらに確かめなければなりません。
CAs should not issue CA certificates with policy mapping extensions indicating acceptance of another CA's policy unless these conditions are met.
これらの条件が満たされない場合方針マッピング拡張子が別のCAの方針の承認を示していて、CAsはカリフォルニア証明書を発行するはずがありません。
Combining the nonRepudiation bit in the keyUsage certificate extension with other keyUsage bits may have security implications depending on the context in which the certificate is to be used. Applications validating electronic signatures based on such certificates should determine whether the present key usage combination is appropriate for their use.
keyUsage証明書拡張子で他のkeyUsageビットにnonRepudiationビットを結合するのにおいて、使用されている証明書がことである文脈によるセキュリティ意味があるかもしれません。 そのような証明書に基づく電子署名を有効にするアプリケーションは、彼らの使用に、現在の主要な用法組み合わせが適切であるかどうか決定するべきです。
Santesson, et al. Standards Track [Page 15] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[15ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
The ability to compare two qualified certificates to determine if they represent the same physical entity is dependent on the semantics of the subjects' names. The semantics of a particular attribute may be different for different issuers. Comparing names without knowledge of the semantics of names in these particular certificates may provide misleading results.
彼らが同じ物理的実体を表すかどうか決定するために2つの限定事項付き証明を比較する能力は対象の名前の意味論に依存しています。 異なった発行人において、特定の属性の意味論は異なっているかもしれません。 これらの特定の証明書の名前の意味論に関する知識のない名前を比較すると、紛らわしい結果は提供されるかもしれません。
This specification is a profile of RFC 3280. The security considerations section of that document applies to this specification as well.
この仕様はRFC3280のプロフィールです。 そのドキュメントのセキュリティ問題部はまた、この仕様に適用されます。
Santesson, et al. Standards Track [Page 16] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[16ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
A. ASN.1 Definitions
A。 ASN.1定義
As in RFC 3280, ASN.1 modules are supplied in two different variants of the ASN.1 syntax.
RFC3280のように、ASN.1構文の2つの異なった異形でASN.1モジュールを供給します。
Appendix A.1 is in the 1988 syntax, and does not use macros. However, since the module imports type definitions from modules in RFC 3280 which are not completely in the 1988 syntax, the same comments as in RFC 3280 regarding its use applies here as well; i.e., Appendix A.1 may be parsed by an 1988 ASN.1-parser by removing the definitions for the UNIVERSAL types and all references to them in RFC 3280's 1988 modules.
付録A.1は1988年の構文であって、マクロを使用しません。 しかしながら、モジュールが完全な1988年の構文でないRFC3280のモジュールから型定義を意味するので、同じくらいはまた、使用に関する3280がここに適用するRFCのようにコメントします。 すなわち、Appendix A.1はRFC3280の1988のモジュールで1988年のASN.1-パーサによってそれらのUNIVERSALタイプに定義を移して、すべての参照で分析されるかもしれません。
Appendix A.2 is in the 1997 syntax.
付録A.2が1997年の構文であります。
In case of discrepancies between these modules, the 1988 module is the normative one.
これらのモジュールの間の食い違いの場合には、1988年のモジュールは標準のものです。
A.1. 1988 ASN.1 Module (Normative)
A.1。 1988ASN.1モジュール(標準)です。
PKIXqualified88 {iso(1) identified-organization(3) dod(6)
internet(1) security(5) mechanisms(5) pkix(7) id-mod(0)
id-mod-qualified-cert(31) }
PKIXqualified88iso(1)の特定されて組織(3)dod(6)インターネット(1)セキュリティ(5)メカニズム(5)pkix(7)イドモッズ(0)イドモッズで適任の本命(31)
DEFINITIONS EXPLICIT TAGS ::=
定義、明白なタグ:、:=
BEGIN
始まってください。
-- EXPORTS ALL --
-- すべてをエクスポートします--
IMPORTS
輸入
GeneralName
FROM PKIX1Implicit88 {iso(1) identified-organization(3) dod(6)
internet(1) security(5) mechanisms(5) pkix(7) id-mod(0)
id-pkix1-implicit(19)}
PKIX1Implicit88からのGeneralNameiso(1)の特定されて組織(3)dod(6)インターネット(1)セキュリティ(5)メカニズム(5)pkix(7)イドモッズ(0)イド-pkix1暗黙の(19)
AlgorithmIdentifier, DirectoryString, AttributeType, id-pkix, id-pe
FROM PKIX1Explicit88 {iso(1) identified-organization(3) dod(6)
internet(1) security(5) mechanisms(5) pkix(7) id-mod(0)
id-pkix1-explicit(18)};
AlgorithmIdentifier、DirectoryString、AttributeType、イド-pkix、イド-pe FROM PKIX1Explicit88のiso(1)の特定されて組織(3)dod(6)インターネット(1)セキュリティ(5)メカニズム(5)pkix(7)イドモッズ(0)イド-pkix1明白な(18)。
-- Locally defined OIDs
-- 局所的に定義されたOIDs
-- Arc for QC personal data attributes
id-pda OBJECT IDENTIFIER ::= { id-pkix 9 }
-- QCの個人的なデータ属性イド-pda OBJECT IDENTIFIERのためのアーク:、:= イド-pkix9
Santesson, et al. Standards Track [Page 17] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[17ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
-- Arc for QC statements
id-qcs OBJECT IDENTIFIER ::= { id-pkix 11 }
-- QC声明イド-qcs OBJECT IDENTIFIERのためのアーク:、:= イド-pkix11
-- Personal data attributes
-- 個人的なデータ属性
id-pda-dateOfBirth AttributeType ::= { id-pda 1 }
DateOfBirth ::= GeneralizedTime
イド-pda-dateOfBirth AttributeType:、:= イド-pda1、DateOfBirth:、:= GeneralizedTime
id-pda-placeOfBirth AttributeType ::= { id-pda 2 }
PlaceOfBirth ::= DirectoryString
イド-pda-placeOfBirth AttributeType:、:= イド-pda2、PlaceOfBirth:、:= DirectoryString
id-pda-gender AttributeType ::= { id-pda 3 }
Gender ::= PrintableString (SIZE(1))
-- "M", "F", "m" or "f"
イドpda性AttributeType:、:= イド-pda3性:、:= PrintableString、(サイズ、「M」、「F」、「m」または(1))--「f」
id-pda-countryOfCitizenship AttributeType ::= { id-pda 4 }
CountryOfCitizenship ::= PrintableString (SIZE (2))
-- ISO 3166 Country Code
イド-pda-countryOfCitizenship AttributeType:、:= イド-pda4、CountryOfCitizenship:、:= PrintableString、(サイズ、ISO3166(2))--国名略号
id-pda-countryOfResidence AttributeType ::= { id-pda 5 }
CountryOfResidence ::= PrintableString (SIZE (2))
-- ISO 3166 Country Code
イド-pda-countryOfResidence AttributeType:、:= イド-pda5、CountryOfResidence:、:= PrintableString、(サイズ、ISO3166(2))--国名略号
-- Certificate extensions
-- 証明書拡張子
-- Biometric info extension
-- バイオメトリックなインフォメーション拡張子
id-pe-biometricInfo OBJECT IDENTIFIER ::= {id-pe 2}
イド-pe-biometricInfoオブジェクト識別子:、:= イド-pe2
BiometricSyntax ::= SEQUENCE OF BiometricData
BiometricSyntax:、:= BiometricDataの系列
BiometricData ::= SEQUENCE {
typeOfBiometricData TypeOfBiometricData,
hashAlgorithm AlgorithmIdentifier,
biometricDataHash OCTET STRING,
sourceDataUri IA5String OPTIONAL }
BiometricData:、:= 系列typeOfBiometricData TypeOfBiometricData、biometricDataHash八重奏ストリングの、そして、sourceDataUri IA5String任意のhashAlgorithm AlgorithmIdentifier
TypeOfBiometricData ::= CHOICE {
predefinedBiometricType PredefinedBiometricType,
biometricDataOid OBJECT IDENTIFIER }
TypeOfBiometricData:、:= 選択predefinedBiometricType PredefinedBiometricType、biometricDataOidオブジェクト識別子
PredefinedBiometricType ::= INTEGER {
picture(0), handwritten-signature(1)}
(picture|handwritten-signature)
PredefinedBiometricType:、:= INTEGERは(0)、手書きの署名(1)について描写します。(手書きの署名で|描写します)
Santesson, et al. Standards Track [Page 18] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[18ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
-- QC Statements Extension -- NOTE: This extension does not allow to mix critical and -- non-critical Qualified Certificate Statements. Either all -- statements must be critical or all statements must be -- non-critical.
