Network Working Group R. Housley
Request for Comments: 2585 SPYRUS
Category: Standards Track P. Hoffman
IMC
May 1999
Internet X.509 Public Key Infrastructure
Operational Protocols: FTP and HTTP
Status of this Memo
このメモの位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (1999). All Rights Reserved.
著作権(C)インターネット協会(1999)。全著作権所有。
Abstract
抽象
The protocol conventions described in this document satisfy some of the operational requirements of the Internet Public Key Infrastructure (PKI). This document specifies the conventions for using the File Transfer Protocol (FTP) and the Hypertext Transfer Protocol (HTTP) to obtain certificates and certificate revocation lists (CRLs) from PKI repositories. Additional mechanisms addressing PKIX operational requirements are specified in separate documents.
この文書に記載されているプロトコルの規則は、インターネット公開鍵インフラストラクチャ(PKI)の運用要件の一部を満たします。この文書では、PKIリポジトリから証明書と証明書失効リスト(CRL)を取得するためにファイル転送プロトコル(FTP)およびハイパーテキスト転送プロトコル(HTTP)を使用するための規則を指定します。 PKIX運用要件に対処追加のメカニズムは別の文書で指定されています。
1 Introduction
1はじめに
This specification is part of a multi-part standard for the Internet Public Key Infrastructure (PKI) using X.509 certificates and certificate revocation lists (CRLs). This document specifies the conventions for using the File Transfer Protocol (FTP) and the Hypertext Transfer Protocol (HTTP) to obtain certificates and CRLs from PKI repositories. Additional mechanisms addressing PKI repository access are specified in separate documents.
この仕様はX.509証明書と証明書失効リスト(CRL)を使用して、インターネット公開鍵インフラストラクチャ(PKI)のためのマルチパート規格の一部です。この文書では、PKIリポジトリから証明書とCRLを取得するためにファイル転送プロトコル(FTP)およびハイパーテキスト転送プロトコル(HTTP)を使用するための規則を指定します。 PKIリポジトリへのアクセスに対処する追加のメカニズムは別の文書で指定されています。
The following is a simplified view of the architectural model assumed by the Internet PKI specifications.
以下は、インターネットPKI規格によって想定建築モデルの簡略図です。
+---+
| C | +------------+
| e | <-------------------->| End entity |
| r | Operational +------------+
| t | transactions ^
| | and management | Management
| / | transactions | transactions
| | | PKI users
| C | v
| R | -------------------+--+-----------+-----------------
| L | ^ ^
| | | | PKI management
| | v | entities
| R | +------+ |
| e | <---------------------| RA | <---+ |
| p | Publish certificate +------+ | |
| o | | |
| s | | |
| I | v v
| t | +------------+
| o | <------------------------------| CA |
| r | Publish certificate +------------+
| y | Publish CRL ^
| | |
+---+ Management |
transactions |
v
+------+
| CA |
+------+
The components in this model are:
このモデルでのコンポーネントは次のとおりです。
End Entity: user of PKI certificates and/or end user system that is the subject of a certificate;
エンドエンティティ:PKI証明書および/または証明書のサブジェクトであるエンドユーザーのシステムのユーザ。
CA: certification authority;
CA:認証局。
RA: registration authority, i.e., an optional system to which a CA delegates certain management functions;
RA:登録機関、すなわち、CA委任特定の管理機能にオプションのシステム。
Repository: a system or collection of distributed systems that store certificates and CRLs and serves as a means of distributing these certificates and CRLs to end entities.
リポジトリ:証明書とCRLを保存する分散システムのシステムまたはコレクションとエンティティを終了するために、これらの証明書とCRLを配信する手段として機能します。
Some CAs mandate the use of on-line validation services, while others distribute CRLs to allow certificate users to perform certificate validation themselves. In general, CAs make CRLs available to certificate users by publishing them in the Directory. The Directory is also the normal distribution mechanism for certificates. However, Directory Services are not available in many parts of the Internet today. The File Transfer Protocol (FTP) defined in RFC 959 and the Hypertext Transfer Protocol (HTTP) defined in RFC 2068 offer alternate methods for certificate and CRL distribution.
