RFC 6216 - Example Call Flows Using Session Initiation Protocol (SIP) Security Mechanisms 日本語訳

URL : https://tools.ietf.org/html/rfc6216
タイトル : RFC 6216 - 例コールは、セッション開始プロトコル（SIP）のセキュリティ・メカニズムを使用してフロー
翻訳編集 : 自動生成

Internet Engineering Task Force (IETF)                       C. Jennings
Request for Comments: 6216                                 Cisco Systems
Category: Informational                                           K. Ono
ISSN: 2070-1721                                      Columbia University
                                                               R. Sparks
                                                         B. Hibbard, Ed.
                                                                 Tekelec
                                                              April 2011

       Example Call Flows Using Session Initiation Protocol (SIP)
                          Security Mechanisms

Abstract

抽象

This document shows example call flows demonstrating the use of Transport Layer Security (TLS), and Secure/Multipurpose Internet Mail Extensions (S/MIME) in Session Initiation Protocol (SIP). It also provides information that helps implementers build interoperable SIP software. To help facilitate interoperability testing, it includes certificates used in the example call flows and processes to create certificates for testing.

この文書では、例えば、コールがトランスポート層セキュリティ（TLS）を使用することを実証し、および/セッション開始プロトコル（SIP）における多目的インターネットメール拡張（S / MIME）を確保フローを示しています。また、実装者が、相互運用可能なSIPソフトウェアを構築するのに役立つ情報を提供します。相互運用性テストを促進支援するために、それはテストのための証明書を作成するために、例のコールフローやプロセスで使用される証明書が含まれています。

Status of This Memo

このメモのステータス

This document is not an Internet Standards Track specification; it is published for informational purposes.

このドキュメントはインターネット標準化過程仕様ではありません。それは、情報提供の目的のために公開されています。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.

このドキュメントはインターネットエンジニアリングタスクフォース（IETF）の製品です。これは、IETFコミュニティの総意を表しています。これは、公開レビューを受けており、インターネットエンジニアリング運営グループ（IESG）によって公表のために承認されています。 IESGによって承認されていないすべての文書がインターネットStandardのどんなレベルの候補です。 RFC 5741のセクション2を参照してください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6216.

このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc6216で取得することができます。

著作権表示

著作権（C）2011 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント（http://trustee.ietf.org/license-info）に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。コードコンポーネントは、トラスト法規定のセクションで説明4.eおよび簡体BSDライセンスで説明したように、保証なしで提供されているよう簡体BSDライセンスのテキストを含める必要があり、この文書から抽出されました。

Table of Contents

   1.  Introduction . . . . . . . . . . . . . . . . . . . . . . . . .  3
   2.  Certificates . . . . . . . . . . . . . . . . . . . . . . . . .  4
     2.1.  CA Certificates  . . . . . . . . . . . . . . . . . . . . .  4
     2.2.  Host Certificates  . . . . . . . . . . . . . . . . . . . .  8
     2.3.  User Certificates  . . . . . . . . . . . . . . . . . . . . 10
   3.  Call Flow with Message Over TLS  . . . . . . . . . . . . . . . 12
     3.1.  TLS with Server Authentication . . . . . . . . . . . . . . 12
     3.2.  MESSAGE Transaction Over TLS . . . . . . . . . . . . . . . 13
   4.  Call Flow with S/MIME-Secured Message  . . . . . . . . . . . . 15
     4.1.  MESSAGE Request with Signed Body . . . . . . . . . . . . . 15
     4.2.  MESSAGE Request with Encrypted Body  . . . . . . . . . . . 20
     4.3.  MESSAGE Request with Encrypted and Signed Body . . . . . . 22
   5.  Observed Interoperability Issues . . . . . . . . . . . . . . . 27
   6.  Additional Test Scenarios  . . . . . . . . . . . . . . . . . . 29
   7.  Acknowledgments  . . . . . . . . . . . . . . . . . . . . . . . 31
   8.  Security Considerations  . . . . . . . . . . . . . . . . . . . 32
   9.  References . . . . . . . . . . . . . . . . . . . . . . . . . . 32
     9.1.  Normative References . . . . . . . . . . . . . . . . . . . 32
     9.2.  Informative References . . . . . . . . . . . . . . . . . . 34
   Appendix A.  Making Test Certificates  . . . . . . . . . . . . . . 35
     A.1.  makeCA script  . . . . . . . . . . . . . . . . . . . . . . 36
     A.2.  makeCert script  . . . . . . . . . . . . . . . . . . . . . 40
   Appendix B.  Certificates for Testing  . . . . . . . . . . . . . . 42
     B.1.  Certificates Using EKU . . . . . . . . . . . . . . . . . . 42
     B.2.  Certificates NOT Using EKU . . . . . . . . . . . . . . . . 51
     B.3.  Certificate Chaining with a Non-Root CA  . . . . . . . . . 58
   Appendix C.  Message Dumps . . . . . . . . . . . . . . . . . . . . 64

1. Introduction

1. はじめに

This document is informational and is not normative on any aspect of SIP.

この文書は情報提供であり、SIPのあらゆる側面に規範的ではありません。

SIP with TLS ([RFC5246]) implementations are becoming very common. Several implementations of the S/MIME ([RFC5751]) portion of SIP ([RFC3261]) are also becoming available. After several interoperability events, it is clear that it is difficult to write these systems without any test vectors or examples of "known good" messages to test against. Furthermore, testing at the events is often hindered due to the lack of a commonly trusted certification authority to sign the certificates used in the events. This document addresses both of these issues by providing messages that give detailed examples that implementers can use for comparison and that can also be used for testing. In addition, this document provides a common certificate and private key that can be used to set up a mock Certification Authority (CA) that can be used during the SIP interoperability events. Certificate requests from the users will be signed by the private key of the mock CA. The document also provides some hints and clarifications for implementers.

TLSでSIP（[RFC5246]）の実装は非常に一般的になってきています。 SIPのS / MIME（[RFC5751]）の部分（[RFC3261]）のいくつかの実装も利用可能になりつつあります。いくつかの相互運用性のイベントの後、反対テストする「既知の正常な」メッセージのいずれかのテストベクトルまたは例なしに、これらのシステムを記述することは困難であることは明らかです。また、イベントでのテストは、しばしばイベントで使用される証明書に署名するために一般に信頼できる認証局の不足のために妨げられています。この文書では、実装者は、比較のために使用することができますし、それはまた、テストのために使用することができ、詳細な例を与えるメッセージを提供することにより、これらの問題の両方に対応しています。また、この文書は、共通の証明書とSIPの相互運用性イベント中に使用することができますモック証明機関（CA）を設定するために使用することができた秘密鍵を提供します。ユーザーからの証明書の要求は、モックCAの秘密鍵によって署名されます文書はまた、実装のためのいくつかのヒントと説明を提供します。

A simple SIP call flow using SIPS URIs and TLS is shown in Section 3. The certificates for the hosts used are shown in Section 2.2, and the CA certificates used to sign these are shown in Section 2.1.

SIPS URIとTLSを使用した単純なSIPコールフローを使用ホストの証明書がセクション2.2に示されている第3に示されており、これらの署名に使用されるCA証明書は、セクション2.1に示されています。

The text from Section 4.1 through Section 4.3 shows some simple SIP call flows using S/MIME to sign and encrypt the body of the message. The user certificates used in these examples are shown in Section 2.3. These host certificates are signed with the same mock CA private key.

4.3節によるセクション4.1からのテキストは、いくつかの簡単なSIPコールが署名し、メッセージの本文を暗号化するためにS / MIMEを使用してフローを示しています。これらの例で使用されるユーザー証明書は、2.3節に示されています。これらのホスト証明書は同じモックCAの秘密鍵で署名されています。

Section 5 presents a partial list of items that implementers should consider in order to implement systems that will interoperate.

第5節では、実装者が相互運用しますシステムを実装するために検討すべき項目のリストの一部を示します。

Scripts and instructions to make certificates that can be used for interoperability testing are presented in Appendix A, along with methods for converting these to various formats. The certificates used while creating the examples and test messages in this document are made available in Appendix B.

スクリプトと相互運用性テストのために使用することができる証明書を作成する手順は、様々なフォーマットにこれらを変換するための方法と共に、付録Aに提示されています。このドキュメントの例とテストメッセージの作成中に使用される証明書は、付録Bに利用可能にされます

Binary copies of various messages in this document that can be used for testing appear in Appendix C.

テストに使用することができますこの文書に記載されている様々なメッセージのバイナリコピーは付録Cに表示されます

2. Certificates

2.証明書

2.1. CA Certificates

2.1. CA証明書

The certificate used by the CA to sign the other certificates is shown below. This is an X.509v3 ([X.509]) certificate. Note that the X.509v3 Basic Constraints in the certificate allows it to be used as a CA, certification authority. This certificate is not used directly in the TLS call flow; it is used only to verify user and host certificates.