-- QC声明拡張子--以下に注意してください。 そして、この拡大がミックス重要に許容しない、--非臨界Qualified Certificate Statements。 すべて--すべての声明があるに違いありません--声明が重要であるに違いありませんか、または非臨界です。
id-pe-qcStatements OBJECT IDENTIFIER ::= { id-pe 3}
イド-pe-qcStatementsオブジェクト識別子:、:= イド-pe3
QCStatements ::= SEQUENCE OF QCStatement
QCStatements:、:= QCStatementの系列
QCStatement ::= SEQUENCE {
statementId OBJECT IDENTIFIER,
statementInfo ANY DEFINED BY statementId OPTIONAL}
QCStatement:、:= 系列statementIdオブジェクト識別子、statementIdによって少しも任意の状態で定義されたstatementInfo
-- QC statements
id-qcs-pkixQCSyntax-v1 OBJECT IDENTIFIER ::= { id-qcs 1 }
-- This statement identifies conformance with requirements
-- defined in RFC 3039 (Version 1). This statement may
-- optionally contain additional semantics information as specified
-- below.
-- QC声明イド-qcs-pkixQCSyntax-v1 OBJECT IDENTIFIER:、:= イド-qcs1--この声明は順応を要件と同一視します--RFC3039(バージョン1)では、定義されます。 この声明はそうするかもしれません--指定されるとして以下に任意に追加意味論情報を含んでください。
id-qcs-pkixQCSyntax-v2 OBJECT IDENTIFIER ::= { id-qcs 2 }
-- This statement identifies conformance with requirements
-- defined in this Qualified Certificate profile
-- (Version 2). This statement may optionally contain
-- additional semantics information as specified below.
イド-qcs-pkixQCSyntax-v2オブジェクト識別子:、:= イド-qcs2--この声明は要件(このQualified Certificateプロフィールでは、定義される)と順応を同一視します(バージョン2)。 この声明が任意に含むかもしれない、--以下で指定されるとしての追加意味論情報。
SemanticsInformation ::= SEQUENCE {
semanticsIndentifier OBJECT IDENTIFIER OPTIONAL,
nameRegistrationAuthorities NameRegistrationAuthorities OPTIONAL
} -- At least one field shall be present
SemanticsInformation:、:= SEQUENCE、semanticsIndentifier OBJECT IDENTIFIER OPTIONAL、nameRegistrationAuthorities NameRegistrationAuthorities OPTIONAL、--少なくとも1つの分野が存在する
NameRegistrationAuthorities ::= SEQUENCE SIZE (1..MAX) OF GeneralName
NameRegistrationAuthorities:、:= GeneralNameの系列サイズ(1..MAX)
END
終わり
A.2. 1997 ASN.1 Module (Informative)
A.2。 1997ASN.1モジュール(有益)です。
PKIXqualified97 {iso(1) identified-organization(3) dod(6)
internet(1) security(5) mechanisms(5) pkix(7) id-mod(0)
id-mod-qualified-cert-97(35) }
PKIXqualified97iso(1)の特定された組織(3)のdod(6)インターネット(1)セキュリティ(5)メカニズム(5)pkix(7)イドモッズ(0)のイドモッズの適切な本命97(35)
DEFINITIONS EXPLICIT TAGS ::=
定義、明白なタグ:、:=
BEGIN
始まってください。
-- EXPORTS ALL --
-- すべてをエクスポートします--
Santesson, et al. Standards Track [Page 19] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[19ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
IMPORTS
輸入
informationFramework, certificateExtensions, selectedAttributeTypes,
authenticationFramework, upperBounds, id-at
FROM UsefulDefinitions {joint-iso-itu-t(2) ds(5) module(1)
usefulDefinitions(0) 3 }
informationFramework、certificateExtensions、selectedAttributeTypes、authenticationFramework、upperBounds、イド、-、FROM UsefulDefinitions共同iso-ituのt(2)ds(5)のモジュール(1)usefulDefinitions(0)3
ub-name
FROM UpperBounds upperBounds
ub-名前FROM UpperBounds upperBounds
GeneralName
FROM CertificateExtensions certificateExtensions
CertificateExtensions certificateExtensionsからのGeneralName
ATTRIBUTE, AttributeType
FROM InformationFramework informationFramework
InformationFramework informationFrameworkからの属性、AttributeType
DirectoryString
FROM SelectedAttributeTypes selectedAttributeTypes
SelectedAttributeTypes selectedAttributeTypesからのDirectoryString
AlgorithmIdentifier, Extension, EXTENSION
FROM AuthenticationFramework authenticationFramework
AuthenticationFramework authenticationFrameworkからのAlgorithmIdentifier、拡大、拡大
id-pkix, id-pe
FROM PKIX1Explicit88 { iso(1) identified-organization(3) dod(6)
internet(1) security(5) mechanisms(5) pkix(7) id-mod(0)
id-pkix1-explicit(18) };
イド-pkix、イド-pe FROM PKIX1Explicit88のiso(1)の特定されて組織(3)dod(6)インターネット(1)セキュリティ(5)メカニズム(5)pkix(7)イドモッズ(0)イド-pkix1明白な(18)。
-- Locally defined OIDs
-- 局所的に定義されたOIDs
-- Arc for QC personal data attributes
id-pda OBJECT IDENTIFIER ::= { id-pkix 9 }
-- QCの個人的なデータ属性イド-pda OBJECT IDENTIFIERのためのアーク:、:= イド-pkix9
-- Arc for QC statements
id-qcs OBJECT IDENTIFIER ::= { id-pkix 11 }
-- QC声明イド-qcs OBJECT IDENTIFIERのためのアーク:、:= イド-pkix11
-- Personal data attributes
-- 個人的なデータ属性
id-pda-dateOfBirth AttributeType ::= { id-pda 1 }
id-pda-placeOfBirth AttributeType ::= { id-pda 2 }
id-pda-gender AttributeType ::= { id-pda 3 }
id-pda-countryOfCitizenship AttributeType ::= { id-pda 4 }
id-pda-countryOfResidence AttributeType ::= { id-pda 5 }
イド-pda-dateOfBirth AttributeType:、:= イド-pda1、イド-pda-placeOfBirth AttributeType:、:= イド-pda2イドpda性AttributeType:、:= イド-pda3、イド-pda-countryOfCitizenship AttributeType:、:= イド-pda4、イド-pda-countryOfResidence AttributeType:、:= イド-pda5
-- Certificate extensions
-- 証明書拡張子
id-pe-biometricInfo OBJECT IDENTIFIER ::= { id-pe 2 }
id-pe-qcStatements OBJECT IDENTIFIER ::= { id-pe 3 }
イド-pe-biometricInfoオブジェクト識別子:、:= イド-pe2、イド-pe-qcStatements OBJECT IDENTIFIER:、:= イド-pe3
Santesson, et al. Standards Track [Page 20] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[20ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
-- QC statements
-- QC声明
id-qcs-pkixQCSyntax-v1 OBJECT IDENTIFIER ::= { id-qcs 1 }
id-qcs-pkixQCSyntax-v2 OBJECT IDENTIFIER ::= { id-qcs 2 }
イド-qcs-pkixQCSyntax-v1オブジェクト識別子:、:= イド-qcs1、イド-qcs-pkixQCSyntax-v2 OBJECT IDENTIFIER:、:= イド-qcs2
-- Personal data attributes
-- 個人的なデータ属性
dateOfBirth ATTRIBUTE ::= {
WITH SYNTAX GeneralizedTime
ID id-pda-dateOfBirth }
dateOfBirthは以下を結果と考えます:= 構文GeneralizedTime IDイド-pda-dateOfBirth
placeOfBirth ATTRIBUTE ::= {
WITH SYNTAX DirectoryString {ub-name}
ID id-pda-placeOfBirth }
placeOfBirthは以下を結果と考えます:= 構文DirectoryStringと共にイド-pda-placeOfBirthとIDをub命名してください。
gender ATTRIBUTE ::= {