一部のCAの義務のオンライン検証サービスの使用、他の人が証明書ユーザは、証明書の検証自体を実行できるようにCRLを配布しながら。一般に、CAはディレクトリにそれらを公開することにより、証明書ユーザへのCRLを利用できるようにします。 Directoryは、証明書の正規分布のメカニズムです。しかし、ディレクトリサービスは、インターネットの多くの部分で、今日は使用できません。ファイル転送プロトコル(FTP)は、RFC 959で定義されており、ハイパーテキスト転送プロトコル(HTTP)証明書とCRLの配布のためにRFC 2068オファー代替方法で定義されています。
End entities and CAs may retrieve certificates and CRLs from the repository using FTP or HTTP. End entities may publish their own certificate in the repository using FTP or HTTP, and RAs and CAs may publish certificates and CRLs in the repository using FTP or HTTP.
エンドエンティティとCAは、FTPまたはHTTPを使用してリポジトリから証明書とCRLを検索することができます。エンドエンティティは、FTPまたはHTTPを使用してリポジトリに自分の証明書を発行すること、およびRASおよびCAは、FTPまたはHTTPを使用してリポジトリに証明書とCRLを発行することがあります。
2 FTP Conventions
2つのFTPの表記
Within certificate extensions and CRL extensions, the URI form of GeneralName is used to specify the location where issuer certificates and CRLs may be obtained. For instance, a URI identifying the subject of a certificate may be carried in subjectAltName certificate extension. An IA5String describes the use of anonymous FTP to fetch certificate or CRL information. For example:
証明書拡張およびCRL拡張内、のGeneralNameのURIの形式は、発行者証明書とCRLを取得することができる場所を指定するために使用されます。例えば、証明書のサブジェクトを識別するURIは、のsubjectAltName証明書拡張で実施することができます。 IA5Stringは、証明書やCRL情報を取得するために、匿名FTPの使用を記載しています。例えば:
ftp://ftp.netcom.com/sp/spyrus/housley.cer ftp://ftp.your.org/pki/id48.cer ftp://ftp.your.org/pki/id48.no42.crl
ftp://ftp。ねtこm。こm/sp/spyるs/ほうsぇy。せr ftp://ftp。ようr。おrg/pき/いd48。せr ftp://ftp。ようr。おrg/pき/いd48。の42。crl
Internet users may publish the URI reference to a file that contains their certificate on their business card. This practice is useful when there is no Directory entry for that user. FTP is widely deployed, and anonymous FTP are accommodated by many firewalls. Thus, FTP is an attractive alternative to Directory access protocols for certificate and CRL distribution. While this service satisfies the requirement to retrieve information related to a certificate which is already identified by a URI, it is not intended to satisfy the more general problem of finding a certificate for a user about whom some other information, such as their electronic mail address or corporate affiliation, is known.
インターネットユーザーは自分の名刺に自分の証明書を含むファイルへのURI参照を公開することがあります。そのユーザのためのディレクトリエントリが存在しない場合は、この練習に便利です。 FTPは広く展開され、匿名FTPは、多くのファイアウォールによって収容されています。したがって、FTPは、証明書とCRLの配布のためのディレクトリアクセスプロトコルに魅力的な代替手段です。このサービスは、既にURIで識別された証明書に関連する情報を取得するための要件を満たしているが、そのような彼らの電子メールアドレスなど、いくつかの他の情報についてのユーザーの証明書を見つけるのより一般的な問題を満足するものではありませんまたは企業の提携は、知られています。
For convenience, the names of files that contain certificates should have a suffix of ".cer". Each ".cer" file contains exactly one certificate, encoded in DER format. Likewise, the names of files that contain CRLs should have a suffix of ".crl". Each ".crl" file contains exactly one CRL, encoded in DER format.
