B.4.2. 標準 X.509 v3 CRL 拡張機能リファレンス
証明書の拡張に加えて、X.509 で提案されている標準では、CRL の拡張が定義されており、追加の属性をインターネット CRL に関連付ける方法が提供されています。これらは、CRL 自体の拡張と、CRL の個々の証明書エントリーの拡張の 2 種類のうちの 1 つです。
B.4.2.1. CRL の拡張機能
以下の CRL の説明は、インターネット X.509 v3 公開鍵インフラストラクチャーが提案する標準の一部として定義されています。
B.4.2.1.1. authorityInfoAccess
Authority Information Access 拡張は、デルタ CRL 情報の取得方法を識別します。freshestCRL 拡張機能は完全な CRL に配置され、最新のデルタ CRL の場所を示します。
OID
1.3.6.1.5.5.7.1.1
Criticality
PKIX では、この拡張は重要ではありません。
パラメーター
表B.39 認証局情報アクセス設定パラメーター
| パラメーター | 説明 |
|---|---|
| enable | ルールを有効または無効するかどうかを指定します。デフォルトでは、この拡張機能は無効になっています。 |
| critical | 拡張がクリティカルとマークされるかどうかを設定します。デフォルトは非クリティカルです。 |
| numberOfAccessDescriptions |
0 から任意の正の整数までのアクセス記述の数を示します。デフォルトは 0 です。
このパラメーターを 0 以外の整数に設定する場合は、数値を設定し、OK をクリックしてウィンドウを閉じます。ルールの編集ウィンドウを再度開き、ポイントを設定するフィールドが存在します。
|
| accessMethodn | このパラメーターで許可される値は caIssuers のみです。caIssuers メソッドは、利用可能な情報に CRL の署名の検証に使用できる証明書がリストされている場合に使用されます。AIA 拡張が CRL に含まれる場合、他の方法は使用しないでください。 |
| accessLocationTypen | n アクセスの説明のアクセス場所を指定します。オプションは DirectoryName または URI です。 |
| accessLocationn |
accessLocationType が DirectoryName に設定されている場合、値は証明書のサブジェクト名と同様に、X.500 名の形式の文字列である必要があります。たとえば、 CN=CACentral,OU=Research Dept,O=Example Corporation,C=US となります。
accessLocationType が URI に設定されている場合、名前は URI である必要があります。URI は絶対パス名で、ホストを指定する必要があります。例: http://testCA.example.com/get/crls/here/。
|
B.4.2.1.2. authorityKeyIdentifier
CRL の AuthorityKey Identifier 拡張機能は、CRL の署名に使用される秘密鍵に対応する公開鍵を識別します。詳細は、「authorityKeyIdentifier」 の証明書拡張を参照してください。
PKIX 標準では、CA の公開鍵は、たとえば鍵が更新されたときに変更される可能性があるため、または複数の同時鍵ペアまたは鍵切り替えのために CA が複数の署名鍵を持つ可能性があるため、CA が発行するすべての CRL にこの拡張機能を含める必要があることを推奨しています。このような場合、CA は複数のキーペアで終了します。証明書の署名を検証する場合、他のアプリケーションは、署名で使用されたキーを知る必要があります。
OID
2.5.29.35
パラメーター
表B.40 AuthorityKeyIdentifierExt 設定パラメーター
| パラメーター | 説明 |
|---|---|
| enable | ルールを有効または無効するかどうかを指定します。デフォルトでは、この拡張機能は無効になっています。 |
| critical | 拡張がクリティカルとマークされるかどうかを設定します。デフォルトは非クリティカルです。 |
B.4.2.1.3. CRLNumber
CRLNumber 拡張は、CA が発行する各 CRL の連続する番号を指定します。ユーザーは、特定の CRL が別の CRL を上書きするタイミングを簡単に判断できます。PKIX では、すべての CRL にこの拡張が必要です。
OID
2.5.29.20
Criticality
この拡張は重要ではありません。
パラメーター
表B.41 CRLNumber 設定パラメーター
| パラメーター | 説明 |
|---|---|
| enable | ルールが有効であるかどうかを指定します (デフォルト)。 |
| critical | 拡張がクリティカルとマークされるかどうかを設定します。デフォルトは非クリティカルです。 |
B.4.2.1.4. deltaCRLIndicator
deltaCRLIndicator 拡張機能は、デルタ CRL を生成します。これは、最後の CRL 以降に取り消された証明書のみのリストです。また、ベース CRL への参照も含まれています。これにより、ローカルデータベースに既に存在する未変更の情報を無視しながら、ローカルデータベースが更新されます。これにより、失効情報を CRL 構造以外の形式で格納するアプリケーションの処理時間を大幅に改善できます。
OID
2.5.29.27
Criticality
PKIX では、その拡張が存在する場合はこの拡張が必須でなければなりません。
パラメーター
表B.42 DeltaCRL 設定パラメーター
| パラメーター | 説明 |
|---|---|
| enable | ルールが有効かどうかを指定します。デフォルトでは無効になっています。 |
| critical | 拡張機能がクリティカル、または非クリティカルを設定します。デフォルトでは、これはクリティカルになっています。 |
B.4.2.1.5. FreshestCRL
freshestCRL 拡張機能は、デルタ CRL 情報の取得方法を識別します。freshestCRL 拡張機能は完全な CRL に配置され、最新のデルタ CRL の場所を示します。