WITH SYNTAX PrintableString (SIZE(1) ^ FROM("M"|"F"|"m"|"f"))
ID id-pda-gender }
性ATTRIBUTE:、:= WITH SYNTAX PrintableString(SIZE(1)^FROM(「M」| 「F」|「m」|「f」))IDイドpda性
countryOfCitizenship ATTRIBUTE ::= {
WITH SYNTAX PrintableString (SIZE (2))
(CONSTRAINED BY { -- ISO 3166 codes only -- })
ID id-pda-countryOfCitizenship }
countryOfCitizenshipは以下を結果と考えます:= WITH SYNTAX PrintableString、(SIZE(2))(CONSTRAINED BY(ISO3166コード専用))IDイド-pda-countryOfCitizenship
countryOfResidence ATTRIBUTE ::= {
WITH SYNTAX PrintableString (SIZE (2))
(CONSTRAINED BY { -- ISO 3166 codes only -- })
ID id-pda-countryOfResidence }
countryOfResidenceは以下を結果と考えます:= WITH SYNTAX PrintableString、(SIZE(2))(CONSTRAINED BY(ISO3166コード専用))IDイド-pda-countryOfResidence
-- Certificate extensions
-- 証明書拡張子
-- Biometric info extension
-- バイオメトリックなインフォメーション拡張子
biometricInfo EXTENSION ::= {
SYNTAX BiometricSyntax
IDENTIFIED BY id-pe-biometricInfo }
biometricInfo拡張子:、:= イド-pe-biometricInfoによって特定された構文BiometricSyntax
BiometricSyntax ::= SEQUENCE OF BiometricData
BiometricSyntax:、:= BiometricDataの系列
BiometricData ::= SEQUENCE {
typeOfBiometricData TypeOfBiometricData,
hashAlgorithm AlgorithmIdentifier,
biometricDataHash OCTET STRING,
sourceDataUri IA5String OPTIONAL,
... -- For future extensions -- }
BiometricData:、:= 系列typeOfBiometricData TypeOfBiometricData、hashAlgorithm AlgorithmIdentifier、biometricDataHash OCTET STRING、sourceDataUri IA5String OPTIONAL、今後の拡大のための…
TypeOfBiometricData ::= CHOICE {
predefinedBiometricType PredefinedBiometricType,
TypeOfBiometricData:、:= 特選、predefinedBiometricType PredefinedBiometricType
Santesson, et al. Standards Track [Page 21] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[21ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
biometricDataOid OBJECT IDENTIFIER }
biometricDataOidオブジェクト識別子
PredefinedBiometricType ::= INTEGER {
picture(0), handwritten-signature(1)}
(picture|handwritten-signature,...)
PredefinedBiometricType:、:= INTEGERは(0)、手書きの署名(1)について描写します。(手書きの署名で|描写してください…)
-- QC Statements Extension -- NOTE: This extension does not allow to mix critical and -- non-critical Qualified Certificate Statements. Either all -- statements must be critical or all statements must be -- non-critical.
-- QC声明拡張子--以下に注意してください。 そして、この拡大がミックス重要に許容しない、--非臨界Qualified Certificate Statements。 すべて--すべての声明があるに違いありません--声明が重要であるに違いありませんか、または非臨界です。
qcStatements EXTENSION ::= {
SYNTAX QCStatements
IDENTIFIED BY id-pe-qcStatements }
qcStatements拡張子:、:= イド-pe-qcStatementsによって特定された構文QCStatements
QCStatements ::= SEQUENCE OF QCStatement
QCStatements:、:= QCStatementの系列
QCStatement ::= SEQUENCE {
statementId QC-STATEMENT.&id({SupportedStatements}),
statementInfo QC-STATEMENT.&Type
({SupportedStatements}{@statementId}) OPTIONAL }
QCStatement:、:= 系列statementId QC-STATEMENT statementInfo QC-STATEMENTイド(SupportedStatements)、タイプ、(SupportedStatements、@statementId)、任意
QC-STATEMENT ::= CLASS {
&id OBJECT IDENTIFIER UNIQUE,
&Type OPTIONAL }
WITH SYNTAX {
[SYNTAX &Type] IDENTIFIED BY &id }
QC-声明:、:= 属してください、イドが識別子ユニークであって、タイプ任意の状態で反対する、構文特定される、[構文とタイプ]イド
qcStatement-1 QC-STATEMENT ::= { SYNTAX SemanticsInformation
IDENTIFIED BY id-qcs-pkixQCSyntax-v1}
-- This statement identifies conformance with requirements
-- defined in RFC 3039 (Version 1). This statement
-- may optionally contain additional semantics information
-- as specified below.
qcStatement-1 QC-声明:、:= SYNTAX SemanticsInformation IDENTIFIED BYイド-qcs-pkixQCSyntax-v1--この声明は順応を要件と同一視します--RFC3039(バージョン1)では、定義されます。 この声明--任意に、以下で指定されるとして追加意味論情報を含むかもしれません。
qcStatement-2 QC-STATEMENT ::= { SYNTAX SemanticsInformation
IDENTIFIED BY id-qcs-pkixQCSyntax-v2}
-- This statement identifies conformance with requirements
-- defined in this Qualified Certificate profile
-- (Version 2). This statement may optionally contain
-- additional semantics information as specified below.
qcStatement-2 QC-声明:、:= SYNTAX SemanticsInformation IDENTIFIED BYイド-qcs-pkixQCSyntax-v2--この声明は要件(このQualified Certificateプロフィールでは、定義される)と順応を同一視します(バージョン2)。 この声明が任意に含むかもしれない、--以下で指定されるとしての追加意味論情報。
SemanticsInformation ::= SEQUENCE {
semanticsIdentifier OBJECT IDENTIFIER OPTIONAL,
nameRegistrationAuthorities NameRegistrationAuthorities OPTIONAL
}(WITH COMPONENTS {..., semanticsIdentifier PRESENT}|
WITH COMPONENTS {..., nameRegistrationAuthorities PRESENT})
SemanticsInformation:、:= 系列、semanticsIdentifierオブジェクト識別子任意で、nameRegistrationAuthorities NameRegistrationAuthorities任意(コンポーネント、…、semanticsIdentifierプレゼント|、コンポーネント、…、nameRegistrationAuthoritiesプレゼント)
Santesson, et al. Standards Track [Page 22] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[22ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
NameRegistrationAuthorities ::= SEQUENCE SIZE (1..MAX) OF GeneralName
NameRegistrationAuthorities:、:= GeneralNameの系列サイズ(1..MAX)
-- The following information object set is defined to constrain the
-- set of attributes applications are required to recognize as QCSs.
SupportedStatements QC-STATEMENT ::= {
qcStatement-1 |
qcStatement-2 , ... -- For future extensions -- }
-- 以下の情報オブジェクトセットが抑制するために定義される、--セットされて、属性アプリケーションが、QCSsとして認識するのに必要です。 SupportedStatements QC-声明:、:= qcStatement-1| qcStatement-2、今後の拡大のための…
END
終わり
B. A Note on Attributes
B。 属性に関する注
This document defines several new attributes, both for use in the subject field of issued certificates and in the subjectDirectoryAttributes extension. A complete definition of these new attributes (including matching rules), along with object classes to support them in LDAP-accessible directories, can be found in PKCS 9 [RFC 2985].
