付録B 証明書および CRL のデフォルト、制約、および拡張
B.1. デフォルトの参照
B.1.1. Authority Info Access 拡張のデフォルト
- Extension Constraint は、「拡張制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
表B.1 Authority Info Access Extension のデフォルト設定パラメーター
パラメーター | 説明 |
---|---|
Critical | この拡張機能に critical マークを付けるには true を選択してください。noncritical マークを付けるには false を選択してください。 |
Method_n |
拡張機能が表示されている証明書を発行した CA に関する追加情報を取得するアクセス方法を指定します。以下の値のいずれかになります。
|
LocationType_n | 証明書を発行した CA に関する追加情報を含む場所の一般名タイプを指定します。これは以下のいずれかのタイプになります。
|
Location_n |
証明書を発行した CA に関する追加情報を取得するためのアドレスまたは場所を指定します。
|
Enable_n | この場所を有効にするかどうかを指定します。true を選択してセットとしてマークします。false を選択して無効にします。 |
B.1.2. Authority Key Identifier 拡張機能のデフォルト
- No Constraints は、「No Constraint」 を参照してください。
B.1.3. 認証トークンサブジェクト名のデフォルト
- No Constraints は、「No Constraint」 を参照してください。
B.1.4. 基本的な制約拡張機能のデフォルト
- Basic Constraints 拡張機能制約は、「Basic Constraints 拡張機能制約」を参照してください。
- Extension Constraint は、「拡張制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
表B.2 基本的な制約エクステンションのデフォルト設定パラメーター
パラメーター | 説明 |
---|---|
Critical | この拡張機能に critical マークを付けるには true を選択してください。noncritical マークを付けるには false を選択してください。 |
IsCA | 証明書サブジェクトが CA であるかどうかを指定します。true の場合、サーバーは PathLen パラメーターをチェックして、証明書に指定したパスの長さを設定します。false の場合、サーバーは証明書のサブジェクトを CA 以外として処理し、PathLen パラメーターに指定された値を無視します。 |
PathLen |
パスの長さ、つまり発行されている従属 CA 証明書の下 (従属) にチェーンできる CA 証明書の最大数を指定します。パスの長さは、証明書の検証時に使用する CA 証明書の数に影響します。このチェーンは、チェーンを検証して上に移動させるエンドエンティティー証明書で始まります。
拡張がエンドエンティティー証明書に設定されている場合、maxPathLen パラメーターは機能しません。
許容値は 0 または n です。値は、CA 署名証明書の Basic Constraint 拡張で指定されたパスの長さよりも短くする必要があります。0 は、従属 CA 証明書の下に従属 CA 証明書を許可しないことを指定します。パスをたどることができるのは、エンドエンティティー証明書のみです。n は、ゼロよりも大きい整数でなければなりません。従属 CA 証明書の下で許可される従属 CA 証明書の最大数を指定します。
フィールドが空白の場合、パスの長さはデフォルトで、発行者の証明書の Basic Constraint 拡張機能で設定されたパスの長さによって決定されます。発行者のパスの長さが無制限の場合は、下位 CA 証明書のパスの長さも無制限になります。発行者のパス長がゼロより大きい整数の場合、下位 CA 証明書のパス長は、発行者のパス長より 1 小さい値に設定されます。たとえば、発行者のパス長が 4 の場合、下位 CA 証明書のパス長は 3 に設定されます。
|
B.1.5. CA 有効性のデフォルト
- Validity 制約の場合は、「Validity 制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
表B.3 CA 有効性のデフォルトパラメーター
パラメーター | 説明 |
---|---|
bypassCAnotafterrange | 要求側の CA が、発行側の CA の有効期間を超えて有効期間が延長された証明書を要求できるかどうかのデフォルト値を設定します。 |
range | この証明書の絶対有効期間を日数で指定します。 |
startTime | 現在の時間に基づいて有効期間が始まるタイミングを設定します。 |
B.1.6. 証明書ポリシーの拡張機能のデフォルト
表B.4 証明書ポリシー拡張のデフォルト設定パラメーター
パラメーター | 説明 |
---|---|
Critical | この拡張機能に critical マークを付けるには true を選択してください。noncritical マークを付けるには false を選択してください。 |
numCertPolicies | 定義できるポリシーの数を指定します。デフォルトは 5 です。 |
enable | true を選択してポリシーを有効にします。false を選択してポリシーを無効にします。 |
policyId | ポリシーの OID 識別子を指定します。 |