他の証明書に署名するCAが使用する証明書は以下の通りです。これは、のX.509v3（[509]）証明書です。証明書内のX.509v3基本的な制約は、それがCA、認証局として使用されることを可能にすることに注意してください。この証明書は、TLSのコールフローで直接使用されていません。ユーザとホストの証明書を検証するためにのみ使用されます。

Version: 3 (0x2) Serial Number: 96:a3:84:17:4e:ef:8a:4c Signature Algorithm: sha1WithRSAEncryption Issuer: C=US, ST=California, L=San Jose, O=sipit, OU=Sipit Test Certificate Authority Validity Not Before: Jan 27 18:36:05 2011 GMT Not After : Jan 3 18:36:05 2111 GMT Subject: C=US, ST=California, L=San Jose, O=sipit, OU=Sipit Test Certificate Authority Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:ab:1f:91:61:f1:1c:c5:cd:a6:7b:16:9b:b7:14: 79:e4:30:9e:98:d0:ec:07:b7:bd:77:d7:d1:f5:5b: 2c:e2:ee:e6:b1:b0:f0:85:fa:a5:bc:cb:cc:cf:69: 2c:4f:fc:50:ef:9d:31:2b:c0:59:ea:fb:64:6f:1f: 55:a7:3d:fd:70:d2:56:db:14:99:17:92:70:ac:26: f8:34:41:70:d9:c0:03:91:6a:ba:d1:11:8f:ac:12: 31:de:b9:19:70:8d:5d:a7:7d:8b:19:cc:40:3f:ae: ff:de:1f:db:94:b3:46:77:6c:ae:ae:ff:3e:d6:84: 5b:c2:de:0b:26:65:d0:91:c7:70:4b:c7:0a:4a:bf: c7:97:04:dd:ba:58:47:cb:e0:2b:23:76:87:65:c5: 55:34:10:ab:27:1f:1c:f8:30:3d:b0:9b:ca:a2:81: 72:4c:bd:60:fe:f7:21:fe:0b:db:0b:db:e9:5b:01: 36:d4:28:15:6b:79:eb:d0:91:1b:21:59:b8:0e:aa: bf:d5:b1:6c:70:37:a3:3f:a5:7d:0e:95:46:f6:f6: 58:67:83:75:42:37:18:0b:a4:41:39:b2:2f:6c:80: 2c:78:ec:a5:0f:be:9c:10:f8:c0:0b:0d:73:99:9e: 0d:d7:97:50:cb:cc:45:34:23:49:41:85:22:24:ad: 29:c3 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Key Identifier: 95:45:7E:5F:2B:EA:65:98:12:91:04:F3:63:C7:68:9A:58:16:77:27

バージョン：3（0x2の）シリアル番号：96：A3：84：17：4E：EF：8A：4C署名アルゴリズム：sha1WithRSAEncryption発行者：C = US、ST =カリフォルニア州、L =サンノゼ、O = sipit、OU = Sipitテスト認証局の有効期限はありません前：1月27日18時36分05秒2011 GMTない後：1月3日18時36分05秒2111 GMT件名：C = US、ST =カリフォルニア州、L =サンノゼ、O = sipit、OU = Sipitテスト認証局のサブジェクト公開鍵情報：公開鍵アルゴリズム：rsaEncryption RSA公開鍵：（2048ビット）モジュラス（2048ビット）：00：AB：1F：91：61：F1：1C：C5：CD：A6：7bは：16 ：9B：B7：14：79：E4：30：9E：98：D0：EC：07：B7：BD：77：D7：D1：F5：5B：C：E2：EE：E6：B1：B0：F0 ：85：FA：A5：BC：CB：CC：CF：69：2C：4F：FC：50：EF：9D：31：2B：C0：59：EA：FB：64：6F：1F：55：A7 ：3D：FD：70：D2：56：DB：14：99：17：92：70：AC：26：F8：34：41：70：D9：C0：03：91：6A：BA：D1：11 ：8F：AC：12：31：デ：B9：19：70：8D：5D：A7：7D：8B：19：CC：40：3F：AE：FF：デ：1F：DB：94：B3：46 ：77：6C：AE：AE：FF：3E：D6：84：5B：C2：デ：0B：26：65：D0：91：C7：70：4B：C7：0A：4A：BF：C7：97 ：04：DD：BA：58：47：CB：E0：2B：23：76：87：65：C5：55：34：10：AB：27：1F：1C：F8：30：3D：B0：9B ：CA：A2：81：72：4C：BD：60：FE：F7：21：FE：0B：DB：0B ：DB：E9：5B：01：36：D4：28：15：6B：79：EB：D0：91：1B：21：59：B8：0E：AA：BF：D5：B1：6C：70：37 ：A3：3F：A5：7D：0E：95：46：F6：F6：58：67：83：75：42：37：18：0B：A4：41：39：B2：2F：6C：80：2C ：78：EC：A5：0F：である：9C：10：F8：C0：0B：0D：73：99：9E：0D：D7：97：50：CB：CC：45：34：23：49：41 ：85：22：24：広告：29：C3指数：65537（0x10001）書X509v3拡張子：書X509v3件名キー識別子：95：45：7E：5F：2B：EA：65：98：12：91：04：F3： 63：C7：68：9：58：16：77：27

       X509v3 Authority Key Identifier:
           95:45:7E:5F:2B:EA:65:98:12:91:04:F3:63:C7:68:9A:58:16:77:27

X509v3 Basic Constraints: CA:TRUE Signature Algorithm: sha1WithRSAEncryption 06:5f:9e:ae:a0:9a:bc:b5:b9:5b:7e:97:33:cc:df:63:98:98: 94:cb:0d:66:a9:83:e8:aa:58:2a:59:a1:9e:47:31:a6:af:5c: 3f:a2:25:86:f8:df:05:92:b7:db:69:a1:69:72:87:66:c5:ab: 35:89:01:37:19:c9:74:eb:09:d1:3f:88:7b:24:13:42:ca:2d: fb:45:e6:cc:4b:f8:21:78:f3:f5:97:ec:09:92:24:a2:f0:e6: 94:8d:97:4a:00:94:00:bd:25:b8:17:2c:52:53:5d:cc:5c:48: a4:a1:1d:2d:f6:50:55:13:a4:d3:b2:a2:f4:f1:b9:6d:48:5e: 5c:f3:de:e0:fc:59:09:a1:d9:14:61:65:bf:d8:3f:b9:ba:2e: 7c:ed:5c:24:9b:6b:ca:aa:5f:f1:c1:1e:b0:a8:da:82:0f:fb: 4c:71:3b:4d:7b:38:c8:e3:8a:2a:19:34:44:26:0b:ea:f0:47: 38:46:28:65:04:e2:01:52:dd:ec:3d:e5:f5:53:74:77:74:75: 6d:c6:d9:c2:0a:ac:3b:b8:98:5c:55:53:34:74:52:a8:26:b1: 2f:30:22:d0:8b:b7:f3:a0:dd:68:07:33:d5:ae:b7:81:b2:94: 58:72:4e:7c:c6:72:2f:bd:6c:69:fb:b5:17:a8:2a:8d:d7:2c: 91:06:c8:0c

書X509v3基本制約：CA：TRUE署名アルゴリズム：sha1WithRSAEncryption 06：5F：9E：AE：A0：9A：BC：B5：B9：5B：7E：94：97：33：CC：DF：63：98：98 CB ：0D：66：A9：83：E8：AA：58：2A：59：A1：9E：47：31：A6：AF：5C：3F：A2：25：86：F8：DF：05：92：B7 ：DB：69：A1：69：72：87：66：C5：AB：35：89：01：37：19：C9：74：EB：09：D1：3F：88：7B：24：13：42 ：CA：2D：FB：45：E6：CC：4B：F8：21：78：F3：F5：97：EC：09：92：24：A2：F0：E6：94：8D：97：4A：00 ：94：00：BD：25：B8：17：C：52：53：5D：CC：5C：48：A4：A1：1D：2D：F6：50：55：13：A4：D3：B2：A2 ：F4：F1：B9：6D：48：5E：5C：F3：デ：E0：FC：59：09：A1：D9：14：61：65：BF：D8：3F：B9：BA：2E：7C ：ED：5C：24：9B：6B：CA：AA：5F：F1：C1：1E：B0：A8：DA：82：0F：FB：4C：71：3B：4D：7B：38：C8：E3 ：8A：2A：19：34：44：26：0B：EA：F0：47：38：46：28：65：04：E2：01：52：DD：EC：3D：E5：F5：53：74 ：77：74：75：6D：C6：D9：C2：0A：AC：3B：B8：98：5C：55：53：34：74：52：A8：26：B1：2F：30：22：D0 ：8B：B7：F3：A0：DD：68：07：33：D5：AE：B7：81：B2：94：58：72：4E：7C：C6：72：2F：BD：6C：69：FB ：B5：17：A8：2A：8D：D7：C：91：06：C8：0C