このドキュメントはいくつかの新しい属性を定義します、ともに発行された証明書の対象の分野とsubjectDirectoryAttributes拡張子における使用のために。 LDAPアクセス可能なディレクトリでそれらをサポートするオブジェクトのクラスと共にPKCS9[RFC2985]でこれらの新しい属性(規則を合わせるのを含んでいる)の完全な定義を見つけることができます。
C. Example Certificate
C。 例の証明書
This section contains the ASN.1 structure, an ASN.1 dump, and the DER-encoding of a certificate issued in conformance with this profile. The example has been developed with the help of the OSS ASN.1 compiler. The certificate has the following characteristics:
このセクションはASN.1構造を含みます、とASN.1はどさっと落として、証明書のDER-コード化はこのプロフィールによる順応で発行しました。 OSS ASN.1コンパイラの助けで例を開発してあります。 証明書には、以下の特性があります:
1. The certificate is signed with RSA and the SHA-1 hash
algorithm
1. 証明書はRSAとSHA-1ハッシュアルゴリズムを契約されます。
2. The issuer's distinguished name is (using the syntax specified
in [RFC 2253]): O=GMD - Forschungszentrum Informationstechnik
GmbH, C=DE
2. 発行人の分類名は([RFC2253]で指定された構文を使用します)です: O=GMD--Forschungszentrum Informationstechnik GmbH、C=DE
3. The subject's distinguished name is (using the syntax
specified in [RFC 2253]): GN=Petra+SN=Barzin, O=GMD
- Forschungszentrum Informationstechnik GmbH, C=DE
3. 対象の分類名は([RFC2253]で指定された構文を使用します)です: ペトラ+SN=Barzin、GN=O=GMD--Forschungszentrum Informationstechnik GmbH、C=DE
4. The certificate was issued on 1 February, 2004 and will expire
on 1 February, 2008
4. 証明書は、2004年2月1日に発行されて、2008年2月1日に期限が切れるでしょう。
5. The certificate contains a 1024 bit RSA key
5. 証明書は1024年のビットのRSAキーを含んでいます。
6. The certificate includes a critical key usage extension
exclusively indicating non-repudiation
6. 証明書は排他的に非拒否を示す重要な主要な用法拡大を含んでいます。
7. The certificate includes a certificate policy identifier
extension indicating the practices and procedures undertaken
by the issuing CA (object identifier 1.3.36.8.1.1). The
7. 証明書が習慣を示す証明書方針識別子拡張子と発行カリフォルニアによって引き受けられた手順を含んでいる、(オブジェクト識別子、1.3 .36 .8 .1 .1)。 The
Santesson, et al. Standards Track [Page 23] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[23ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
certificate policy object identifier is defined by TeleTrust,
Germany.
証明書政策目的識別子はTeleTrust、ドイツによって定義されます。
8. The certificate includes a subject directory attributes
extension containing the following attributes:
8. 証明書は以下の属性を含むテーマ別ディレクトリ属性拡張子を含んでいます:
date of birth: October, 14th 1971
place of birth: Darmstadt
country of citizenship:Germany
gender: Female
生年月日: 10月、出生の14番目の1971場所: 市民権のダルムシュタット国: ドイツ性: 女性
9. The certificate includes a qualified statement certificate
extension indicating that the naming registration authority's
name is "municipality@darmstadt.de".
9. 証明書は命名登録局の名前が" municipality@darmstadt.de "であると示す適切な声明証明書拡張子を含んでいます。
10. The certificate includes, in conformance with RFC 3280, an
authority key identifier extension.
10. 証明書はRFC3280との順応に権威の主要な識別子拡張子を含んでいます。
C.1. ASN.1 Structure
C.1。 ASN.1構造
C.1.1. Extensions
C.1.1。 拡大
Since extensions are DER-encoded already when placed in the structure to be signed, they are, for clarity, shown here in the value notation defined in [X.680].
既に署名されるために構造に置かれると拡大がDERによってコード化されているので、明快ために、それらはここ、[X.680]で定義された値の記法で見せられます。
C.1.1.1. The subjectDirectoryAttributes Extension
C.1.1.1。 subjectDirectoryAttributes拡張子
certSubjDirAttrs AttributesSyntax ::= {
{
type id-pda-countryOfCitizenship,
values {
PrintableString : "DE"
}
},
{
type id-pda-gender,
values {
PrintableString : "F"
}
},
{
type id-pda-dateOfBirth,
values {
GeneralizedTime : "197110141200Z"
}
},
{
certSubjDirAttrs AttributesSyntax:、:= PrintableString: イド-pda-countryOfCitizenship、値の「DE」をタイプして、イドのpda性をタイプして、PrintableString: 「F」を評価する、イド-pda-dateOfBirthをタイプしてください、とGeneralizedTime: "197110141200Z"は評価します。
Santesson, et al. Standards Track [Page 24] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[24ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
type id-pda-placeOfBirth,
values {
DirectoryString : utf8String : "Darmstadt"
}
}
}
イド-pda-placeOfBirth、値のDirectoryString:utf8String:「ダルムシュタット」をタイプしてください。 }
C.1.1.2. The keyUsage Extension
C.1.1.2。 keyUsage拡張子
certKeyUsage KeyUsage ::= {nonRepudiation}
certKeyUsage KeyUsage:、:= nonRepudiation
C.1.1.3. The certificatePolicies Extension
C.1.1.3。 certificatePolicies拡張子
certCertificatePolicies CertificatePoliciesSyntax ::= {
{
policyIdentifier {1 3 36 8 1 1}
}
}
certCertificatePolicies CertificatePoliciesSyntax:、:= policyIdentifier、1 3、36、8 1 1
C.1.1.4. The qcStatements Extension
C.1.1.4。 qcStatements拡張子
certQCStatement QCStatements ::= {
{
statementId id-qcs-pkixQCSyntax-v2,
statementInfo SemanticsInformation : {
nameRegistrationAuthorities {
rfc822Name : "municipality@darmstadt.de"
}
}
}
}
certQCStatement QCStatements:、:= statementIdイド-qcs-pkixQCSyntax-v2、statementInfo SemanticsInformation:、nameRegistrationAuthorities、rfc822Name: " municipality@darmstadt.de "
C.1.1.5. The authorityKeyIdentifier Extension
C.1.1.5。 authorityKeyIdentifier拡張子
certAKI AuthorityKeyIdentifier ::= {
keyIdentifier '000102030405060708090A0B0C0D0E0FFEDCBA98'H
}
certAKI AuthorityKeyIdentifier:、:= keyIdentifier'000102030405060708090A0B0C0D0E0FFEDCBA98'H、'
C.1.2. The Certificate
C.1.2。 証明書
The signed portion of the certificate is shown here in the value notation defined in [X.680]. Note that extension values are already DER encoded in this structure. Some values have been truncated for readability purposes.