cpsURI.enable | 拡張機能には、発行者 Certificate Practice Statement への URI を含めることができます。true を選択して URI を有効にします。false を選択して URI を無効にします。 |
CPSURI.value | この値は、CA によって公開される Certification Practice Statement (CPS) へのポインターです。ポインターは URI の形式になります。 |
usernotice.enable | 拡張機能には、発行者の Certificate Practice Statement への URI を含めることも、ユーザー通知などの発行者情報をテキスト形式で埋め込むこともできます。true を選択してユーザー通知を有効にします。false を選択してユーザー通知を無効にします。 |
usernotice.noticeReference.noticeNumbers | この任意のユーザー通知パラメーターは、他の場所に保存されているメッセージを指す一連の番号です。 |
usernotice.noticeReference.organization | このオプションのユーザー通知パラメーターは会社名を指定します。 |
usernotice.explicitText.value | この任意のユーザー通知パラメーターには、証明書内のメッセージが含まれます。 |
B.1.7. CRL Distribution Points 拡張機能のデフォルト
- Extension Constraint は、「拡張制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
表B.5 CRL Distribution Points 拡張設定パラメーター
パラメーター | 説明 |
---|---|
Critical | この拡張機能に critical マークを付けるには true を選択してください。noncritical マークを付けるには false を選択してください。 |
Type_n | CRL ディストリビューションポイントのタイプを指定します。許容値は DirectoryName、URIName、または RelativeToIssuer です。型は、Name フィールドの値に対応する必要があります。 |
Name_n |
CRL 配布ポイントの名前を指定します。名前は次のいずれかの形式にすることができます。
|
Reasons_n |
配布ポイントで保持される CRL で想定される失効理由を指定します。次の定数のコンマ区切りリストを提供します。
|
IssuerType_n |
ディストリビューション中に保持される CRL を署名した発行者の命名タイプを指定します。発行者名は以下のいずれかの形式になります。
|
IssuerName_n |
CRL に署名した CRL 発行者の名前を指定します。許容値は次のとおりです。
このパラメーターの値は、issuerName フィールドの値に対応している必要があります。
|
B.1.8. Extended Key Usage 拡張機能のデフォルト
表B.6 Extended Key Usage 拡張機能の PKIX 使用定義
使用方法 | OID |
---|---|
サーバー認証 | 1.3.6.1.5.5.7.3.1 |
クライアント認証 | 1.3.6.1.5.5.7.3.2 |
コード署名 | 1.3.6.1.5.5.7.3.3 |
E メール | 1.3.6.1.5.5.7.3.4 |
IPsec エンドシステム | 1.3.6.1.5.5.7.3.5 |
IPsec トンネル | 1.3.6.1.5.5.7.3.6 |
IPsec ユーザー | 1.3.6.1.5.5.7.3.7 |
タイムスタンプ | 1.3.6.1.5.5.7.3.8 |
- 拡張鍵の使用に関する制約。「拡張された鍵使用拡張制約」 を参照してください。
- Extension Constraint は、「拡張制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
表B.7 Extended Key Usage 拡張機能のデフォルト設定パラメーター
パラメーター | 説明 |
---|---|
Critical | この拡張機能に critical マークを付けるには true を選択してください。noncritical マークを付けるには false を選択してください。 |
OID | キー使用目的を識別する OID を指定します。許容値は、ドットで区切られた数値コンポーネント表記で指定された一意の有効な OID です。たとえば、2.16.840.1.113730.1.99 です。キーの使用目的に応じて、OID は PKIX (表B.6「Extended Key Usage 拡張機能の PKIX 使用定義」 にリストされている) またはカスタム OID で指定できます。カスタム OID は、会社で使用するために予約された ID の登録済みサブツリーである必要があります。CertificateCertificate Systemnbsp;System の評価とテストにカスタム OID を使用することは可能ですが、運用環境では、OID の定義と ID のサブツリーの登録に関する ISO 規則に準拠します。 |
B.1.9. Freshest CRL 拡張機能のデフォルト
- Extension Constraint は、「拡張制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
表B.8 Freshest CRL 拡張機能のデフォルト設定パラメーター
パラメーター | 説明 |
---|---|
Critical | この拡張機能に critical マークを付けるには true を選択してください。noncritical マークを付けるには false を選択してください。 |