便宜上、証明書を含むファイルの名前は、「.CER」の接尾辞を持つ必要があります。各「.cerの」ファイルはDER形式でエンコードされた正確に一つの証明書が含まれています。同様に、CRLを含むファイルの名前は、「の.crl」の接尾辞を持つ必要があります。各「の.crl」ファイルはDER形式でエンコードされた正確に一つのCRLが含まれています。
3 HTTP Conventions
3つのHTTPの表記
Within certificate extensions and CRL extensions, the URI form of GeneralName is used to specify the location where issuer certificates and CRLs may be obtained. For instance, a URI identifying the subject of a certificate may be carried in subjectAltName certificate extension. An IA5String describes the use of HTTP to fetch certificate or CRL information. For example:
証明書拡張およびCRL拡張内、のGeneralNameのURIの形式は、発行者証明書とCRLを取得することができる場所を指定するために使用されます。例えば、証明書のサブジェクトを識別するURIは、のsubjectAltName証明書拡張で実施することができます。 IA5Stringは、証明書やCRL情報を取得するためにHTTPの使用を記載しています。例えば:
http://www.netcom.com/sp/spyrus/housley.cer http://www.your.org/pki/id48.cer http://www.your.org/pki/id48.no42.crl
hっtp://wっw。ねtこm。こm/sp/spyるs/ほうsぇy。せr hっtp://wっw。ようr。おrg/pき/いd48。せr hっtp://wっw。ようr。おrg/pき/いd48。の42。crl
Internet users may publish the URI reference to a file that contains their certificate on their business card. This practice is useful when there is no Directory entry for that user. HTTP is widely deployed, and HTTP is accommodated by many firewalls. Thus, HTTP is an attractive alternative to Directory access protocols for certificate and CRL distribution. While this service satisfies the requirement to retrieve information related to a certificate which is already identified by a URI, it is not intended to satisfy the more general problem of finding a certificate for a user about whom some other information, such as their electronic mail address or corporate affiliation, is known.
インターネットユーザーは自分の名刺に自分の証明書を含むファイルへのURI参照を公開することがあります。そのユーザのためのディレクトリエントリが存在しない場合は、この練習に便利です。 HTTPは広く展開され、HTTPは、多くのファイアウォールによって収容されています。したがって、HTTPは、証明書とCRLの配布のためのディレクトリアクセスプロトコルに魅力的な代替手段です。このサービスは、既にURIで識別された証明書に関連する情報を取得するための要件を満たしているが、そのような彼らの電子メールアドレスなど、いくつかの他の情報についてのユーザーの証明書を見つけるのより一般的な問題を満足するものではありませんまたは企業の提携は、知られています。
For convenience, the names of files that contain certificates should have a suffix of ".cer". Each ".cer" file contains exactly one certificate, encoded in DER format. Likewise, the names of files that contain CRLs should have a suffix of ".crl". Each ".crl" file contains exactly one CRL, encoded in DER format.