証明書のサインされた部分はここ、[X.680]で定義された値の記法で示されます。 拡大値が既にこの構造でコード化されたDERであることに注意してください。 読み易さ目的のためにいくつかの値の先端を切ってあります。
certCertInfo CertificateInfo ::= {
version v3,
serialNumber 1234567890,
certCertInfo CertificateInfo:、:= バージョンv3、serialNumber1234567890
Santesson, et al. Standards Track [Page 25] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[25ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
signature
{
algorithm { 1 2 840 113549 1 1 5 },
parameters RSAParams : NULL
},
issuer rdnSequence :
{
{
{
type { 2 5 4 6 },
value PrintableString : "DE"
}
},
{
{
type { 2 5 4 10 },
value UTF8String :
}
}
},
validity
{
notBefore utcTime : "040201100000Z",
notAfter utcTime : "080201100000Z"
},
subject rdnSequence :
{
{
{
type { 2 5 4 6 },
value PrintableString : "DE"
}
},
{
{
type { 2 5 4 10 },
value UTF8String :
"GMD Forschungszentrum Informationstechnik GmbH"
}
},
{
{
type { 2 5 4 4 },
value UTF8String : "Barzin"
},
{
type { 2 5 4 42 },
value UTF8String : "Petra"
署名、アルゴリズム、1 2、840、113549、1 1 5、パラメタRSAParams: NULL、発行人rdnSequence: 値のPrintableString: 2 5 4 6、「DE」をタイプしてください、タイプ、2 5 4、10、UTF8Stringを評価してください:、正当性、notAfter utcTime: notBefore utcTime: "040201100000Z"、"080201100000Z"はrdnSequenceをかけます: 値のPrintableString: 2 5 4 6、「DE」をタイプしてください、タイプ、2 5 4、10、UTF8String: "GMD Forschungszentrum Informationstechnik GmbH"を評価してください、2 5 4 4をタイプしてください、とUTF8String: "Barzin"が評価する、タイプ、2 5 4、42、UTF8String: 「ペトラ」を評価してください。
Santesson, et al. Standards Track [Page 26] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[26ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
}
}
},
subjectPublicKeyInfo
{
algorithm
{
algorithm { 1 2 840 113549 1 1 1 },
parameters RSAParams : NULL
},
subjectPublicKey '30818902818100DCE74CD5...0203010001'H
},
extensions
{
{
extnId { 2 5 29 9 }, -- subjectDirectoryAttributes
extnValue '305B301006082B0601050507090...7374616474'H
},
{
extnId { 2 5 29 15 }, -- keyUsage
critical TRUE,
extnValue '03020640'H
},
{
extnId { 2 5 29 32 }, -- certificatePolicies
extnValue '3009300706052B24080101'H
},
{
extnId { 2 5 29 35 }, -- authorityKeyIdentifier
extnValue '30168014000102030405060708090A0B0C0D0E0FFEDCBA98'H
},
{
extnId { 1 3 6 1 5 5 7 1 3 }, -- qcStatements
extnValue '302B302906082B06010505070B0...4742E6465 'H
}
}
}
} } subjectPublicKeyInfo、アルゴリズム、アルゴリズム、1 2、840、113549、1 1 1、パラメタRSAParams: ヌル、subjectPublicKey'30818902818100DCE74CD5'…0203010001 'H、拡大、extnId、2 5、29、9、--subjectDirectoryAttributes extnValue'305B301006082B0601050507090…7374616474'H }, { extnId { 2 5 29 15 }, -- keyUsage critical TRUE, extnValue '03020640'H }, { extnId { 2 5 29 32 }, -- certificatePolicies extnValue '3009300706052B24080101'H }, { extnId { 2 5 29 35 }, -- authorityKeyIdentifier extnValue '30168014000102030405060708090A0B0C0D0E0FFEDCBA98'H }, { extnId { 1 3 6 1 5 5 7 1 3 }, -- qcStatements extnValue '302B302906082B06010505070B0...4742年の6465E'H、' } }
C.2. ASN.1 Dump
C.2。 ASN.1はどさっと落とします。
This section contains an ASN.1 dump of the signed portion of the certificate. Some values have been truncated for readability purposes.
このセクションは証明書のサインされた部分のASN.1ダンプを含みます。 読み易さ目的のためにいくつかの値の先端を切ってあります。
CertificateInfo SEQUENCE: tag = [UNIVERSAL 16] constructed; length = 633
version : tag = [0] constructed; length = 3
Version INTEGER: tag = [UNIVERSAL 2] primitive; length = 1
2
CertificateInfo系列: [UNIVERSAL16]が組み立てたタグ=。 長さは633バージョンと等しいです: [0]が組み立てたタグ=。 長さは3バージョンINTEGERと等しいです: タグは[UNIVERSAL2]と原始的に等しいです。 長さは1 2と等しいです。
Santesson, et al. Standards Track [Page 27] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[27ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
serialNumber CertificateSerialNumber INTEGER: tag = [UNIVERSAL 2]
primitive; length = 4
1234567890
signature AlgorithmIdentifier SEQUENCE: tag = [UNIVERSAL 16]
constructed; length = 13
algorithm OBJECT IDENTIFIER: tag = [UNIVERSAL 6]
primitive; length = 9
{ 1 2 840 113549 1 1 5 }
parameters OpenType
NULL
issuer Name CHOICE
rdnSequence RDNSequence SEQUENCE OF: tag = [UNIVERSAL 16]
constructed; length = 72
RelativeDistinguishedName SET OF: tag = [UNIVERSAL 17]
constructed; length = 11
AttributeTypeAndValue SEQUENCE: tag = [UNIVERSAL 16]
constructed; length = 9
type OBJECT IDENTIFIER: tag = [UNIVERSAL 6]
primitive; length = 3
{ 2 5 4 6 } -- id-at-countryName
value PrintableString
"DE"
RelativeDistinguishedName SET OF: tag = [UNIVERSAL 17]
constructed; length = 57
AttributeTypeAndValue SEQUENCE: tag = [UNIVERSAL 16]
constructed; length = 55
type OBJECT IDENTIFIER: tag = [UNIVERSAL 6]
primitive; length = 3
{ 2 5 4 10 } -- id-at-organizationName
value UTF8String
"GMD Forschungszentrum Informationstechnik GmbH"
validity Validity SEQUENCE: tag = [UNIVERSAL 16]
constructed; length = 30
notBefore Time CHOICE
utcTime UTCTime: tag = [UNIVERSAL 23] primitive; length = 13
040201100000Z
notAfter Time CHOICE
utcTime UTCTime: tag = [UNIVERSAL 23] primitive; length = 13
080201100000Z
subject Name CHOICE
rdnSequence RDNSequence SEQUENCE OF: tag = [UNIVERSAL 16]
constructed; length = 101
RelativeDistinguishedName SET OF: tag = [UNIVERSAL 17]
constructed; length = 11
AttributeTypeAndValue SEQUENCE: tag = [UNIVERSAL 16]
constructed; length = 9
type OBJECT IDENTIFIER: tag = [UNIVERSAL 6]
primitive; length = 3
serialNumber CertificateSerialNumber整数: タグは[UNIVERSAL2]と原始的に等しいです。 長さは4 1234567890署名AlgorithmIdentifier SEQUENCEと等しいです: [UNIVERSAL16]が組み立てたタグ=。 長さは13アルゴリズムOBJECT IDENTIFIERと等しいです: タグは[UNIVERSAL6]と原始的に等しいです。 長さ=9、1 2、840、113549、1 1 5、パラメタOpenType NULL発行人Name CHOICE rdnSequence RDNSequence SEQUENCE OF: [UNIVERSAL16]が組み立てたタグ=。 長さは72RelativeDistinguishedName SET OFと等しいです: [UNIVERSAL17]が組み立てたタグ=。 長さは11AttributeTypeAndValue SEQUENCEと等しいです: [UNIVERSAL16]が組み立てたタグ=。 長さ=9はOBJECT IDENTIFIERをタイプします: タグは[UNIVERSAL6]と原始的に等しいです。 長さはPrintableString「DE」RelativeDistinguishedNameがセットした3countryNameの2 5 4 6--イド価値と等しいです: [UNIVERSAL17]が組み立てたタグ=。 長さは57AttributeTypeAndValue SEQUENCEと等しいです: [UNIVERSAL16]が組み立てたタグ=。 長さ=55はOBJECT IDENTIFIERをタイプします: タグは[UNIVERSAL6]と原始的に等しいです。 長さ=3、2 5 4、10、--organizationNameのイド値のUTF8String"GMD Forschungszentrum Informationstechnik GmbH"の正当性Validity SEQUENCE: [UNIVERSAL16]が組み立てたタグ=。 長さは30notBefore Time CHOICE utcTime UTCTimeと等しいです: タグは[UNIVERSAL23]と原始的に等しいです。 長さは13 040201100000Z notAfter Time CHOICE utcTime UTCTimeと等しいです: タグは[UNIVERSAL23]と原始的に等しいです。 長さは13 080201100000Zの対象のName CHOICE rdnSequence RDNSequence SEQUENCE OFと等しいです: [UNIVERSAL16]が組み立てたタグ=。 長さは101RelativeDistinguishedName SET OFと等しいです: [UNIVERSAL17]が組み立てたタグ=。 長さは11AttributeTypeAndValue SEQUENCEと等しいです: [UNIVERSAL16]が組み立てたタグ=。 長さ=9はOBJECT IDENTIFIERをタイプします: タグは[UNIVERSAL6]と原始的に等しいです。 長さ=3
Santesson, et al. Standards Track [Page 28] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[28ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
{ 2 5 4 6 } -- id-at-countryName
value PrintableString
"DE"
RelativeDistinguishedName SET OF: tag = [UNIVERSAL 17]
constructed; length = 55
AttributeTypeAndValue SEQUENCE: tag = [UNIVERSAL 16]
constructed; length = 53
type OBJECT IDENTIFIER: tag = [UNIVERSAL 6]
primitive; length = 3
{ 2 5 4 10 } -- id-at-organizationName
value UTF8String
"GMD Forschungszentrum Informationstechnik GmbH"
RelativeDistinguishedName SET OF: tag = [UNIVERSAL 17]
constructed; length = 29
AttributeTypeAndValue SEQUENCE: tag = [UNIVERSAL 16]
constructed; length = 13
type OBJECT IDENTIFIER: tag = [UNIVERSAL 6]
primitive; length = 3
{ 2 5 4 4 } -- id-at-surname
value UTF8String
"Barzin"
AttributeTypeAndValue SEQUENCE: tag = [UNIVERSAL 16]
constructed; length = 12
type OBJECT IDENTIFIER: tag = [UNIVERSAL 6]
primitive; length = 3
{ 2 5 4 42 } -- id-at-givenName
value UTF8String
"Petra"
subjectPublicKeyInfo SubjectPublicKeyInfo SEQUENCE:
tag = [UNIVERSAL 16] constructed; length = 159
algorithm AlgorithmIdentifier SEQUENCE: tag = [UNIVERSAL 16]
constructed; length = 13
algorithm OBJECT IDENTIFIER: tag = [UNIVERSAL 6]
primitive; length = 9
{ 1 2 840 113549 1 1 1 } -- rsaEncryption
parameters OpenType
NULL
subjectPublicKey BIT STRING: tag = [UNIVERSAL 3]
primitive; length = 141
0x0030818902818100dce74cd5a1d55aeb01cf5ecc20f3c3fca787...