PointEnable_n | true を選択してこのポイントを有効にします。false を選択してこのポイント を無効にします。 |
PointType_n | DirectoryName または URIName のいずれかの発行ポイントのタイプを指定します。 |
PointName_n |
|
PointIssuerName_n |
CRL に署名した発行者の名前を指定します。名前は以下のいずれかの形式になります。
name の値は、PointType_ で指定した形式に準拠する必要があります。
|
PointType_n | CRL に署名した CRL 発行者の一般的な名前タイプを指定します。許容値は次のとおりです。
|
B.1.10. 一般的な拡張機能のデフォルト
表B.9 一般的な拡張機能のデフォルト設定パラメーター
パラメーター | 説明 |
---|---|
Critical | この拡張機能に critical マークを付けるには true を選択してください。noncritical マークを付けるには false を選択してください。 |
genericExtOID | 拡張 OID 識別子を指定します。 |
genericExtData | 拡張に含まれるバイナリーデータ。 |
B.1.11. Inhibit Any-Policy 拡張機能のデフォルト
表B.10 Inhibit Any-Policy 拡張機能のデフォルト設定パラメーター
パラメーター | 説明 |
---|---|
Critical | このポリシーは Critical とマークする必要があります。この拡張機能に critical マークを付けるには true を選択してください。noncritical マークを付けるには false を選択してください。 |
SkipCerts | このパラメーターで any-policy ポリシーが許可されなくなる前に、パスに表示される追加証明書の数を示します。1 の値は、any-policy は、この証明書のサブジェクトによって発行された証明書で処理できますが、パス内の追加の証明書では処理できないことを示します。 |
B.1.12. Issuer Alternative Name 拡張機能のデフォルト
- Extension Constraint は、「拡張制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
表B.11 Issuer Alternative Name 拡張機能のデフォルト設定パラメーター
パラメーター | 説明 |
---|---|
Critical | この拡張機能に critical マークを付けるには true を選択してください。noncritical マークを付けるには false を選択してください。 |
issuerAltExtType | これにより、使用する名前拡張のタイプが設定されます。これは以下のいずれかになります。
|
issuerAltExtPattern |
拡張に追加する要求属性値を指定します。属性の値は、サポートされる一般名のタイプに準拠する必要があります。許容値は、証明書要求に含まれる要求属性です。
サーバーがリクエストの属性を見つけると、拡張に属性値を設定し、その拡張を証明書に追加します。複数の属性が指定され、リクエストに属性が存在しない場合、サーバーは Issuer Alternative Name 拡張を証明書に追加しません。リクエストから適切な属性を使用して issuerAlternativeName を形成することができない場合は、トークン式なしでリテラル文字列を使用できます。たとえば、認証局 です。
|
B.1.13. Key Usage 拡張機能のデフォルト
- Key Usage 制約については、「主な使用拡張機能の制約」 を参照してください。
- Extension Constraint は、「拡張制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
表B.12 Key Usage 拡張機能のデフォルト設定パラメーター
パラメーター | 説明 |
---|---|
Critical | この拡張機能に critical マークを付けるには true を選択してください。noncritical マークを付けるには false を選択してください。 |
digitalSignature | SSL クライアント証明書と S/MIME 署名証明書を許可するかどうかを指定します。True を選択して設定します。 |
nonRepudiation | S/MIME 署名証明書に使用するかどうかを指定します。True を選択して設定します。
警告
このビットの使用は議論の的になっています。証明書に設定する前に、その使用による法的影響を慎重に検討してください。
|
keyEncipherment | サブジェクトの公開鍵を使用して秘密鍵と秘密鍵のどちらを暗号化するかを指定します。これは、SSL サーバー証明書および S/MIME 暗号化証明書に設定されます。True を選択して設定します。 |
dataEncipherment | サブジェクトの公開鍵を使用して、キー資料とは対照的に、拡張を設定するかどうかを指定します。True を選択して設定します。 |
keyAgreement | サブジェクトの公開鍵がキー合意に使用されるたびに拡張を設定するかどうかを指定します。True を選択して設定します。 |
keyCertsign | 公開鍵を使用して他の証明書の署名を検証するかどうかを指定します。この設定は CA 証明書に使用されます。true を選択してオプションを設定します。 |
cRLSign | CRL に署名する CA 署名証明書の拡張を設定するかどうかを指定します。True を選択して設定します。 |