The certificate content shown above and throughout this document was rendered by the OpenSSL "x509" tool. These dumps are included only as informative examples. Output may vary among future revisions of the tool. At the time of this document's publication, there were some irregularities in the presentation of Distinguished Names (DNs). In particular, note that in the "Issuer" and "Subject" fields, it appears the intent is to present DNs in Lightweight Directory Access Protocol (LDAP) format. If this was intended, the spaces should have been omitted after the delimiting commas, and the elements should have been presented in order of most-specific to least-specific. Please refer to Appendix A of [RFC4514]. Using the "Issuer" DN from above as an example and following guidelines in [RFC4514], it should have instead appeared as:

上記および本明細書を通して示される証明書の内容は、OpenSSLの「X509」ツールによってレンダリングされました。これらのダンプは、唯一の有益な例として含まれています。出力は、ツールの今後の改訂の間で異なる場合があります。このドキュメントの公開時点で、識別名（DN）のプレゼンテーションでは、いくつかの不規則性がありました。具体的には、「発行者」と「件名」フィールドに、意図がLDAP（Lightweight Directory Access Protocol）の形式でDNを提示することである表示されていること。注意してくださいこれが意図していた場合は、スペースが区切りのカンマの後に省略されている必要があり、かつ要素が最も固有に最も固有の順序で提示されている必要があります。 [RFC4514]の付録を参照してください。一例として、上から「発行者」DNを使用して、[RFC4514]のガイドラインに従って、その代わりとして登場しているべきです。

Issuer: OU=Sipit Test Certificate Authority,O=sipit,L=San Jose, ST=California,C=US

発行者：OU = Sipitテスト認証機関、O = sipit、L =サンノゼ、ST =カリフォルニア、C = USで

The ASN.1 ([X.683]) parse of the CA certificate is shown below.

CA証明書の解析ASN.1（[X.683]）を以下に示します。

0:l= 949 cons: SEQUENCE 4:l= 669 cons: SEQUENCE 8:l= 3 cons: cont [ 0 ] 10:l= 1 prim: INTEGER :02 13:l= 9 prim: INTEGER :96A384174EEF8A4C 24:l= 13 cons: SEQUENCE

0：L = 949の短所：SEQUENCE 4：L = 669の短所：SEQUENCE 8：L = 3つの短所：CONT [0] 10：L = 1プリム：INTEGER 02 13：L = 9プリム：INTEGER：96A384174EEF8A4C 24：L REC = 13：SEQUENCE

26:l= 9 prim: OBJECT :sha1WithRSAEncryption 37:l= 0 prim: NULL 39:l= 112 cons: SEQUENCE 41:l= 11 cons: SET 43:l= 9 cons: SEQUENCE 45:l= 3 prim: OBJECT :countryName 50:l= 2 prim: PRINTABLESTRING :US 54:l= 19 cons: SET 56:l= 17 cons: SEQUENCE 58:l= 3 prim: OBJECT :stateOrProvinceName 63:l= 10 prim: UTF8STRING 43 61 6c 69 66 6f 72 6e-69 61 California 75:l= 17 cons: SET 77:l= 15 cons: SEQUENCE 79:l= 3 prim: OBJECT :localityName 84:l= 8 prim: UTF8STRING 53 61 6e 20 4a 6f 73 65- San Jose 94:l= 14 cons: SET 96:l= 12 cons: SEQUENCE 98:l= 3 prim: OBJECT :organizationName 103:l= 5 prim: UTF8STRING 73 69 70 69 74 sipit 110:l= 41 cons: SET 112:l= 39 cons: SEQUENCE 114:l= 3 prim: OBJECT :organizationalUnitName 119:l= 32 prim: UTF8STRING 53 69 70 69 74 20 54 65-73 74 20 43 65 72 74 69 Sipit Test Certi 66 69 63 61 74 65 20 41-75 74 68 6f 72 69 74 79 ficate Authority 153:l= 32 cons: SEQUENCE 155:l= 13 prim: UTCTIME :110127183605Z 170:l= 15 prim: GENERALIZEDTIME :21110103183605Z 187:l= 112 cons: SEQUENCE 189:l= 11 cons: SET 191:l= 9 cons: SEQUENCE 193:l= 3 prim: OBJECT :countryName 198:l= 2 prim: PRINTABLESTRING :US 202:l= 19 cons: SET 204:l= 17 cons: SEQUENCE 206:l= 3 prim: OBJECT :stateOrProvinceName 211:l= 10 prim: UTF8STRING 43 61 6c 69 66 6f 72 6e-69 61 California 223:l= 17 cons: SET 225:l= 15 cons: SEQUENCE 227:l= 3 prim: OBJECT :localityName 232:l= 8 prim: UTF8STRING 53 61 6e 20 4a 6f 73 65- San Jose 242:l= 14 cons: SET 244:l= 12 cons: SEQUENCE

26：Lは= 9プリム：OBJECT：sha1WithRSAEncryption 37：L = 0プリム：NULL 39：L = 112の短所：SEQUENCE 41：L = 11の短所：L = 9つの短所：SEQUENCE 45：L = 3プリム：オブジェクト43を設定します：COUNTRYNAME 50：L = 2プリム：のprintablestring：US 54：L = 19の短所：L = 17の短所：SEQUENCE 58：L = 3プリム：OBJECT：stateOrProvinceName 63：L = 10プリム：UTF8STRING 43 61 6C 69 56を設定します66 6F 72 6E-69 61カリフォルニア75：L = 17の短所：L = 15の短所：SEQUENCE 79：L = 3プリム：77を設定OBJECT：localityName 84：L = 8プリム：73 65 6F UTF8STRING 53 61 6E 20 4A - サンノゼ94：L = 14の短所：96を設定する：L = 12の短所：SEQUENCE 98：L = 3プリム：OBJECT：organizationNameの103：L = 5プリム：UTF8STRING 73 69 70 69 74 sipit 110：L = 41の短所： 112設定：L = 39の短所：SEQUENCE 114：プリムL = 3：OBJECT：organizationalUnitName 119：L = 32プリム：UTF8STRING 53 69 70 69 74 20 54 65-73 74 20 43 65 72 74 69 SipitテストCERTI 66 69 63 61 74 65 20 41-75 74 68 6F 72 69 74 79 ficate機関153：L = 32の短所：SEQUENCE 155：L = 13プリム：UTC時刻：110127183605Z 170：L = 15プリム：GeneralizedTimeの：21110103183605Z 187：L = 112の短所：SEQUEN CE 189：L = 11の短所：L = 9つの短所：SEQUENCE 193：プリムL = 3：OBJECT：COUNTRYNAME 198：L = 2プリム：のprintablestring：US 202：L = 19の短所：L = 17：204を設定191を設定します短所：SEQUENCE 206：プリムL = 3：OBJECT：stateOrProvinceName 211：L = 10プリム：UTF8STRING 43 61 6C 69 66 6F 72 6E-69 61カリフォルニア223：L = 17の短所：L = 15の短所：SEQUENCE 227 225を設定します：Lプリム= 3：OBJECT：localityName 232：L = 14の短所：L = 8プリム：73 65〜サンノゼ242 6F UTF8STRING 53 61 6E 20 4A L = 12の短所：SEQUENCE 244を設定します