便宜上、証明書を含むファイルの名前は、「.CER」の接尾辞を持つ必要があります。各「.cerの」ファイルはDER形式でエンコードされた正確に一つの証明書が含まれています。同様に、CRLを含むファイルの名前は、「の.crl」の接尾辞を持つ必要があります。各「の.crl」ファイルはDER形式でエンコードされた正確に一つのCRLが含まれています。
4 MIME registrations
4件のMIME登録
Two MIME types are defined to support the transfer of certificates and CRLs. They are:
二つのMIMEタイプは、証明書とCRLの転送をサポートするために定義されています。彼らです:
application/pkix-cert application/pkix-crl
アプリケーション/ PKIX-CERTアプリケーション/ PKIX-CRL
To: ietf-types@iana.org Subject: Registration of MIME media type application/pkix-cert
To:ietf-types@iana.org件名:MIMEメディアタイプapplication / PKIX-CERTの登録
MIME media type name: application
MIMEメディアタイプ名:application
MIME subtype name: pkix-cert
MIMEサブタイプ名:PKIX-CERT
Required parameters: None
必須パラメータ:なし
Optional parameters: version (default value is "1")
オプションのパラメータ:バージョン(デフォルト値は「1」です)
Encoding considerations: will be none for 8-bit transports and most likely Base64 for SMTP or other 7-bit transports
エンコーディングの考慮事項:SMTPまたは他の7ビットの輸送のための8ビットのトランスポートのどれと最も可能性の高いBase64でなくなります
Security considerations: Carries a cryptographic certificate
セキュリティの考慮事項:暗号化証明書を運びます
Interoperability considerations: None
相互運用性に関する注意事項:なし
Published specification: draft-ietf-pkix-ipki-part1
公開された仕様:ドラフト-IETF-PKIX-ipki - パート1
Applications which use this media type: Any MIME-complaint transport
このメディアタイプを使用するアプリケーション:任意のMIME-苦情輸送
Additional information: Magic number(s): None File extension(s): .CER Macintosh File Type Code(s): none
追加情報:マジックナンバー(S):なしファイルの拡張子(S):.CERマッキントッシュファイルタイプコード(S):なし
Person & email address to contact for further information: Russ Housley <housley@spyrus.com>
人とEメールアドレスは、詳細のために連絡する:ラスHousley <housley@spyrus.com>
Intended usage: COMMON
意図している用法:COMMON
Author/Change controller: Russ Housley <housley@spyrus.com>
著者/変更コントローラ:ラスHousley <housley@spyrus.com>
To: ietf-types@iana.org Subject: Registration of MIME media type application/pkix-crl
To:ietf-types@iana.org件名:MIMEメディアタイプapplication / PKIX-CRLの登録
MIME media type name: application
MIMEメディアタイプ名:application
MIME subtype name: pkix-crl
MIMEサブタイプ名:PKIX-CRL
Required parameters: None
必須パラメータ:なし
Optional parameters: version (default value is "1")
オプションのパラメータ:バージョン(デフォルト値は「1」です)
Encoding considerations: will be none for 8-bit transports and most likely Base64 for SMTP or other 7-bit transports
エンコーディングの考慮事項:SMTPまたは他の7ビットの輸送のための8ビットのトランスポートのどれと最も可能性の高いBase64でなくなります
Security considerations: Carries a cryptographic certificate revocation list
セキュリティの考慮事項:暗号化証明書失効リストを運びます
Interoperability considerations: None
相互運用性に関する注意事項:なし
Published specification: draft-ietf-pkix-ipki-part1
公開された仕様:ドラフト-IETF-PKIX-ipki - パート1
Applications which use this media type: Any MIME-complaint transport
このメディアタイプを使用するアプリケーション:任意のMIME-苦情輸送
Additional information: Magic number(s): None File extension(s): .CRL Macintosh File Type Code(s): none
追加情報:マジックナンバー(S):なしファイルの拡張子(S):の.crlマッキントッシュファイルタイプコード(S):なし
Person & email address to contact for further information: Russ Housley <housley@spyrus.com>
人とEメールアドレスは、詳細のために連絡する:ラスHousley <housley@spyrus.com>
Intended usage: COMMON
意図している用法:COMMON
Author/Change controller: Russ Housley <housley@spyrus.com>
著者/変更コントローラ:ラスHousley <housley@spyrus.com>
References
リファレンス
[RFC 959] Postel, J. and J. Reynolds, "File Transfer Protocol (FTP)", STD 5, RFC 959, October 1985.
[RFC 959]ポステル、J.、およびJ.レイノルズ、 "ファイル転送プロトコル(FTP)"、STD 5、RFC 959、1985年10月。
[RFC 1738] Berners-Lee, T., Masinter, L. and M. McCahill, "Uniform Resource Locators (URL)", RFC 1738, December 1994.