encipherOnly | 公開鍵が鍵共有の実行中にデータを暗号化するためだけのものである場合に、拡張子を設定するかどうかを指定します。このビットが設定されている場合 、keyAgreement も設定する必要があります。True を選択して設定します。 |
decipherOnly | 公開鍵が鍵共有の実行中にデータを暗号化するためだけのものである場合に、拡張子を設定するかどうかを指定します。このビットが設定されている場合 、keyAgreement も設定する必要があります。True を選択して設定します。 |
B.1.14. Name Constraints 拡張機能のデフォルト
- Extension Constraint は、「拡張制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
表B.13 Name Constraints 拡張機能のデフォルト設定パラメーター
パラメーター | 説明 |
---|---|
Critical | この拡張機能に critical マークを付けるには true を選択してください。noncritical マークを付けるには false を選択してください。 |
PermittedSubtreesn.min |
許可されるサブツリーの最小数を指定します。
|
PermittedSubtreesmax_n |
許可されるサブツリーの最大数を指定します。
|
PermittedSubtreeNameChoice_n | 拡張に含める許可されるサブツリーの一般な名前タイプを指定します。許容値は次のとおりです。
|
PermittedSubtreeNameValue_n |
拡張に含める許可されるサブツリーの汎用名を指定します。
|
PermittedSubtreeEnable_n | true を選択して、このサブツリーエントリーを許可します。 |
ExcludedSubtreesn.min |
除外されたサブツリーの最小数を指定します。
|
ExcludedSubtreeMax_n |
除外されたサブツリーの最大数を指定します。
|
ExcludedSubtreeNameChoice_n | 拡張に追加する除外されたサブツリーの一般名を指定します。許容値は次のとおりです。
|
ExcludedSubtreeNameValue_n |
拡張に含める許可されるサブツリーの汎用名を指定します。
|
ExcludedSubtreeEnable_n | true を選択して、この除外されたサブツリーエントリーを有効にします。 |
B.1.15. Netscape Certificate Type 拡張機能のデフォルト
B.1.16. Netscape Comment 拡張機能のデフォルト
- Extension Constraint は、「拡張制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
表B.14 Netscape Comment 拡張機能の設定パラメーター
パラメーター | 説明 |
---|---|
Critical | この拡張機能に critical マークを付けるには true を選択してください。noncritical マークを付けるには false を選択してください。 |
CommentContent | 証明書に表示するコメントの内容を指定します。 |
B.1.17. デフォルト拡張機能なし
B.1.18. OCSP No Check 機能拡張のデフォルト
- Extension Constraint は、「拡張制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
表B.15 OCSP No Check 機能拡張のデフォルト設定パラメーター
パラメーター | 説明 |
---|---|
Critical | この拡張機能に critical マークを付けるには true を選択してください。noncritical マークを付けるには false を選択してください。 |
B.1.19. Policy Constraints 拡張機能のデフォルト
- Extension Constraint は、「拡張制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
表B.16 Policy Constraints 拡張機能のデフォルト設定パラメーター
パラメーター | 説明 |
---|---|
Critical | この拡張機能に critical マークを付けるには true を選択してください。noncritical マークを付けるには false を選択してください。 |
reqExplicitPolicy |
明示的なポリシーが必要になる前に、パスで許可される証明書の総数を指定します。これは、受け入れ可能なポリシーが必要になる前に、下位 CA 証明書の下にチェーンできる CA 証明書の数です。
この数は、証明書の検証中に使用される CA 証明書の数に影響します。このチェーンは、チェーンを検証して移動させるエンドエンティティー証明書で始まります。このパラメーターは、拡張がエンドエンティティーの証明書に設定されている場合は有効ではありません。
|
inhibitPolicyMapping |
ポリシーマッピングが許可されなくなる前に、パスで許可される証明書の総数を指定します。
|
B.1.20. Policy Mappers 拡張機能のデフォルト
- Extension Constraint は、「拡張制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
表B.17 Policy Mappers 拡張機能のデフォルト設定パラメーター
パラメーター | 説明 |
---|---|
Critical | この拡張機能に critical マークを付けるには true を選択してください。noncritical マークを付けるには false を選択してください。 |