extensions : tag = [3] constructed; length = 233
Extensions SEQUENCE OF: tag = [UNIVERSAL 16]
constructed; length = 230
Extension SEQUENCE: tag = [UNIVERSAL 16]
constructed; length = 100
extnId OBJECT IDENTIFIER: tag = [UNIVERSAL 6]
primitive; length = 3
{ 2 5 29 9 } -- id-ce-subjectDirectoryAttributes
2 5 4 6--countryNameのイド値のPrintableString「DE」RelativeDistinguishedNameはセットしました: [UNIVERSAL17]が組み立てたタグ=。 長さは55AttributeTypeAndValue SEQUENCEと等しいです: [UNIVERSAL16]が組み立てたタグ=。 長さ=53はOBJECT IDENTIFIERをタイプします: タグは[UNIVERSAL6]と原始的に等しいです。 長さ=3、2 5 4、10、--organizationNameのイド値のUTF8String"GMD Forschungszentrum Informationstechnik GmbH"RelativeDistinguishedName SET OF: [UNIVERSAL17]が組み立てたタグ=。 長さは29AttributeTypeAndValue SEQUENCEと等しいです: [UNIVERSAL16]が組み立てたタグ=。 長さ=13はOBJECT IDENTIFIERをタイプします: タグは[UNIVERSAL6]と原始的に等しいです。 長さは3姓におけるイド値のUTF8String2 5 4 4--"Barzin"AttributeTypeAndValue SEQUENCEと等しいです: [UNIVERSAL16]が組み立てたタグ=。 長さ=12はOBJECT IDENTIFIERをタイプします: タグは[UNIVERSAL6]と原始的に等しいです。 長さ=3、2 5 4、42、--givenNameのイド値のUTF8String「ペトラ」subjectPublicKeyInfo SubjectPublicKeyInfo SEQUENCE: [UNIVERSAL16]が組み立てたタグ=。 長さは159アルゴリズムAlgorithmIdentifier SEQUENCEと等しいです: [UNIVERSAL16]が組み立てたタグ=。 長さは13アルゴリズムOBJECT IDENTIFIERと等しいです: タグは[UNIVERSAL6]と原始的に等しいです。 長さ=9、1 2、840、113549、1 1 1、--rsaEncryptionパラメタOpenType NULL subjectPublicKey BIT STRING: タグは[UNIVERSAL3]と原始的に等しいです。 長さは141の0x0030818902818100dce74cd5a1d55aeb01cf5ecc20f3c3fca787…拡張子と等しいです: [3]が組み立てたタグ=。 長さは233Extensions SEQUENCE OFと等しいです: [UNIVERSAL16]が組み立てたタグ=。 長さは230Extension SEQUENCEと等しいです: [UNIVERSAL16]が組み立てたタグ=。 長さは100extnId OBJECT IDENTIFIERと等しいです: タグは[UNIVERSAL6]と原始的に等しいです。 長さ=3、2 5、29、9、--、イドCe subjectDirectoryAttributes
Santesson, et al. Standards Track [Page 29] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[29ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
extnValue OCTET STRING: tag = [UNIVERSAL 4]
primitive; length = 93
0x305b301006082b06010505070904310413024445300f06082...
Extension SEQUENCE: tag = [UNIVERSAL 16]
constructed; length = 14
extnId OBJECT IDENTIFIER: tag = [UNIVERSAL 6]
primitive; length = 3
{ 2 5 29 15 } -- id-ce-keyUsage
critical BOOLEAN: tag = [UNIVERSAL 1] primitive; length = 1
TRUE
extnValue OCTET STRING: tag = [UNIVERSAL 4]
primitive; length = 4
0x03020640
Extension SEQUENCE: tag = [UNIVERSAL 16]
constructed; length = 18
extnId OBJECT IDENTIFIER: tag = [UNIVERSAL 6]
primitive; length = 3
{ 2 5 29 32 } -- id-ce-certificatePolicies
extnValue OCTET STRING: tag = [UNIVERSAL 4]
primitive; length = 11
0x3009300706052b24080101
Extension SEQUENCE: tag = [UNIVERSAL 16]
constructed; length = 31
extnId OBJECT IDENTIFIER: tag = [UNIVERSAL 6]
primitive; length = 3
{ 2 5 29 35 } -- id-ce-authorityKeyIdentifier
extnValue OCTET STRING: tag = [UNIVERSAL 4]
primitive; length = 24
0x30168014000102030405060708090a0b0c0d0e0ffedcba98
Extension SEQUENCE: tag = [UNIVERSAL 16]
constructed; length = 57
extnId OBJECT IDENTIFIER: tag = [UNIVERSAL 6]
primitive; length = 8
{ 1 3 6 1 5 5 7 1 3 } -- id-pe-qcStatements
extnValue OCTET STRING: tag = [UNIVERSAL 4]
primitive; length = 45
0x302b302906082b06010505070b02301d301b81196d756e696...