246:l=   3 prim:      OBJECT            :organizationName
251:l=   5 prim:      UTF8STRING
  73 69 70 69 74                                    sipit
258:l=  41 cons:    SET
260:l=  39 cons:     SEQUENCE
262:l=   3 prim:      OBJECT            :organizationalUnitName
267:l=  32 prim:      UTF8STRING
  53 69 70 69 74 20 54 65-73 74 20 43 65 72 74 69   Sipit Test Certi
  66 69 63 61 74 65 20 41-75 74 68 6f 72 69 74 79   ficate Authority
301:l= 290 cons:   SEQUENCE
305:l=  13 cons:    SEQUENCE
307:l=   9 prim:     OBJECT            :rsaEncryption
318:l=   0 prim:     NULL
320:l= 271 prim:    BIT STRING
  00 30 82 01 0a 02 82 01-01 00 ab 1f 91 61 f1 1c   .0...........a..
  c5 cd a6 7b 16 9b b7 14-79 e4 30 9e 98 d0 ec 07   ...{....y.0.....
  b7 bd 77 d7 d1 f5 5b 2c-e2 ee e6 b1 b0 f0 85 fa   ..w...[,........
  a5 bc cb cc cf 69 2c 4f-fc 50 ef 9d 31 2b c0 59   .....i,O.P..1+.Y
  ea fb 64 6f 1f 55 a7 3d-fd 70 d2 56 db 14 99 17   ..do.U.=.p.V....
  92 70 ac 26 f8 34 41 70-d9 c0 03 91 6a ba d1 11   .p.&.4Ap....j...
  8f ac 12 31 de b9 19 70-8d 5d a7 7d 8b 19 cc 40   ...1...p.].}...@
  3f ae ff de 1f db 94 b3-46 77 6c ae ae ff 3e d6   ?.......Fwl...>.
  84 5b c2 de 0b 26 65 d0-91 c7 70 4b c7 0a 4a bf   .[...&e...pK..J.
  c7 97 04 dd ba 58 47 cb-e0 2b 23 76 87 65 c5 55   .....XG..+#v.e.U
  34 10 ab 27 1f 1c f8 30-3d b0 9b ca a2 81 72 4c   4..'...0=.....rL
  bd 60 fe f7 21 fe 0b db-0b db e9 5b 01 36 d4 28   .`..!......[.6.(
  15 6b 79 eb d0 91 1b 21-59 b8 0e aa bf d5 b1 6c   .ky....!Y......l
  70 37 a3 3f a5 7d 0e 95-46 f6 f6 58 67 83 75 42   p7.?.}..F..Xg.uB
  37 18 0b a4 41 39 b2 2f-6c 80 2c 78 ec a5 0f be   7...A9./l.,x....
  9c 10 f8 c0 0b 0d 73 99-9e 0d d7 97 50 cb cc 45   ......s.....P..E
  34 23 49 41 85 22 24 ad-29 c3 02 03 01 00 01      4#IA."$.)......
595:l=  80 cons:   cont [ 3 ]
597:l=  78 cons:    SEQUENCE
599:l=  29 cons:     SEQUENCE
601:l=   3 prim:      OBJECT            :X509v3 Subject Key Identifier
606:l=  22 prim:      OCTET STRING
  04 14 95 45 7e 5f 2b ea-65 98 12 91 04 f3 63 c7   ...E~_+.e.....c.
  68 9a 58 16 77 27                                 h.X.w'
630:l=  31 cons:     SEQUENCE
632:l=   3 prim:      OBJECT            :X509v3 Authority Key Identifier
637:l=  24 prim:      OCTET STRING
  30 16 80 14 95 45 7e 5f-2b ea 65 98 12 91 04 f3   0....E~_+.e.....
  63 c7 68 9a 58 16 77 27-                          c.h.X.w'
663:l=  12 cons:     SEQUENCE
665:l=   3 prim:      OBJECT            :X509v3 Basic Constraints
670:l=   5 prim:      OCTET STRING
  30 03 01 01 ff                                    0....
677:l=  13 cons:  SEQUENCE

679:l= 9 prim: OBJECT :sha1WithRSAEncryption 690:l= 0 prim: NULL 692:l= 257 prim: BIT STRING 00 06 5f 9e ae a0 9a bc-b5 b9 5b 7e 97 33 cc df .._.......[~.3.. 63 98 98 94 cb 0d 66 a9-83 e8 aa 58 2a 59 a1 9e c.....f....X*Y.. 47 31 a6 af 5c 3f a2 25-86 f8 df 05 92 b7 db 69 G1..\?.%.......i a1 69 72 87 66 c5 ab 35-89 01 37 19 c9 74 eb 09 .ir.f..5..7..t.. d1 3f 88 7b 24 13 42 ca-2d fb 45 e6 cc 4b f8 21 .?.{$.B.-.E..K.! 78 f3 f5 97 ec 09 92 24-a2 f0 e6 94 8d 97 4a 00 x......$......J. 94 00 bd 25 b8 17 2c 52-53 5d cc 5c 48 a4 a1 1d ...%..,RS].\H... 2d f6 50 55 13 a4 d3 b2-a2 f4 f1 b9 6d 48 5e 5c -.PU........mH^\ f3 de e0 fc 59 09 a1 d9-14 61 65 bf d8 3f b9 ba ....Y....ae..?.. 2e 7c ed 5c 24 9b 6b ca-aa 5f f1 c1 1e b0 a8 da .|.\$.k.._...... 82 0f fb 4c 71 3b 4d 7b-38 c8 e3 8a 2a 19 34 44 ...Lq;M{8...*.4D 26 0b ea f0 47 38 46 28-65 04 e2 01 52 dd ec 3d &...G8F(e...R..= e5 f5 53 74 77 74 75 6d-c6 d9 c2 0a ac 3b b8 98 ..Stwtum.....;.. 5c 55 53 34 74 52 a8 26-b1 2f 30 22 d0 8b b7 f3 \US4tR.&./0".... a0 dd 68 07 33 d5 ae b7-81 b2 94 58 72 4e 7c c6 ..h.3......XrN|. 72 2f bd 6c 69 fb b5 17-a8 2a 8d d7 2c 91 06 c8 r/.li....*..,... 0c .

679：L = 9プリム：OBJECT：sha1WithRSAEncryption 690：L = 0プリム：NULL 692：L = 257プリム：ビット列00 06 5F 9EのAE A0 9aはBC-B5のB9 5B 7E 97 33 CCのDF .._... .... [〜0.3 .. 63 98 98 94 CB 0D 66 a9-83 E8のAA 58 2A 59 A1 9EのC ..... F ... X * Y .. 47 31 A6 AF 5C 3F A2 05 92 B7 DB 69 G1 DF 25から86 F8 .. \？％....... iが69 72 87 66 C5 AB 35から89 01 37 19 74 C9 EB 09 .ir.f..5をA1。 .7..t .. 7B 24 13 42 88 3F CA-2D FB 45のE6のCC 4bはF8 D1 21。？{$。B .. E..K。！ 78 F3、F5 97 EC 09 92 24-A2 F0 E6 94 8D 97 00 4A X ... $ ...... J。 94 00 BD 25 B8 17 2C 52-53 5D CC 5C 48、A4、A1の1D ...％..、RS] \ H ... 2D F6 50 55 13 A4 D3のB2-A2 F4 F1 6D 48 5E 5C B9。 - .PU ........ mHの^ \ f3のデE0 FC 59 09 A1 d9-14 61の65 BF D8の3FのB9のBA .... Y .... AE ..？.. 2E 7cのエド5C 24 9bは図6b CA-AA 5FのF1 C1は1EのB0のA8ダ| \ $ K .._...... 82 0F FB 4C 71図3b 4D 7B-38 C8 E3 8aは2A 19 34 44 ... Lqを。。。。 M {8 ... * 4D 26 0BのEA F0 47 38 46 28から65 04 E2 01 52 DD EC 3D＆... G8F（E ... R .. = E5、F5 53 74 77 74 75 6D-C6 D9のC2 0A交流3bはB8 98 ..Stwtum .....; B7 F3 \ US4tR 8B 30 22 D0 2F .. 5C 55 53 34 74 52 A8 26-B1＆/ 0" ... A0 68をD-D。 07 33 D5 AE b7-81 B2 94 58 72 4E 7C C6 ..h.3 ...... XRN |。に.Li 72 2F BD 6C 69のFB B5 17-A8 2aと8DのD7 2C 91 06 C8 R /。 ... * .. ... 0C。

2.2. Host Certificates

2.2. ホストの証明書

The certificate for the host example.com is shown below. Note that the Subject Alternative Name is set to example.com and is a DNS type. The certificates for the other hosts are shown in Appendix B.