IssuerDomainPolicy_n | 別の CA のポリシーステートメントとマッピングするために、発行元 CA のポリシーステートメントに割り当てられた OID を指定します。たとえば、1.2.3.4.5 です。 |
SubjectDomainPolicy_n | 発行 CA のポリシーステートメントに対応するサブジェクト CA のポリシーステートメントに割り当てられた OID を指定します。たとえば、6.7.8.9.10 です。 |
B.1.21. Private Key Usage Period 拡張機能のデフォルト
表B.18 Private Key Usage Period の設定パラメーター
パラメーター | 説明 |
---|---|
Critical | この拡張は、常にクリティカルではないはずです。 |
puStartTime | このパラメーターは、開始時間を設定します。デフォルト値は 0 です。これは、拡張機能がアクティベートされた時点から有効期間を開始します。 |
puDurationDays | このパラメーターは、使用状況の期間を設定します。デフォルト値は 365 です。これは、拡張機能がアクティブ化されてから 365 日に有効期間を設定します。 |
B.1.22. 署名アルゴリズムのデフォルト
- アルゴリズム制約の署名は、「アルゴリズム制約の署名」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
表B.19 署名アルゴリズムのデフォルト設定パラメーターの署名
パラメーター | 説明 |
---|---|
signingAlg | この証明書の作成に使用するデフォルトの署名アルゴリズムを指定します。signingAlgsAllowed パラメーターに含まれる値のいずれかを指定すると、エージェントはこの値をオーバーライドすることができます。 |
signingAlgsAllowed | この証明書の署名に使用できる署名アルゴリズムを指定します。アルゴリズムは以下のいずれか 1 つになります。
|
B.1.23. サブジェクト代替名の拡張機能のデフォルト
例B.1 サブジェクト代替名の拡張機能のデフォルト設定
policyset.serverCertSet.9.constraint.name=No Constraint policyset.serverCertSet.9.default.class_id=subjectAltNameExtDefaultImpl policyset.serverCertSet.9.default.name=Subject Alternative Name Extension Default policyset.serverCertSet.9.default.params.subjAltExtGNEnable_0=true policyset.serverCertSet.9.default.params.subjAltExtPattern_0=$request.requestor_email$ policyset.serverCertSet.9.default.params.subjAltExtType_0=RFC822Name policyset.serverCertSet.9.default.params.subjAltExtGNEnable_1=true policyset.serverCertSet.9.default.params.subjAltExtPattern_1=$request.SAN1$ policyset.serverCertSet.9.default.params.subjAltExtType_1=DNSName policyset.serverCertSet.9.default.params.subjAltExtGNEnable_2=true policyset.serverCertSet.9.default.params.subjAltExtPattern_2=http://www.server.example.com policyset.serverCertSet.9.default.params.subjAltExtType_2=URIName policyset.serverCertSet.9.default.params.subjAltExtType_3=OtherName policyset.serverCertSet.9.default.params.subjAltExtPattern_3=(IA5String)1.2.3.4,$server.source$ policyset.serverCertSet.9.default.params.subjAltExtSource_3=UUID4 policyset.serverCertSet.9.default.params.subjAltExtGNEnable_3=true policyset.serverCertSet.9.default.params.subjAltExtType_4=RFC822Name policyset.serverCertSet.9.default.params.subjAltExtGNEnable_4=false policyset.serverCertSet.9.default.params.subjAltExtPattern_4= policyset.serverCertSet.9.default.params.subjAltNameExtCritical=false policyset.serverCertSet.9.default.params.subjAltNameNumGNs=4
表B.20 サブジェクト代替名に値を挿入する変数
ポリシーセットトークン | 説明 |
---|---|
$request.auth_token.cn$ | 証明書を要求したユーザーの LDAP 共通名 (cn ) 属性。 |