extnValue八重奏ストリング: タグは[UNIVERSAL4]と原始的に等しいです。 長さは93 0x305b301006082b06010505070904310413024445300f06082と等しいです… 拡大系列: [UNIVERSAL16]が組み立てたタグ=。 長さは14extnId OBJECT IDENTIFIERと等しいです: タグは[UNIVERSAL6]と原始的に等しいです。 長さ=3、2 5、29 15、--、イドCe keyUsage、批判的である、ブール: タグは[UNIVERSAL1]と原始的に等しいです。 長さは1TRUE extnValue OCTET STRINGと等しいです: タグは[UNIVERSAL4]と原始的に等しいです。 長さ=4 0x03020640のExtension SEQUENCE: [UNIVERSAL16]が組み立てたタグ=。 長さは18extnId OBJECT IDENTIFIERと等しいです: タグは[UNIVERSAL6]と原始的に等しいです。 長さ=3、2 5、29 32、--、イドCe certificatePolicies extnValue OCTET STRING、: タグは[UNIVERSAL4]と原始的に等しいです。 長さは11 0x3009300706052b24080101 Extension SEQUENCEと等しいです: [UNIVERSAL16]が組み立てたタグ=。 長さは31extnId OBJECT IDENTIFIERと等しいです: タグは[UNIVERSAL6]と原始的に等しいです。 長さ=3、2 5、29 35、--、イドCe authorityKeyIdentifier extnValue OCTET STRING、: タグは[UNIVERSAL4]と原始的に等しいです。 長さは24 0x30168014000102030405060708090a0b0c0d0e0ffedcba98 Extension SEQUENCEと等しいです: [UNIVERSAL16]が組み立てたタグ=。 長さは57extnId OBJECT IDENTIFIERと等しいです: タグは[UNIVERSAL6]と原始的に等しいです。 長さ=8 1 3 6 1 5 5 7 1 3--、イド-pe-qcStatements extnValue OCTET STRING: タグは[UNIVERSAL4]と原始的に等しいです。 長さは45 0x302b302906082b06010505070b02301d301b81196d756e696と等しいです…
C.3 DER-encoding
C.3 DER-コード化
This section contains the full, DER-encoded certificate, in hex.
このセクションは十六進法に完全で、DERによってコード化された証明書を含みます。
30820310 30820279 A0030201 02020449 9602D230 0D06092A 864886F7 0D010105 05003048 310B3009 06035504 06130244 45313930 37060355 040A0C30 474D4420 2D20466F 72736368 756E6773 7A656E74 72756D20 496E666F 726D6174 696F6E73 74656368 6E696B20 476D6248 301E170D 30343032 30313130 30303030 5A170D30 38303230 31313030 3030305A 3065310B 30090603 55040613 02444531 37303506 0355040A 0C2E474D 4420466F 72736368 756E6773 7A656E74 72756D20 496E666F
30820310 30820279A0030201 02020449 9602D230 0D06092A 864886F7 0D010105 05003048 310B3009 06035504 06130244 45313930 37060355 040A0C30 474D4420 2D20466F72736368 756 6773Eの7A656E74 72756D20 496 666EのF726D6174 696F6E73 74656368 6E696B20 476D6248 301E170D30343032 30313130 30303030 5A170D30 38303230 31313030 3030305A 3065310B30090603 55040613 02444531 37303506 0355040A 0C2E474D4420466F72736368 756 6773 7A656E74 72756D20 496E666E F
Santesson, et al. Standards Track [Page 30] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[30ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
726D6174 696F6E73 74656368 6E696B20 476D6248 311D300C 06035504 2A0C0550 65747261 300D0603 5504040C 06426172 7A696E30 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 DCE74CD5 A1D55AEB 01CF5ECC 20F3C3FC A787CFCB 571A21AA 8A20AD5D FF015130 DE724E5E D3F95392 E7BB16C4 A71D0F31 B3A9926A 8F08EA00 FDC3A8F2 BB016DEC A3B9411B A2599A2A 8CB655C6 DFEA25BF EDDC73B5 94FAA0EF E595C612 A6AE5B8C 7F0CA19C EC4FE7AB 60546768 4BB2387D 5F2F7EBD BC3EF0A6 04F6B404 01176925 02030100 01A381E9 3081E630 64060355 1D09045D 305B3010 06082B06 01050507 09043104 13024445 300F0608 2B060105 05070903 31031301 46301D06 082B0601 05050709 01311118 0F313937 31313031 34313230 3030305A 30170608 2B060105 05070902 310B0C09 4461726D 73746164 74300E06 03551D0F 0101FF04 04030206 40301206 03551D20 040B3009 30070605 2B240801 01301F06 03551D23 04183016 80140001 02030405 06070809 0A0B0C0D 0E0FFEDC BA983039 06082B06 01050507 0103042D 302B3029 06082B06 01050507 0B02301D 301B8119 6D756E69 63697061 6C697479 40646172 6D737461 64742E64 65300D06 092A8648 86F70D01 01050500 03818100 8F8C80BB B2D86B75 F4E21F82 EFE0F20F 6C558890 A6E73118 8359B9C7 8CE71C92 0C66C600 53FBC924 825090F2 95B08826 EAF3FF1F 5917C80B B4836129 CFE5563E 78592B5B B0F9ACB5 2915F0F2 BC36991F 21436520 E9064761 D932D871 F71FFEBD AD648FA7 CF3C1BC0 96F112D4 B882B39F E1A16A90 AE1A80B8 A9676518 B5AA7E97
726D6174 696F6E73 74656368 6E696B20 476D6248 311D300C06035504 2A0C0550 65747261 300D0603 5504040C06426172 7A696E30 819F300D 06092A86 4886F70D 01010105 0003818D00308189 02818100DCE74CD5 A1D55AEB 01CF5ECC 20F3C3FC A787CFCB 571A21AA 8A20AD5D FF015130 DE724E5E; 630EのD3F95392E7BB16C4 A71D0F31 B3A9926A 8F08EA00FDC3A8F2 BB016DEC A3B9411B A2599A2A 8CB655C6 DFEA25BF EDDC73B5 94FAA0EF E595C612 A6AE5B8C 7F0CA19C EC4FE7AB60546768 4BB2387D 5F2F7EBD BC3EF0A6 04F6B404 01176925 02030100 01A381E9 3081 64060355 1D09045D; 305B3010 06082B06 01050507 09043104 13024445 300F0608 2B060105 05070903 31031301 46301D06 082B0601 05050709 01311118 0F313937 31313031 34313230 3030305A30170608 2B060105 05070902 310B0C09 4461726D73746164 74300E06 03551D0F 0101FF04 04030206 40301206 03551D20 040B3009 30070605 2B240801 01301F06 03551D23 04183016 80140001 02030405 06070809 0A0B0C0D0E0FFEDC BA983039 06082B06 01050507 0103042D302B3029 06082B06 01050507 0B02301D 301B8119 6D756E69 63697061 6C697479 40646172 6D737461 64742E64 65300D06 092A8648 86F70D01 01050500 03818100 8F8C80BB B2D86B75 F4E21F82EFE0F20F 6C558890 A6E73118 8359B9C7 8CE71C92 0C66C600 53FBC924 825090F2 95B08826 EAF3FF1F 5917C80B B4836129 CFE5563E 78592B5B B0F9ACB5 2915F0F2 BC36991F21436520E9064761D932D871 F71FFEBD AD648FA7 CF3C1BC0 96F112D4 B882B39F E1A16A90 AE1A80B8 A9676518 B5AA7E97
C.4. CA's Public RSA Key
C.4。 CAの公共のRSAキー
This section contains the DER-encoded public RSA key of the CA who signed the example certificate. It is included with the purpose of simplifying verifications of the example certificate.
このセクションは例の証明書にサインしたカリフォルニアのDERによってコード化された公共のRSAキーを含みます。 それは例の証明書の検証を簡素化する目的で含まれています。
30818902818100c88f4bdb66f713ba3dd7a9069880e888d4321acb53cda7fcdf da89b834e25430b956d46a438baa6798035af30db378424e00a8296b012b1b24 f9cf0b3f83be116cd8a36957dc3f54cbd7c58a10c380b3dfa15bd2922ea8660f 96e1603d81357c0442ad607c5161d083d919fd5307c1c3fa6dfead0e6410999e 8b8a8411d525dd0203010001
30818902818100c88f4bdb66f713ba3dd7a9069880e888d4321acb53cda7fcdf da89b834e25430b956d46a438baa6798035af30db378424e00a8296b012b1b24f9cf0b3f83be116cd8a36957dc3f54cbd7c58a10c380b3dfa15bd2922ea8660f96e1603d81357c0442ad607c5161d083d919fd5307c1c3fa6dfead0e6410999e8b8a8411d525dd0203010001
References
参照
Normative References
引用規格
[RFC 2119] Bradner, S., "Key words for use in RFCs to Indicate
Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] ブラドナー、S.、「Indicate Requirement LevelsへのRFCsにおける使用のためのキーワード」、BCP14、RFC2119、1997年3月。
[RFC 2247] Kille, S., Wahl, M., Grimstad, A., Huber R. and S.