OID
2.5.29.46
Criticality
PKIX では、この拡張機能は非クリティカルである必要があります。
パラメーター
表B.43 FreshestCRL 設定パラメーター
| パラメーター | 説明 |
|---|---|
| enable | 拡張機能ルールが有効かどうかを指定します。デフォルトでは、これは無効になっています。 |
| critical | 拡張にクリティカルまたは非クリティカルのマークを付けます。デフォルトはクリティカルではありません。 |
| numPoints | デルタ CRL の発行ポイントの数を、0 から任意の正の整数に指定します。デフォルトは 0 です。これを 0 以外の整数に設定する場合は、数値を設定してから OK をクリックしてウィンドウを閉じます。ルールの編集ウィンドウを再度開き、これらのポイントを設定するフィールドが存在するようになります。 |
| pointTypen | n 発行ポイントの発行ポイントのタイプを指定します。numPoints で指定する数字ごとに、pointType パラメーターの等しい数があります。オプションは DirectoryName または URIName です。 |
| pointNamen |
pointType が directoryName に設定されている場合、値は証明書のサブジェクト名と同様に、X.500 名の形式の文字列である必要があります。たとえば、CN=CACentral,OU=Research Dept,O=Example Corporation,C=US となります。
pointType が URIName に設定されている場合、名前は URI である必要があります。URI は絶対パス名で、ホストを指定する必要があります。例: http://testCA.example.com/get/crls/here/。
|
B.4.2.1.6. issuerAltName
Issuer Alternative Name 拡張機能を使用すると、メールアドレス、DNS 名、IP アドレス (IPv4 と IPv6 の両方)、URI (Uniform Resource Indicator) などのバインディング属性など、CRL の発行者を使用して、追加の ID を CRL の発行者に関連付けることができます。詳細は、「issuerAltName 拡張」 の証明書拡張を参照してください。
OID
2.5.29.18
パラメーター
表B.44 IssuerAlternativeName 設定パラメーター
| パラメーター | 説明 |
|---|---|
| enable | 拡張ルールが有効であるかどうかを設定します。デフォルトでは無効になっています。 |
| critical | 拡張がクリティカルかどうかを設定します。デフォルトでは、これは非クリティカルになります。 |
| numNames | 拡張で許可される代替名または ID の合計数を設定します。それぞれの名前には、設定パラメーター (nameType および name) のセットがあります。これには適切な値が必要です。そうでない場合、ルールはエラーを返します。このフィールドで指定された値を変更して、ID の総数を変更します。拡張機能に含めることができる ID の総数に制限はありません。設定パラメーターの各セットは、このフィールドの値から派生した整数によって区別されます。たとえば、numNames パラメーターが 2 に設定される場合、派生の整数は 0 および 1 になります。 |
| nameTypen |
general-name タイプを指定します。次のいずれかになります。
|
| namen |
一般名の値を指定します。許可される値は、nameType フィールドで指定された名前の種類によって異なります。
|
B.4.2.1.7. issuingDistributionPoint
Issuing Distribution Point CRL 拡張機能は、特定の CRL の CRL ディストリビューションポイントを識別し、エンドエンティティー証明書のみの失効、CA 証明書のみ、または理由コードのセットが制限されている失効証明書など、対象となる失効の種類を示します。
PKIX Part I ではこの拡張は必要ありません。
OID
2.5.29.28
Criticality
PKIX では、その拡張が存在する場合はこの拡張が必須でなければなりません。
パラメーター
表B.45 IssuingDistributionPoint 設定パラメーター
| パラメーター | 説明 |
|---|---|
| enable | 拡張機能を有効にするかどうかを設定します。デフォルトは無効です。 |
| critical | 拡張機能をクリティカル、デフォルト、または非クリティカルとしてマークします。 |
| pointType |
以下から発行配布ポイントのタイプを指定します。
|
| pointName |
発行されたディストリビューションポイントの名前を指定します。分散ポイントの名前は、pointType パラメーターに指定された値によって異なります。
注記
CRL は、CRL 発行ポイントに対応するディレクトリーエントリーに格納される場合があります。これは、CA のディレクトリーエントリーとは異なる場合があります。
|
| onlySomeReasons |
ディストリビューションポイントに関連付けられた理由コードを指定します。
許容値は、理由コード (unspecified、keyCompromise、cACompromise、affiliationChanged、asuperseded、cessationOfOperation、certificateHold、および removeFromCRL) の組み合わせです。ディストリビューションポイントにすべての理由コード (デフォルト) を含む失効した証明書が含まれている場合は、フィールドを空白のままにします。
|
| onlyContainsCACerts | 設定されている場合に限り、ディストリビューションポイントにユーザー証明書が含まれることを指定します。デフォルトでは、これは設定されていません。つまり、ディストリビューションポイントにはすべての種類の証明書が含まれています。 |
| indirectCRL | ディストリビューションポイントに間接 CRL が含まれていることを指定します。デフォルトでは選択されていません。 |