$request.auth_token.mail$ | 証明書を更新したユーザーの LDAP メール (mail ) 属性の値。 |
$request.auth_token.tokenCertSubject$ | 証明書サブジェクト名。 |
$request.auth_token.uid$ | 証明書を要求したユーザーの LDAP ユーザー ID (uid ) 属性。 |
$request.auth_token.user$ | |
$request.auth_token.userDN$ | 証明書を要求したユーザーのユーザー DN。 |
$request.auth_token.userid$ | 証明書を要求したユーザーのユーザー ID 属性の値。 |
$request.uid$ | 証明書を要求したユーザーのユーザー ID 属性の値。 |
$request.profileRemoteAddr$ | 要求するユーザーの IP アドレス。これは、クライアントに応じて IPv4 アドレスまたは IPv6 アドレスになります。IPv4 アドレスは、n.n.n.n または n.n.n.n,m.m.m.m の形式にする必要があります。たとえば、128.21.39.40 または 128.21.39.40,255.255.255.00 です。IPv6 アドレスは 128 ビット名前空間を使用します。IPv6 アドレスはコロンで区切られ、ネットマスクはピリオドで区切られます。たとえば、0:0:0:0:0:0:13.1.68.3、FF01::43、0:0:0:0:0:0:13.1.68.3,FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:255.255.255.0、および FF01::43,FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FF00:0000 になります。 |
$request.profileRemoteHost$ | ユーザーのマシンのホスト名または IP アドレス。ホスト名は、http://server.example.com などの完全修飾ドメイン名およびプロトコルになります。IPv4 アドレスは、n.n.n.n または n.n.n.n,m.m.m.m の形式にする必要があります。たとえば、128.21.39.40 または 128.21.39.40,255.255.255.00 です。IPv6 アドレスは 128 ビット名前空間を使用します。IPv6 アドレスはコロンで区切られ、ネットマスクはピリオドで区切られます。たとえば、0:0:0:0:0:0:13.1.68.3、FF01::43、0:0:0:0:0:0:13.1.68.3,FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:255.255.255.0、および FF01::43,FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FF00:0000 になります。 |
$request.requestor_email$ | 要求を送信したユーザーのメールアドレス。 |
$request.requestowner$ | 要求を送信した人。 |
$request.subject$ | 証明書が発行されるエンティティーのサブジェクト名 DN。たとえば、uid=jsmith, e=jsmith@example.com です。 |
$request.tokencuid$ | 登録の要求に使用されるスマートカードトークンのカード一意の ID (CUID)。 |
$request.upn$ | Microsoft UPN。これには (UTF8String)1.3.6.1.4.1.311.20.2.3,$request.upn$ の形式があります。 |
$server.source$ | サーバーに対し、サブジェクト名のバージョン 4 の UUID (乱数) コンポーネントを生成するように指示します。この値は常に (IA5String)1.2.3.4,$server.source$ 形式になります。 |
- Extension Constraint は、「拡張制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
表B.21 サブジェクト代替名の拡張機能のデフォルト設定パラメーター
パラメーター | 説明 |
---|---|
Critical | この拡張機能に critical マークを付けるには true を選択してください。noncritical マークを付けるには false を選択してください。 |
Pattern | 拡張に追加する要求属性値を指定します。属性の値は、サポートされる一般名のタイプに準拠する必要があります。サーバーがリクエストの属性を見つけると、拡張に属性値を設定し、その拡張を証明書に追加します。複数の属性が指定され、リクエストに属性が存在しない場合、サーバーは Subject Alternative Name 拡張を証明書に追加しません。許容値は、証明書要求に含まれる要求属性です。たとえば、$request.requestor_email$ です。 |
タイプ |
request 属性の一般的な名前タイプを指定します。
|
ソース | ID を生成するために使用する識別ソースまたはプロトコルを指定します。サポートされるソースは UUID4 で、UUID を作成する乱数を生成します。 |
コンポーネント数 (NumGN) | サブジェクトの別名に含める必要がある名前コンポーネントの数を指定します。 |
B.1.24. サブジェクトディレクトリー属性の拡張機能のデフォルト
- Extension Constraint は、「拡張制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
表B.22 サブジェクトディレクトリー属性の拡張機能のデフォルトの設定パラメーター