[RFC 1738]バーナーズ=リー、T.、Masinter、LとM. McCahill、 "ユニフォームリソースロケータ(URL)"、RFC 1738、1994年12月。
[RFC 2068] Fielding, R., Gettys, J., Mogul, J., Frystyk, H. and T. Berners-Lee; "Hypertext Transfer Protocol -- HTTP/1.1", RFC 2068, January 1997.
[RFC 2068]フィールディング、R.、ゲティス、J.、モーグル、J.、Frystyk、H.、およびT.バーナーズ - リー。 "ハイパーテキスト転送プロトコル - HTTP / 1.1"、RFC 2068、1997年1月。
Security Considerations
セキュリティの考慮事項
Since certificates and CRLs are digitally signed, no additional integrity service is necessary. Neither certificates nor CRLs need be kept secret, and anonymous access to certificates and CRLs is generally acceptable. Thus, no privacy service is necessary.
証明書とCRLがデジタル署名されているので、追加の整合性のサービスは必要ありません。どちらの証明書もCRLは秘密にされ、証明書への匿名アクセスおよびCRLは、一般的に許容される必要があります。このように、何のプライバシーサービスは必要ありません。
HTTP caching proxies are common on the Internet, and some proxies do not check for the latest version of an object correctly. If an HTTP request for a certificate or CRL goes through a misconfigured or otherwise broken proxy, the proxy may return an out-of-date response.
HTTPキャッシングプロキシは、インターネット上で共通しており、いくつかのプロキシは正しくオブジェクトの最新バージョンをチェックしません。証明書またはCRLのためのHTTPリクエストの設定が間違っあるいは壊れたプロキシを通過する場合、プロキシは、期限切れの応答を返すことがあります。
Operators of FTP sites and World Wide Web servers should authenticate end entities who publish certificates as well as CAs and RAs who publish certificates and CRLs. However, authentication is not necessary to retrieve certificates and CRLs.
FTPサイトとWorld Wide Webサーバのオペレータは、証明書と同様にCAと証明書とCRLを発行するのRAを公開するエンド・エンティティを認証する必要があります。ただし、認証は証明書とCRLを取得する必要はありません。
Authors' Addresses
著者のアドレス
Russell Housley SPYRUS 381 Elden Street, Suite 1120 Herndon, VA 20170 USA
ラッセルHousleyのSPYRUS 381 Eldenストリート、スイート1120ハーンドン、VA 20170 USA
EMail: housley@spyrus.com
メールアドレス:housley@spyrus.com
Paul Hoffman Internet Mail Consortium 127 Segre Place Santa Cruz, CA 95060 USA
ポール・ホフマンインターネットメールコンソーシアムセグレ127場所サンタクルス、CA 95060 USA
EMail: phoffman@imc.org
メールアドレス:phoffman@imc.org
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (1999). All Rights Reserved.
著作権(C)インターネット協会(1999)。全著作権所有。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
この文書とその翻訳は、コピーして他の人に提供し、それ以外についてはコメントまたは派生物は、いかなる種類の制限もなく、全体的にまたは部分的に、準備コピーし、公表して配布することができることを説明したり、その実装を支援することができます、上記の著作権表示とこの段落は、すべてのそのようなコピーや派生物に含まれていることを条件とします。しかし、この文書自体は著作権のための手順はで定義されている場合には、インターネット標準を開発するために必要なものを除き、インターネットソサエティもしくは他のインターネット関連団体に著作権情報や参照を取り除くなど、どのような方法で変更されないかもしれませんインターネット標準化プロセスが続く、または英語以外の言語に翻訳するために、必要に応じなければなりません。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上記の制限は永久で、インターネット学会やその後継者や譲渡者によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とインターネットソサエティおよびインターネットエンジニアリングタスクフォースはすべての保証を否認し、明示または黙示、その情報の利用がない任意の保証を含むがこれらに限定されない「として、」上に設けられています特定の目的への権利または商品性または適合性の黙示の保証を侵害します。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。