ホストexample.comの証明書を以下に示します。サブジェクトの別名がexample.comに設定されており、DNSのタイプであることに注意してください。他のホストの証明書は、付録Bに示します。

Version: 3 (0x2) Serial Number: 96:a3:84:17:4e:ef:8a:4f Signature Algorithm: sha1WithRSAEncryption Issuer: C=US, ST=California, L=San Jose, O=sipit, OU=Sipit Test Certificate Authority Validity Not Before: Feb 7 19:32:17 2011 GMT Not After : Jan 14 19:32:17 2111 GMT Subject: C=US, ST=California, L=San Jose, O=sipit, CN=example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:dd:74:06:02:10:c2:e7:04:1f:bc:8c:b6:24:e7: 9b:94:a3:48:37:85:9e:6d:83:12:84:50:1a:8e:48: b1:fa:86:8c:a7:80:b9:be:52:ec:a6:ca:63:47:84: ad:f6:74:85:82:16:7e:4e:36:40:0a:74:2c:20:a9: 6a:0e:6a:7f:35:cf:70:71:63:7d:e9:43:67:81:4c: ea:b5:1e:b7:4c:a3:35:08:7b:21:0d:2a:73:07:63: 9d:8d:75:bf:1f:d4:8e:e6:67:60:75:f7:ea:0a:7a:

バージョン：3（0x2の）シリアル番号：96：A3：84：17：4E：EF：8A：署名アルゴリズム4F：sha1WithRSAEncryption発行者：C = US、ST =カリフォルニア州、L =サンノゼ、O = sipit、OU = Sipit前の試験認証機関の妥当性はない：1月14日午後07時32分17秒2111 GMT件名：後2月7日午後07時32分17秒2011 GMTないC = US、ST =カリフォルニア州、L =サンノゼ、O = sipit、CNは例を= .COMサブジェクト公開鍵情報：公開鍵アルゴリズム：rsaEncryption RSA公開鍵：（2048ビット）モジュラス（2048ビット）：00：DD：74：06：02：10：C2：E7：04：1F：BC：8C： B6：24：E7：9B：94：A3：48：37：85：9E：6D：83：12：84：50：1A：8E：48：B1：FA：86：8C：A7：80：B9：である：52：EC：A6：CA：63：47：84：広告：F6：74：85：82：16：7E：4E：36：40：0A：74：C：20：A9：6A：0E：図6a：7F：35：CF：70：71：63：7D：E9：43：67：81：4C：EA：B5：1E：B7：4C：A3：35：08：7B：21：0D：2A： 73:07:63：9D：8D：75：BF：1F：D4：8E：E6：67：60：75：F7：EA：0A：図7a：

6c:90:af:92:45:e0:62:05:9a:8a:10:98:dc:7c:54: 8b:e4:61:95:3b:04:fc:10:50:ef:80:45:ba:5e:84: 97:76:c1:20:25:c1:92:1d:89:0a:f7:55:62:64:fa: e8:69:a2:62:4c:67:d3:08:d9:61:b5:3d:16:54:b6: b7:44:8d:59:2b:90:d4:e9:fb:c7:7d:87:58:c3:12: ac:33:78:00:50:ba:07:05:b3:b9:01:1a:63:55:6c: e1:7a:ec:a3:07:ae:3b:02:83:a1:69:e0:c3:dc:2d: 61:e9:b2:e3:b3:71:c8:a6:cf:da:fb:3e:99:c7:e5: 71:b9:c9:17:d4:ed:bc:a0:47:54:09:8c:6e:6d:53: 9a:2c:c9:68:c6:6f:f1:3d:91:1a:24:43:77:7d:91: 69:4b Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Alternative Name: DNS:example.com, URI:sip:example.com X509v3 Basic Constraints: CA:FALSE X509v3 Subject Key Identifier: CC:06:59:5B:8B:5E:D6:0D:F2:05:4D:1B:68:54:1E:FC:F9:43:19:17 X509v3 Authority Key Identifier: 95:45:7E:5F:2B:EA:65:98:12:91:04:F3:63:C7:68:9A:58:16:77:27

6C：90：AF：92：45：E0：62：05：9A：8A：10：98：DC：7C：54：8B：E4：61：95：3B：04：FC：10：50：EF： 80：45：BA：5E：84：97：76：C1：20：25：C1：92：1D：89：0A：F7：55：62：64：FA：E8：69：A2：62：4C： 67：D3：08：D9：61：B5：3D：16：54：B6：B7：44：8D：59：2B：90：D4：E9：FB：C7：7D：87：58：C3：12： AC：33：78：00：50：BA：07：05：B3：B9：01：1A：63：55：6C：E1：7A：EC：A3：07：AE：3B：02：83：A1： 69：E0：C3：DC：2D：61：E9：B2：E3：B3：71：C8：A6：CF：DA：FB：3E：99：C7：E5：71：B9：C9：17：D4： ED：BC：A0：47：54：09：8C：6E：6D：53：9A：C：C9：68：C6：6F：F1：3D：91：1A：24：43：77：7D：91： 69：4bは指数：65537（0x10001）書X509v3拡張子：書X509v3サブジェクトの別名：DNS：example.com、URI：SIP：example.com書X509v3基本制約：CA：FALSE書X509v3件名キー識別子：CCを：06：59：5B： 8B：5E：D6：0D：F2：05：4D：1B：68：54：1E：FC：F9：43：19：17書X509v3機関キー識別子：95：45：7E：5F：2B：EA：65： 98：12：91：04：F3：63：C7：68：9：58：16：77：27

X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, 1.3.6.1.5.5.7.3.20 Signature Algorithm: sha1WithRSAEncryption 6a:9a:d1:db:00:4b:90:86:b0:53:ea:6f:30:31:89:1e:9b:09: 14:bd:6f:b9:02:aa:6f:58:ee:30:03:b8:a1:fd:b3:41:72:ff: b3:0d:cb:76:a7:17:c6:57:38:06:13:e5:f3:e4:30:17:4d:f7: 97:b5:f3:74:e9:81:f8:f4:55:a3:0d:f5:82:38:c3:98:43:52: 1f:84:cd:1a:b4:a3:45:9f:3d:e2:31:fd:cb:a2:ad:ed:60:7d: fa:d2:aa:49:2f:41:a9:80:01:bb:ed:b6:75:c9:97:69:7f:0c: 91:60:f1:c4:5a:36:e8:5c:ac:e1:a8:e7:9a:55:e5:e0:cd:01: f4:de:93:f4:38:6c:c1:71:d2:fd:cd:1b:5d:25:eb:90:7b:31: 41:e7:37:0e:e5:c0:01:48:91:f7:34:dd:c6:1f:74:e6:34:34: e6:cd:93:0f:3f:ce:94:ad:91:d9:e2:72:b1:9f:1d:d3:a5:7d: 5e:e2:a4:56:c5:b1:71:4d:10:0a:5d:a6:56:e6:57:1f:48:a5: 5c:75:67:ea:ab:35:3e:f6:b6:fa:c1:f3:8a:c1:80:71:32:18: 6c:33:b5:fa:16:5a:16:e1:a1:6c:19:67:f5:45:68:64:6f:b2: 31:dc:e3:5a:1a:b2:d4:87:89:96:fd:87:ba:38:4e:0a:19:07: 03:4b:9b:b1

書X509v3キー使用法：デジタル署名、否認防止、鍵暗号化書X509v3拡張キー使用法：TLS Webサーバー認証、1.3.6.1.5.5.7.3.20署名アルゴリズム：sha1WithRSAEncryption部6a：9A：D1：デシベル：00：4B：90：86 ：B0：53：EA：6F：30：31：89：1E：9B：09：14：BD：6F：B9：02：AA：6F：58：EE：30：03：B8：A1：FD：B3 ：41：72：FF：B3：0D：CB：76：A7：17：C6：57：38：06：13：E5：F3：E4：30：17：4D：F7：97：B5：F3：74 ：E9：81：F8：F4：55：A3：0D：F5：82：38：C3：98：43：52：1F：84：CD：1A：B4：A3：45：9F：3D：E2：31 ：FD：CB：A2：広告：ED：60：7D：FA：D2：AA：49：2F：41：A9：80：01：BB：ED：B6：75：C9：97：69：7F：0C ：91：60：F1：C4：5A：36：E8：5C：AC：E1：A8：E7：9A：55：E5：E0：CD：01：F4：デ：93：F4：38：6C：C1 ：71：D2：fdが：CD：1B：5D：25：EB：90：7B：41：31 E7：37：0E：E5：C0：01：48：91：F7：34：DD：C6：1F ：74：E6：34：34：E6：CD：93：0F：3F：CE：94：広告：91：D9：E2：72：B1：9F：1D：D3：A5：7D：5E：E2：A4 ：56：C5：B1：71：4D：10：0A：5D：A6：56：E6：57：1F：48：A5：5C：75：67：EA：AB：35：3E：F6：B6：FA ：C1：F3：8A：C1：80：71：32：18：6C：33：B5：FA：16：5A：16：E1：A1：6C：19：67：F5：45：68：64：6F ：B2：31：DC：E3：5A：1A：B2：D4：87：89：96：FD：87：BA：38：4E：0A：19：07：03：4B：9B：B1

The example host certificate above, as well as all the others presented in this document, are signed directly by a root CA. These certificate chains have a length equal to two: the root CA and the host certificate. Non-root CAs exist and may also sign certificates. The certificate chains presented by hosts with certificates signed by non-root CAs will have a length greater than two. For more details on how certificate chains are validated, see Sections 6.1 and 6.2 of [RFC5280].