パラメーター | 説明 |
---|---|
Critical | この拡張機能に critical マークを付けるには true を選択してください。noncritical マークを付けるには false を選択してください。 |
名前 | 属性名。これは、cn 、mail などの LDAP ディレクトリー属性になります。 |
Pattern | 拡張に追加する要求属性値を指定します。属性値は、属性の許可される値に準拠する必要があります。サーバーが属性を見つけると、拡張に属性値を設定し、その拡張を証明書に追加します。複数の属性が指定され、リクエストに属性が存在しない場合、サーバーは Subject Directory Attributes 拡張を証明書に追加しません。たとえば、$request.requestor_email$ です。 |
Enable | その属性が証明書に追加できるかどうかを設定します。true を選択して属性を有効にします。 |
B.1.25. サブジェクト情報アクセス拡張機能のデフォルト
パラメーター | 説明 |
---|---|
Critical | この拡張はクリティカルではないはずです。 |
subjInfoAccessNumADs | 証明書に含まれる情報アクセスセクションの数。 |
subjInfoAccessADMethod_n | アクセスメソッドの OID。 |
subjInfoAccessADMethod_n | アクセスメソッドのタイプ。
|
subjInfoAccessADLocation_n |
タイプ subjInfoAccessADMethod_n を元にした場所
つまり、URI 名の URL。
|
subjInfoAccessADEnable_n | true を選択してこのエクステンションを有効にします。false を選択してこのエクステンションを無効にします。 |
B.1.26. Subject Key Identifier 拡張機能のデフォルト
- Extension Constraint は、「拡張制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
B.1.27. サブジェクト名のデフォルト
- Subject Name 制約の場合は、「Subject Name 制約」を参照してください。
- Unique Subject Name 制約の場合は、「Unique Subject Name 制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
表B.23 サブジェクト名のデフォルト設定パラメーター
パラメーター | 説明 |
---|---|
Name | この証明書のサブジェクト名を指定します。 |
Name
パラメーターを、AuthTokenの SubjectName に置き換えます。
policyset.userCertSet.1.default.class_id=subjectNameDefaultImpl policyset.userCertSet.1.default.name=Subject Name Default policyset.userCertSet.1.default.params.name=$request.auth_token.tokenCertSubject$
B.1.28. ユーザーキーのデフォルト
- キー制約については、「主要な制約」 を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
B.1.29. ユーザー署名アルゴリズムのデフォルト
- アルゴリズム制約の署名は、「アルゴリズム制約の署名」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
B.1.30. ユーザーのサブジェクト名のデフォルト
- Subject Name 制約の場合は、「Subject Name 制約」を参照してください。
- Unique Subject Name 制約の場合は、「Unique Subject Name 制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
B.1.31. ユーザーの有効性のデフォルト
- Validity 制約の場合は、「Validity 制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
B.1.32. User Supplied Extension Default
policyset.set1.p6.default.class_id=userExtensionDefaultImpl policyset.set1.p6.default.name=User Supplied Extension Default policyset.set1.p6.default.params.userExtOID=2.5.29.19
- 拡張機能の OID が証明書要求とデフォルトの両方で指定されている場合、拡張機能は制約によって検証され、証明書に適用されます。
- 拡張機能の OID が要求で指定されているが、プロファイルの User Supplied Extension Default で指定されていない場合、ユーザー指定の拡張機能は無視され、証明書はその拡張機能なしで正常に登録されます。
- この拡張機能が対応する OID (拡張機能制約) を持つプロファイルに設定されている場合、そのプロファイルを介して処理される証明書要求には、指定された拡張機能を含める 必要があります。そうでない場合、要求は拒否されます。
userExtOID
パラメーターで指定された OID は、Extended Key Usage Extension 用です。
例B.2 Extended Key Usage Extension の User Supplied Extension Default
