B.3. 標準仕様の X.509 v3 証明書拡張機能リファレンス
例B.4 Pretty-Print 証明書拡張機能の例
Data: Version: v3 Serial Number: 0x1 Signature Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5 Issuer: CN=Certificate Manager,OU=netscape,O=ExampleCorp,L=MV,ST=CA,C=US Validity: Not Before: Friday, February 21, 2005 12:00:00 AM PST America/Los_Angeles Not After: Monday, February 21, 2007 12:00:00 AM PST America/Los_Angeles Subject: CN=Certificate Manager,OU=netscape,O=ExampleCorp,L=MV,ST=CA,C=US Subject Public Key Info: Algorithm: RSA - 1.2.840.113549.1.1.1 Public Key: Exponent: 65537 Public Key Modulus: (2048 bits) : E4:71:2A:CE:E4:24:DC:C4:AB:DF:A3:2E:80:42:0B:D9: CF:90:BE:88:4A:5C:C5:B3:73:BF:49:4D:77:31:8A:88: 15:A7:56:5F:E4:93:68:83:00:BB:4F:C0:47:03:67:F1: 30:79:43:08:1C:28:A8:97:70:40:CA:64:FA:9E:42:DF: 35:3D:0E:75:C6:B9:F2:47:0B:D5:CE:24:DD:0A:F7:84: 4E:FA:16:29:3B:91:D3:EE:24:E9:AF:F6:A1:49:E1:96: 70:DE:6F:B2:BE:3A:07:1A:0B:FD:FE:2F:75:FD:F9:FC: 63:69:36:B6:5B:09:C6:84:92:17:9C:3E:64:C3:C4:C9 Extensions: Identifier: Netscape Certificate Type - 2.16.840.1.113730.1.1 Critical: no Certificate Usage: SSL CA Secure Email CA ObjectSigning CA Identifier: Basic Constraints - 2.5.29.19 Critical: yes Is CA: yes Path Length Constraint: UNLIMITED Identifier: Subject Key Identifier - 2.5.29.14 Critical: no Key Identifier: 3B:46:83:85:27:BC:F5:9D:8E:63:E3:BE:79:EF:AF:79: 9C:37:85:84 Identifier: Authority Key Identifier - 2.5.29.35 Critical: no Key Identifier: 3B:46:83:85:27:BC:F5:9D:8E:63:E3:BE:79:EF:AF:79: 9C:37:85:84 Identifier: Key Usage: - 2.5.29.15 Critical: yes Key Usage: Digital Signature Key CertSign Crl Sign Signature: Algorithm: SHA1withRSA - 1.2.840.113549.1.1.5 Signature: AA:96:65:3D:10:FA:C7:0B:74:38:2D:93:54:32:C0:5B: 2F:18:93:E9:7C:32:E6:A4:4F:4E:38:93:61:83:3A:6A: A2:11:91:C2:D2:A3:48:07:6C:07:54:A8:B8:42:0E:B4: E4:AE:42:B4:B5:36:24:46:4F:83:61:64:13:69:03:DF: 41:88:0B:CB:39:57:8C:6B:9F:52:7E:26:F9:24:5E:E7: BC:FB:FD:93:13:AF:24:3A:8F:DB:E3:DC:C9:F9:1F:67: A8:BD:0B:95:84:9D:EB:FC:02:95:A0:49:2C:05:D4:B0: 35:EA:A6:80:30:20:FF:B1:85:C8:4B:74:D9:DC:BB:50
B.3.1. authorityInfoAccess
OID
1.3.6.1.5.5.7.1.1
Criticality
この拡張はクリティカルでない必要があります。
B.3.2. authorityKeyIdentifier
- keyIdentifier フィールドに設定される明示的なキー識別子
- authorityCertSerialNumber フィールドで設定、シリアル番号、authorityCertSerialNumber フィールドで設定、証明書を識別。
OID
2.5.29.35
Criticality
この拡張は常に非クリティカルではなく、常に評価されます。
B.3.3. basicConstraints
OID
2.5.29.19
Criticality
PKIX Part 1 では、この拡張が critical とマークされている必要があります。この拡張機能は、その重要度に関係なく評価されます。
B.3.4. certificatePoliciesExt
OID
2.5.29.32
Criticality
この拡張機能は、重要な場合と重要でない場合があります。
B.3.5. CRLDistributionPoints