上記の例のホスト証明書、ならびに本書で提示されたすべての他のものは、ルートCAによって直接署名されルートCAとホスト証明書：この証明書チェーンは2に等しい長さを持っています。非ルートCAが存在し、また、証明書に署名することができます。非ルートCAによって署名された証明書を持つホストが提示した証明書チェーンが2よりも大きい長さを持つことになります。証明書チェーンが検証される方法の詳細については、セクション6.1と[RFC5280]の6.2を参照してください。

2.3. User Certificates

2.3. ユーザー証明書

User certificates are used by many applications to establish user identity. The user certificate for fluffy@example.com is shown below. Note that the Subject Alternative Name has a list of names with different URL types such as a sip, im, or pres URL. This is necessary for interoperating with a Common Profile for Instant Messaging (CPIM) gateway. In this example, example.com is the domain for fluffy. The message could be coming from any host in *.example.com, and the address-of-record (AOR) in the user certificate would still be the same. The others are shown in Appendix B.1. These certificates make use of the Extended Key Usage (EKU) extension discussed in [RFC5924]. Note that the X509v3 Extended Key Usage attribute refers to the SIP OID introduced in [RFC5924], which is 1.3.6.1.5.5.7.3.20.

ユーザー証明書は、ユーザのアイデンティティを確立するために、多くのアプリケーションで使用されています。 fluffy@example.comためのユーザ証明書を以下に示します。サブジェクトの別名は、SIP、IM、またはPRESのURLなど、さまざまなURLのタイプと名前のリストを持っていることに注意してください。これは、インスタントメッセージング（CPIM）ゲートウェイの共通プロファイルと相互運用するために必要です。この例では、example.comは、ふわふわのドメインです。メッセージは、* .example.comの内の任意のホストから来ることができ、かつアドレス・オブ・レコード（AOR）ユーザ証明書では同じになります。その他は、付録B.1に示されています。これらの証明書は、[RFC5924]で議論拡張キー使用法（EKU）拡張機能を使用しています。書X509v3拡張キー使用属性が1.3.6.1.5.5.7.3.20は[RFC5924]に導入SIP OIDを指すことに留意されたいです。

Version: 3 (0x2) Serial Number: 96:a3:84:17:4e:ef:8a:4d Signature Algorithm: sha1WithRSAEncryption Issuer: C=US, ST=California, L=San Jose, O=sipit, OU=Sipit Test Certificate Authority Validity Not Before: Feb 7 19:32:17 2011 GMT Not After : Jan 14 19:32:17 2111 GMT Subject: C=US, ST=California, L=San Jose, O=sipit, CN=fluffy Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:a3:2c:59:0c:e9:bc:e4:ec:d3:9e:fb:99:02:ec: b1:36:3a:b7:d3:1d:4d:c3:3a:b6:ae:50:bd:5f:55: 08:77:8c:7e:a4:e9:f0:68:31:28:8f:23:32:56:19: c3:22:97:a7:6d:fd:a7:22:2a:01:b5:af:61:bd:5f: 7e:c1:14:e5:98:29:b4:34:4e:38:8a:26:ee:0d:da: db:27:b9:78:d6:ac:ac:04:78:32:98:c2:75:e7:6a: b7:2d:b3:3c:e3:eb:97:a5:ef:8b:59:42:50:17:7b: fe:a7:81:af:37:a7:e7:e3:1f:b0:8d:d0:72:2f:6c: 14:42:c6:01:68:e1:8f:fd:56:4d:7d:cf:16:dc:aa: 05:61:0b:0a:ca:ca:ec:51:ec:53:6e:3d:2b:00:80: fe:35:1b:06:0a:61:13:88:0b:44:f3:cc:fd:2b:0e: b4:a2:0b:a0:97:84:14:2e:ee:2b:e3:2f:c1:1a:9e: 86:9a:78:6a:a2:4c:57:93:e7:01:26:d3:56:0d:bd: b0:2f:f8:da:c7:3c:01:dc:cb:2d:31:8c:6c:c6:5c: b4:63:e8:b2:a2:40:11:bf:ad:f8:6d:12:01:97:1d: 47:f8:6a:15:8b:fb:27:96:73:44:46:34:d7:24:1c: cf:56:8d:d4:be:d6:94:5b:f0:a6:67:e3:dd:cf:b4: f2:d5 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Alternative Name: URI:sip:fluffy@example.com, URI:im:fluffy@example.com, URI:pres:fluffy@example.com X509v3 Basic Constraints: CA:FALSE X509v3 Subject Key Identifier: 85:97:09:B8:D3:55:37:24:8A:DC:DE:E3:91:72:E4:22:CF:98:87:52 X509v3 Authority Key Identifier: 95:45:7E:5F:2B:EA:65:98:12:91:04:F3:63:C7:68:9A:58:16:77:27

バージョン：3（0x2の）シリアル番号：96：A3：84：17：4E：EF：8A：4D署名アルゴリズム：sha1WithRSAEncryption発行者：C = US、ST =カリフォルニア州、L =サンノゼ、O = sipit、OU = Sipit前の試験認証機関の妥当性はない：1月14日午後07時32分17秒2111 GMT件名：後2月7日午後07時32分17秒2011 GMTないC = US、ST =カリフォルニア州、L =サンノゼ、O = sipit、CN =ふわふわサブジェクト公開鍵情報：公開鍵アルゴリズム：rsaEncryption RSA公開鍵：（2048ビット）モジュラス（2048ビット）：00：A3：2C：59：0C：E9：BC：E4：EC：D3：9E：FB：99： 02：EC：B1：36：3A：B7：D3：1D：4D：C3：3A：B6：AE：50：BD：5F：55：08：77：8C：7E：A4：E9：F0：68： 31：28：8F：23：32：56：19：C3：22：97：A7：6Dは：fdが：A7：22：2A：01：B5：AF：61：BD：5F：7E：C1：14： E5：98：29：B4：34：4E：38：8A：26：EE：0D：DA：DB：27：B9：78：D6：AC：AC：04：78：32：98：C2：75： E7：6A：B7：2D：B3：3C：E3：EB：97：A5：EF：8B：59：42：50：17：7B：FE：A7：81：AF：37：A7：E7：E3： 1F：B0：8D：D0：72：2F：6C：14：42：C6：68：01 E1は：8F：fdが：56：4D：7D：CF：16：DC：AA：05：61：0B： 0A：CA：CA：EC：51：EC：53：6E：3D：2B：80：00：FE：35：1B：06：0A：61：13：88：0B：44：F3：CC：FD： 2B：0E：B4：A2：0B：A0：97：84：14：2E：EE：2B：E3：2F：C1：1A：9E：86：9A：78：6A： A2：4C：57：93：E7：01：26：D3：56：0D：BD：B0：2F：F8：DA：C7：3C：01：DC：CB：2D：31：8C：6C：C6： 5C：B4：63：E8：B2：A2：40：11：BF：広告：F8：6D：12：01：97：1D：47：F8：6A：15：8B：FB：27：96：73： 44：46：34：D7：24：1C：CF：56：8D：D4：である：D6：94：5B：F0：A6：67：E3：DD：CF：B4：F2：D5指数：65537（0x10001 ）書X509v3拡張子：書X509v3のサブジェクトの別名：URI：一口：fluffy@example.com、URI：イム：fluffy@example.com、URI：PRES：fluffy@example.com書X509v3基本制約：CA：FALSE書X509v3サブジェクトキー識別子： 85：97：09：B8：D3：55：37：24：8A：DC：DE：E3：91：72：E4：22：CF：98：87：52書X509v3機関キー識別子：95：45：7E： 5F：2B：EA：65：98：12：91：04：F3：63：C7：68：9：58：16：77：27

X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment X509v3 Extended Key Usage: E-mail Protection, 1.3.6.1.5.5.7.3.20 Signature Algorithm: sha1WithRSAEncryption a8:a9:8f:d8:8a:0b:88:ed:ff:4f:bf:e5:cd:8f:9e:7b:b8:e6: f2:2c:aa:e3:23:5b:9a:71:5e:fd:20:a3:dd:d9:d3:c1:f2:e8: f0:be:77:db:33:cc:8a:7b:4f:91:2b:8d:d6:f7:14:c3:8d:e0: 60:d3:34:50:bc:be:67:22:cd:f5:74:7b:f4:9a:68:a2:52:2b: 81:2f:46:d3:09:9f:25:c3:20:e8:10:d5:ef:38:7b:d1:17:d4: f1:d7:54:67:56:f1:13:cf:2f:fc:8b:83:fc:14:e7:01:82:59: 83:cc:b1:8d:f0:c7:da:4e:b1:dc:cc:54:cf:6c:3b:47:47:59: 87:d9:16:ec:af:af:e1:12:13:23:1e:0a:db:f5:b5:ff:5d:ab: 15:0e:e3:25:91:00:0e:90:db:d8:07:11:90:81:01:3a:48:a8: aa:9e:b0:62:d3:36:f0:0c:b7:2f:a7:17:92:52:36:29:14:0a: d6:65:86:67:73:74:6e:aa:3c:ee:47:38:1e:c8:6e:06:81:85: 1c:2e:f0:b6:04:7d:6c:38:db:81:9c:b8:07:e3:07:be:f5:2f: 09:68:63:04:6b:87:0e:36:b9:a1:a3:fb:c8:30:0c:a0:63:8d: 6d:ab:0a:f8:44:b0:78:19:1a:38:7e:fa:6a:a1:d4:4b:4b:75: 75:bf:6f:09