Sataluri, "Using Domains in LDAP/X.500 Distinguished
Names", RFC 2247, January 1998.
[RFC2247] KilleとS.とウォールとM.とグリムスターとA.とヒューバーR.とS.Sataluri、「LDAP/X.500分類名にドメインを使用します」、RFC2247、1998年1月。
[RFC 2818] Rescorla, E., "HTTP Over TLS", RFC 2818, May 2000.
[RFC2818] レスコラ(E.、「TLSの上のHTTP」、RFC2818)は2000がそうするかもしれません。
Santesson, et al. Standards Track [Page 31] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[31ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
[RFC 2985] Nystrom, M. and B. Kaliski, "PKCS #9: Selected Object
Classes and Attribute Types Version 2.0", RFC 2985,
November 2000.
[RFC2985] ニストロム、M.、およびB.Kaliski、「PKCS#9:」 選択された物は属します、そして、属性は2000年11月にバージョン2インチ、RFC2985をタイプします。
[RFC 3280] Housley, R., Polk, W., Ford, W. and D. Solo, "Internet
X.509 Public Key Infrastructure: Certificate and
Certificate Revocation List (CRL) Profile", RFC 3280,
April 2002.
[RFC3280] Housley、R.、ポーク、W.、フォード、W.、およびD.が独奏される、「インターネットX.509公開鍵基盤:」 「証明書と証明書失効リスト(CRL)プロフィール」、RFC3280、2002年4月。
[X.509] ITU-T Recommendation X.509 (2000) | ISO/IEC 9594-8:2001,
Information technology - Open Systems Interconnection -
The Directory: Public-key and attribute certificate
frameworks
[X.509]ITU-T推薦X.509(2000)| 情報技術--オープン・システム・インターコネクション--ISO/IEC9594-8:2001、ディレクトリ: 公開カギと属性証明書枠組み
[X.520] ITU-T Recommendation X.520 (2001) | ISO/IEC 9594-6:2001,
Information Technology - Open Systems Interconnection -
The Directory: Selected Attribute Types, 2001.
[X.520]ITU-T推薦X.520(2001)| 情報技術--オープン・システム・インターコネクション--ISO/IEC9594-6:2001、ディレクトリ: 属性タイプ、2001を選択しました。
[X.680] ITU-T Recommendation X.680 (2002) | ISO/IEC 8824-1:2002),
Information Technology - Abstract Syntax Notation One,
2002.
[X.680]ITU-T推薦X.680(2002)| ISO/IEC8824-1:2002) 情報技術--抽象構文記法1、2002。
[ISO 3166] ISO 3166-1:1997, Codes for the representation of names of
countries, 1997.
[ISO3166] ISO3166-1:1997、国、1997年の名前の表現のためのCodes。
[HTTP/1.1] Fielding, R., Gettys, J., Mogul, J., Frystyk, H.,
Masinter, L., Leach, P. and T. Berners-Lee, "Hypertext
Transfer Protocol -- HTTP/1.1", RFC 2616, June 1999.
[HTTP/1.1]フィールディング、R.、Gettys、J.、ムガール人、J.、Frystyk、H.、Masinter、L.、リーチ、P.、およびT.バーナーズ・リー、「HTTP/1.1インチ、RFC2616、1999年ハイパーテキスト転送プロトコル--6月」。
Informative References
有益な参照
[X.501] ITU-T recommendation X.501 (2001) | ISO/IEC 9594-2:2001,
Information Technology - Open Systems Interconnection -
The Directory: Models, 2001.
[X.501]ITU-T推薦X.501(2001)| 情報技術--オープン・システム・インターコネクション--ISO/IEC9594-2:2001、ディレクトリ: モデル、2001。
[EU-ESDIR] Directive 1999/93/EC of the European Parliament and of the
Council of 13 December 1999 on a Community framework for
electronic signatures, 1999.
[EU-ESDIR] 電子署名、1999年のCommunity枠組みにおける欧州議会と1999年12月13日のCouncilの指示1999/93/EC。
[RFC 2253] Wahl, M., Kille, S. and T. Howes, "Lightweight Directory
Access Protocol (v3): UTF-8 String Representation of
Distinguished Names", RFC 2253, December 1997.
[RFC2253] ウォール、M.、Kille、S.、およびT.ハウズ、「軽量のディレクトリアクセスは(v3)について議定書の中で述べます」。 「分類名のUTF-8ストリング表現」、RFC2253、1997年12月。
Santesson, et al. Standards Track [Page 32] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[32ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
Authors' Addresses
作者のアドレス
Stefan Santesson Microsoft Denmark Tuborg Boulevard 12 DK-2900 Hellerup Denmark
ステファンSantessonマイクロソフトデンマークTuborg Boulevard12DK-2900 Hellerupデンマーク
EMail: stefans@microsoft.com
メール: stefans@microsoft.com
Tim Polk NIST Building 820, Room 426 Gaithersburg, MD 20899, USA
ゲイザースバーグ、MD 20899、米国を820、部屋426に造るティムポークNIST
EMail: wpolk@nist.gov
メール: wpolk@nist.gov
Magnus Nystrom RSA Security Box 10704 S-121 29 Stockholm Sweden
マグヌス・ニストロム・RSAセキュリティ箱10704秒間-121 29のストックホルムスウェーデン
EMail: magnus@rsasecurity.com
メール: magnus@rsasecurity.com
Santesson, et al. Standards Track [Page 33] RFC 3739 Qualified Certificates Profile March 2004
Santesson、他 標準化過程[33ページ]RFC3739は2004年のプロフィール行進のときに証明書に資格を与えました。
Full Copyright Statement
完全な著作権宣言文
Copyright (C) The Internet Society (2004). This document is subject to the rights, licenses and restrictions contained in BCP 78 and except as set forth therein, the authors retain all their rights.
Copyright(C)インターネット協会(2004)。 このドキュメントはBCP78に含まれた権利、ライセンス、および制限を受けることがあります、そして、そこに詳しく説明されるのを除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントと「そのままで」という基礎と貢献者、その人が代表する組織で提供するか、または後援されて、インターネット協会とインターネット・エンジニアリング・タスク・フォースはすべての保証を放棄します、と急行ORが含意したということであり、他を含んでいて、ここに含まれて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるという情報か市場性か特定目的への適合性のどんな黙示的な保証。
Intellectual Property
知的所有権
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFはどんなIntellectual Property Rightsの正当性か範囲、実現に関係すると主張されるかもしれない他の権利、本書では説明された技術の使用またはそのような権利の下におけるどんなライセンスも利用可能であるかもしれない、または利用可能でないかもしれない範囲に関しても立場を全く取りません。 または、それはそれを表しません。どんなそのような権利も特定するためのどんな独立している努力もしました。 BCP78とBCP79でRFCドキュメントの権利に関する手順に関する情報を見つけることができます。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPR公開のコピーが利用可能に作られるべきライセンスの保証、または一般的な免許を取得するのが作られた試みの結果をIETF事務局といずれにもしたか、または http://www.ietf.org/ipr のIETFのオンラインIPR倉庫からこの仕様のimplementersかユーザによるそのような所有権の使用のために許可を得ることができます。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFはこの規格を実行するのに必要であるかもしれない技術をカバーするかもしれないどんな著作権もその注目していただくどんな利害関係者、特許、特許出願、または他の所有権も招待します。 ietf-ipr@ietf.org のIETFに情報を記述してください。
Acknowledgement
承認
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。
Santesson, et al. Standards Track [Page 34]
Santesson、他 標準化過程[34ページ]
一覧
スポンサーリンク