policyset.set1.2.constraint.class_id=extendedKeyUsageExtConstraintImpl policyset.set1.2.constraint.name=Extended Key Usage Extension policyset.set1.2.constraint.params.exKeyUsageCritical=false policyset.set1.2.constraint.params.exKeyUsageOIDs=1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.4 policyset.set1.2.default.class_id=userExtensionDefaultImpl policyset.set1.2.default.name=User Supplied Extension Default policyset.set1.2.default.params.userExtOID=2.5.29.37
例B.3 CSR の Multiple User Supplied Extension
- Extended Key Usage Extension の場合:
policyset.serverCertSet.2.constraint.class_id=extendedKeyUsageExtConstraintImpl policyset.serverCertSet.2.constraint.name=Extended Key Usage Extension policyset.serverCertSet.2.constraint.params.exKeyUsageCritical=false policyset.serverCertSet.2.constraint.params.exKeyUsageOIDs=1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.4 policyset.serverCertSet.2.default.class_id=userExtensionDefaultImpl policyset.serverCertSet.2.default.name=User Supplied Extension Default policyset.serverCertSet.2.default.params.userExtOID=2.5.29.37
- Key Usage Extension の場合:以下の形式を使用すると、拡張機能のパラメーターを適用するポリシーを適用できます。
- CSR: value = "true" になければなりません
- CSR: value = "false" に存在してはなりません
- オプション: value = "-"
以下に例を示します。policyset.serverCertSet.13.constraint.class_id=keyUsageExtConstraintImpl policyset.serverCertSet.13.constraint.name=Key Usage Extension Constraint policyset.serverCertSet.13.constraint.params.keyUsageCritical=- policyset.serverCertSet.13.constraint.params.keyUsageCrlSign=false policyset.serverCertSet.13.constraint.params.keyUsageDataEncipherment=- policyset.serverCertSet.13.constraint.params.keyUsageDecipherOnly=- policyset.serverCertSet.13.constraint.params.keyUsageDigitalSignature=- policyset.serverCertSet.13.constraint.params.keyUsageEncipherOnly=- policyset.serverCertSet.13.constraint.params.keyUsageKeyAgreement=true policyset.serverCertSet.13.constraint.params.keyUsageKeyCertSign=- policyset.serverCertSet.13.constraint.params.keyUsageKeyEncipherment=- policyset.serverCertSet.13.constraint.params.keyUsageNonRepudiation=- policyset.serverCertSet.13.default.class_id=userExtensionDefaultImpl policyset.serverCertSet.13.default.name=User Supplied Key Usage Extension policyset.serverCertSet.13.default.params.userExtOID=2.5.29.15
certutil
を使用したユーザー定義拡張による CSR の作成」 を参照してください。
B.1.33. 有効性のデフォルト
- Validity 制約の場合は、「Validity 制約」を参照してください。
- No Constraints は、「No Constraint」 を参照してください。
表B.24 有効性のデフォルト設定パラメーター
パラメーター | 説明 |
---|---|
range | この証明書の有効期限を指定します。 |
startTime | 現在の時間に基づいて有効期間が始まるタイミングを設定します。 |