書X509v3キー使用法：デジタル署名、否認防止、鍵暗号化書X509v3拡張キー使用法：Eメール保護、1.3.6.1.5.5.7.3.20署名アルゴリズム：sha1WithRSAEncryptionのA8：A9：8F：D8：8A：0B：88：エド：FF：4F：BF：E5：CD：8F：9E：7B：B8：E6：F2：C：AA：E3：23：5B：9A：71：5E：fdが：20：A3：DD：D9：D3 ：C1：F2：E8：F0：である：77：DB：33：CC：8A：7B：4F：91：2B：8D：D6：F7：14：C3：8D：E0：60：D3：34：50 ：BCは：である：67：22：CD：F5：74：7B：F4：9A：68：A2：52：2B：81：2F：46：D3：09：9F：25：C3：20：E8：10 ：D5：EF：38：7B：D1：17：D4：F1：D7：54：67：56：F1：13：CF：2F：FC：8B：83：FC：14：E7：01：82：59 ：83：CC：B1：8D：F0：C7：DA：4E：B1：DC：CC：54：CF：6C：3B：47：47：59：87：D9：16：EC：AF：AF：E1 ：12：13：23：1E：0A：DB：F5：B5：FF：5D：AB：15：0E：E3：25：91：00：0E：90：DB：D8：07：11：90：81 ：01：3A：48：A8：AA：9E：B0：62：D3：36：F0：0C：B7：2F：A7：17：92：52：36：29：14：0A：D6：65：86 ：67：73：74：6E：AA：3C：EE：47：38：1E：C8：6E：06：81：85：1C：2E：F0：B6：04：7D：6C：38：DB：81 ：9C：B8：07：E3：07：である：F5：2F：09：68：63：04：6B：87：0E：36：B9：A1：A3：FB：C8：30：0C：A0：63 ：8D：6D：AB：0A：F8：44：B0：78：19：1A：38：7E：FA：6A：A1：D4：4B：4B：75：75：BF：6F：09

Versions of these certificates that do not make use of EKU are also included in Appendix B.2

EKUを使用しないこれらの証明書のバージョンも付録B.2に含まれています

3. Call Flow with Message Over TLS

メッセージオーバーTLS 3.コールフロー

3.1. TLS with Server Authentication

3.1. サーバー認証とTLS

The flow below shows the edited SSLDump output of the host example.com forming a TLS [RFC5246] connection to example.net. In this example, mutual authentication is not used. Note that the client proposed three protocol suites including TLS_RSA_WITH_AES_128_CBC_SHA defined in [RFC5246]. The certificate returned by the server contains a Subject Alternative Name that is set to example.net. A detailed discussion of TLS can be found in SSL and TLS [EKR-TLS]. For more details on the SSLDump tool, see the SSLDump Manual [ssldump-manpage].

フローは以下example.netにTLS [RFC5246]の接続を形成するホストexample.comの編集SSLDump出力を示しています。この例では、相互認証が使用されていません。クライアントは[RFC5246]で定義されたTLS_RSA_WITH_AES_128_CBC_SHA含む3つのプロトコルスイートを提案していることに注意してください。サーバから返された証明書は、example.netに設定されているサブジェクトの別名が含まれています。 TLSの詳細な議論は、SSLおよびTLS [EKR-TLS]に見出すことができます。 SSLDumpツールの詳細については、SSLDumpマニュアル[ssldump-manページを参照してください。

This example does not use the Server Extended Hello (see [RFC5246]).

この例では、こんにちは拡張サーバーを使用していません（[RFC5246]を参照）。

New TCP connection #1: example.com(50738) <-> example.net(5061) 1 1 0.0004 (0.0004) C>SV3.1(101) Handshake ClientHello Version 3.1 random[32]= 4c 09 5b a7 66 77 eb 43 52 30 dd 98 4d 09 23 d3 ff 81 74 ab 04 69 bb 79 8c dc 59 cd c2 1f b7 ec cipher suites TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDH_RSA_WITH_AES_256_CBC_SHA TLS_DHE_RSA_WITH_AES_256_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_DSS_RSA_WITH_AES_256_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDH_RSA_WITH_AES_128_CBC_SHA TLS_DHE_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_DHE_DSS_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_DES_192_CBC3_SHA TLS_ECDH_RSA_WITH_DES_192_CBC3_SHA TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA TLS_ECDHE_RSA_WITH_RC4_128_SHA TLS_ECDH_RSA_WITH_RC4_128_SHA TLS_RSA_WITH_RC4_128_SHA TLS_RSA_WITH_RC4_128_MD5 TLS_DHE_RSA_WITH_DES_CBC_SHA TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA TLS_RSA_WITH_DES_CBC_SHA TLS_RSA_EXPORT_WITH_DES40_CBC_SHA TLS_DHE_DSS_WITH_DES_CBC_SHA

新たなTCPコネクション＃1：example.com（50738）< - > example.net（5061）1 0.0004（0.0004）C> SV3.1（101）ハンドシェイクのClientHelloバージョン3.1ランダム[32] = 4C 09 5B A7 66 77 81 74 AB 04 69 BB 79 8C DC 59のCD C2 1F B7 EC暗号スイートTLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDH_RSA_WITH_AES_256_CBC_SHA TLS_DHE_RSA_WITH_AES_256_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_DSS_RSA_WITH_AES_256_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDH_RSA_WITH_AES_128_CBC_SHA TLS_DHE_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_DHE_DSS_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_DES_192_CBC3_SHA TLS_ECDH_RSA_WITH_DES_192_CBC3_SHA TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA TLS_ECDHE_RSA_WITH_RC4_128_SHA TLS_ECDH_RSA_WITH_RC4_128_SHA TLS_RSA_WITH_RC4_128_SHA TLS_RSA_WITH_RC4_128_MD5 TLS_DHE_RSA_WITH_DES_CBC_SHA TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA TLS_RSA_WITH_DES_CBC_SHA FF EB 43 52 30 DD 98 4D 09 23 D3 TLS_RSA_EXPORT_WITH_DES40_CBC_SHA TLS_DHE_DSS_WITH_DES_ CBC_SHA

TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA TLS_RSA_EXPORT_WITH_RC4_40_MD5 compression methods NULL 1 2 0.0012 (0.0007) S>CV3.1(48) Handshake ServerHello Version 3.1 random[32]= 4c 09 5b a7 30 87 74 c7 16 98 24 d5 af 35 17 a7 ef c3 78 0c 94 d4 94 d2 7b a6 3f 40 04 25 f6 e0 session_id[0]=

TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA TLS_RSA_EXPORT_WITH_RC4_40_MD5圧縮方法は、1 2 0.0012（0.0007）S> CV3.1（48）ハンドシェイクのServerHelloバージョン3.1ランダム[32] = 4C 09 5B A7 30 87 74 C7 16 98 24 D5 AF 35 17 A7 EF C3を78 0C 94 D4をNULL 94 D2 7bはA6の3F 40 04 25 F6 E0 SESSION_ID [0] =

cipherSuite TLS_RSA_WITH_AES_256_CBC_SHA compressionMethod NULL 1 3 0.0012 (0.0000) S>CV3.1(1858) Handshake Certificate 1 4 0.0012 (0.0000) S>CV3.1(14) Handshake CertificateRequest certificate_types rsa_sign certificate_types dss_sign certificate_types unknown value ServerHelloDone 1 5 0.0043 (0.0031) C>SV3.1(7) Handshake Certificate 1 6 0.0043 (0.0000) C>SV3.1(262) Handshake ClientKeyExchange 1 7 0.0043 (0.0000) C>SV3.1(1) ChangeCipherSpec 1 8 0.0043 (0.0000) C>SV3.1(48) Handshake 1 9 0.0129 (0.0085) S>CV3.1(170) Handshake 1 10 0.0129 (0.0000) S>CV3.1(1) ChangeCipherSpec 1 11 0.0129 (0.0000) S>CV3.1(48) Handshake 1 12 0.0134 (0.0005) C>SV3.1(32) application_data 1 13 0.0134 (0.0000) C>SV3.1(496) application_data 1 14 0.2150 (0.2016) S>CV3.1(32) application_data 1 15 0.2150 (0.0000) S>CV3.1(336) application_data 1 16 12.2304 (12.0154) S>CV3.1(32) Alert 1 12.2310 (0.0005) S>C TCP FIN 1 17 12.2321 (0.0011) C>SV3.1(32) Alert