OID
2.5.29.31
Criticality
PKIX では、この拡張機能を非クリティカルとマークし、すべての証明書でサポートすることが推奨されます。
B.3.6. extKeyUsage
OID
2.5.29.37
Criticality
この拡張機能がクリティカルとマークされている場合、証明書は指定された目的の 1 つにのみ使用する必要があります。クリティカルとマークされていない場合は、キーを識別するために使用できるアドバイザリーフィールドとして扱われますが、証明書の使用は指定された目的に制限されません。
表B.36 PKIX Extended Key Usage Extension の使用
使用 | OID |
---|---|
サーバー認証 | 1.3.6.1.5.5.7.3.1 |
クライアント認証 | 1.3.6.1.5.5.7.3.2 |
コード署名 | 1.3.6.1.5.5.7.3.3 |
1.3.6.1.5.5.7.3.4 | |
タイムスタンプ | 1.3.6.1.5.5.7.3.8 |
OCSP 署名 |
1.3.6.1.5.5.7.3.9[a]
|
[a]
OCSP 署名は PKIX Part 1 では定義されていませんが、RFC 2560 『X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP』 では定義されていません。
|
表B.37 Private Extended Key Usage Extension の使用
使用 | OID |
---|---|
証明書トラストリスト署名 | 1.3.6.1.4.1.311.10.3.1 |
Microsoft Server Gated Crypto (SGC) | 1.3.6.1.4.1.311.10.3.3 |
Microsoft 暗号化ファイルシステム | 1.3.6.1.4.1.311.10.3.4 |
Netscape SGC | 2.16.840.1.113730.4.1 |
B.3.7. issuerAltName 拡張
OID
2.5.29.18
Criticality
PKIX Part 1 は、この拡張を非クリティカルとしてマークすることを推奨します。
B.3.8. keyUsage
- SSL クライアント証明書、S/MIME 署名証明書、およびオブジェクト署名証明書用の digitalSignature (0)。
- 一部の S/MIME 署名証明書およびオブジェクト署名証明書用の nonRepudiation (1)警告このビットの使用は議論の的になっています。証明書に設定する前に、その使用による法的影響を慎重に検討してください。
- これは、SSL サーバー証明書および S/MIME 暗号化証明書の keyEncipherment (2) に設定されます。
- dataEncipherment (3) サブジェクトの公開鍵を使用して、鍵情報ではなくユーザーデータを暗号化するとき。
- keyAgreement (4) サブジェクトの公開鍵がキー合意に使用される場合。
- すべての CA 署名証明書用の keyCertSign (5)。
- CRL の署名に使用される CA 署名証明書の cRLSign (6)。
- encipherOnly (7) 公開鍵がデータの暗号化にのみ使用される場合。このビットが設定されている場合 、keyAgreement も設定する必要があります。
- decipherOnly (8) 公開鍵がデータの暗号化にのみ使用される場合。このビットが設定されている場合 、keyAgreement も設定する必要があります。
OID
2.5.29.15
Criticality
この拡張機能は、重要な場合と重要でない場合があります。PKIX Part 1 を使用する場合は、クリティカルなマークを付けることが推奨されます。
表B.38 証明書の使用とそれに対応する鍵の使用方法
証明書の目的 | 必要な鍵使用量のビット |
---|---|
CA 署名 |
|
SSL クライアント | digitalSignature |
SSL Server | keyEncipherment |
S/MIME 署名 | digitalSignature |
S/MIME 暗号化 | keyEncipherment |
証明書の署名 | keyCertSign |
オブジェクトの署名 | digitalSignature |
B.3.9. nameConstraints
OID
2.5.29.30
Criticality
PKIX Part 1 では、この拡張が critical とマークされている必要があります。
B.3.10. OCSPNocheck
OID
1.3.6.1.5.5.7.48.4
Criticality
この拡張はクリティカルではありません。
B.3.11. policyConstraints
OID
2.5.29.36
Criticality
この拡張機能は、重要な場合と重要でない場合があります。
B.3.12. policyMappings
OID
2.5.29.33
Criticality
この拡張はクリティカルでない必要があります。
B.3.13. privateKeyUsagePeriod
OID
2.5.29.16
B.3.14. subjectAltName
OID
2.5.29.17
Criticality
証明書の subject フィールドが空の場合は、この拡張機能にクリティカルのマークが付けられている必要があります。
B.3.15. subjectDirectoryAttributes
OID
2.5.29.9
Criticality
PKIX Part 1 では、この拡張が非クリティカルなものとしてマークされている必要があります。
B.3.16. subjectKeyIdentifier
OID
2.5.29.14
Criticality
この拡張機能は常にクリティカルではありません。