暗号スイートTLS_RSA_WITH_AES_256_CBC_SHA compressionMethod NULL 1~3 0.0012（0.0000）S> CV3.1（1858）ハンドシェイク認証1~4 0.0012（0.0000）S> CV3.1（14）ハンドシェイクCertificateRequest証明書_ rsa_sign証明書_ dss_sign証明書_未知の値ServerHelloDone 1~5 0.0043（0.0031） C> SV3.1（7）ハンドシェイク認証1~6 0.0043（0.0000）C> SV3.1（262）ハンドシェイクClientKeyExchange 1~7 0.0043（0.0000）C> SV3.1（1）ChangeCipherSpecを1~8 0.0043（0.0000）C> SV3 0.1（48）ハンドシェイク1~9 0.0129（0.0085）S> CV3.1（170）ハンドシェイク1 10 0.0129（0.0000）S> CV3.1（1）ChangeCipherSpecを1~11 0.0129（0.0000）S> CV3.1（48）ハンドシェーク1 12 0.0134（0.0005）C> SV3.1（32）application_data 1 13 0.0134（0.0000）C> SV3.1（496）application_data 1 14 0.2150（0.2016）S> CV3.1（32）application_data 1 15 0.2150（ 0.0000）S> CV3.1（336）application_data 1 16 12.2304（12.0154）S> CV3.1（32）アラート1 12.2310（0.0005）S> C TCP FIN 1 17 12.2321（0.0011）C> SV3.1（32）警戒

3.2. MESSAGE Transaction Over TLS

3.2. TLSを介してメッセージトランザクション

Once the TLS session is set up, the following MESSAGE request (as defined in [RFC3428] is sent from fluffy@example.com to kumiko@example.net. Note that the URI has a SIPS URL and that the VIA indicates that TLS was used. In order to format this document, the <allOneLine> convention from [RFC4475] is used to break long lines. The actual message does not contain the line breaks contained within those tags.

TLSセッションがセットアップされると、[RFC3428]で定義されるように、次のメッセージ要求（URIがSIPS URLがあることに注意してください。kumiko@example.netにfluffy@example.comから送信されたとVIAはTLSであったことを示していることです使用していました。このドキュメントの書式を設定するには、[RFC4475]から<allOneLine>大会は、長い行を分割するために使用されます。実際のメッセージは、これらのタグ内に含まれる改行が含まれていません。

   MESSAGE sips:kumiko@example.net:5061 SIP/2.0
   <allOneLine>
   Via: SIP/2.0/TLS 192.0.2.2:15001;
        branch=z9hG4bK-d8754z-c785a077a9a8451b-1---d8754z-;
        rport=50738
   </allOneLine>
   Max-Forwards: 70
   To: <sips:kumiko@example.net:5061>
   From: <sips:fluffy@example.com:15001>;tag=1a93430b
   Call-ID: OTZmMDE2OWNlYTVjNDkzYzBhMWRlMDU4NDExZmU4ZTQ.
   CSeq: 4308 MESSAGE
   <allOneLine>
   Accept: multipart/signed, text/plain, application/pkcs7-mime,
           application/sdp, multipart/alternative
   </allOneLine>
   Content-Type: text/plain
   Content-Length: 6

Hello!

こんにちは！

When a User Agent (UA) goes to send a message to example.com, the UA can see if it already has a TLS connection to example.com and if it does, it may send the message over this connection. A UA should have some scheme for reusing connections as opening a new TLS connection for every message results in awful performance. Implementers are encouraged to read [RFC5923] and [RFC3263].

ユーザーエージェント（UA）がexample.comにメッセージを送信するために行くとき、それはすでにexample.comへのTLS接続を持っている場合、UAは見ることができ、それがない場合は、この接続を介してメッセージを送信することができます。 UAはひどいパフォーマンスのすべてのメッセージの結果のための新たなTLS接続を開くなどの接続を再利用するためのいくつかのスキームを持っている必要があります。実装者は、[RFC5923]と[RFC3263]を読むことをお勧めします。

The response is sent from example.net to example.com over the same TLS connection. It is shown below.

応答は、同じTLS接続を介してexample.comにexample.netから送信されます。それは以下の通りです。

   SIP/2.0 200 OK
   <allOneLine>
   Via: SIP/2.0/TLS 192.0.2.2:15001;
        branch=z9hG4bK-d8754z-c785a077a9a8451b-1---d8754z-;
        rport=50738
   </allOneLine>
   To: <sips:kumiko@example.net:5061>;tag=0d075510
   From: <sips:fluffy@example.com:15001>;tag=1a93430b
   Call-ID: OTZmMDE2OWNlYTVjNDkzYzBhMWRlMDU4NDExZmU4ZTQ.
   CSeq: 4308 MESSAGE
   Content-Length: 0

4. Call Flow with S/MIME-Secured Message

S / MIME-セキュアメッセージ4.コールフロー

4.1. MESSAGE Request with Signed Body

4.1. 署名されたボディを持つメッセージ要求

Below is an example of a signed message. The values on the Content-Type line (multipart/signed) and on the Content-Disposition line have been broken across lines to fit on the page, but they are not broken across lines in actual implementations.

以下に署名されたメッセージの一例です。 Content-Typeのライン（マルチパート/署名）上およびContent-処分ライン上の値は、ページに収まるように行にわたって破られているが、それらは、実際の実装に行に渡って破壊されません。

   MESSAGE sip:kumiko@example.net SIP/2.0
   <allOneLine>
   Via: SIP/2.0/TCP 192.0.2.2:15001;
        branch=z9hG4bK-d8754z-3a922b6dc0f0ff37-1---d8754z-;
        rport=50739
   </allOneLine>
   Max-Forwards: 70
   To: <sip:kumiko@example.net>
   From: <sip:fluffy@example.com>;tag=ef6bad5e
   Call-ID: N2NiZjI0NjRjNDQ0MTY1NDRjNWNmMGU1MDA2MDRhYmI.
   CSeq: 8473 MESSAGE
   <allOneLine>
   Accept: multipart/signed, text/plain, application/pkcs7-mime,
           application/sdp, multipart/alternative
   </allOneLine>
   <allOneLine>
   Content-Type: multipart/signed;boundary=3b515e121b43a911;
                 micalg=sha1;protocol="application/pkcs7-signature"
   </allOneLine>
   Content-Length: 774

--3b515e121b43a911 Content-Type: text/plain Content-Transfer-Encoding: binary

--3b515e121b43a911のContent-Type：text / plainのコンテンツ転送 - エンコード：バイナリ

Hello! --3b515e121b43a911 Content-Type: application/pkcs7-signature;name=smime.p7s <allOneLine> Content-Disposition: attachment;handling=required; filename=smime.p7s </allOneLine> Content-Transfer-Encoding: binary

こんにちは！ --3b515e121b43a911コンテンツタイプ：アプリケーション/ PKCS7署名;名= smime.p7s <allOneLine>コンテンツの廃棄：添付;ハンドリング=要します。ファイル名= smime.p7s </ allOneLine>コンテンツ転送エンコード：バイナリ

***************** * BINARY BLOB 1 * ***************** --3b515e121b43a911--

It is important to note that the signature ("BINARY BLOB 1") is computed over the MIME headers and body, but excludes the multipart boundary lines. The value on the Message-body line ends with CRLF. The CRLF is included in the boundary and is not part of the signature computation. To be clear, the signature is computed over data starting with the "C" in the "Content-Type" and ending with the "!" in the "Hello!".

署名（「BINARY BLOB 1」）MIMEヘッダと本体にわたって計算されることに留意することが重要であるが、マルチパート境界線を除外する。メッセージボディライン上の値はCRLFで終わります。 CRLFは、境界に含まれる署名の計算の一部ではありません。明確にするために、署名は「Content-Typeの」中「C」で始まるデータ上で計算され、「！」で終わるされますで「こんにちは！」。

Content-Type: text/plain Content-Transfer-Encoding: binary

コンテンツタイプ：text / plainのコンテンツ転送 - エンコード：バイナリ

Hello!

こんにちは！

Following is the ASN.1 parsing of encrypted contents referred to above as "BINARY BLOB 1". Note that at address 30, the hash for the signature is specified as SHA-1. Also note that the sender's certificate is not attached as it is optional in [RFC5652].

以下は、「BINARY BLOB 1」と先に言及した暗号化コンテンツのASN.1解析です。アドレス30で、署名のハッシュをSHA-1として指定されていることに留意されたいです。また、それは、[RFC5652]でオプションであるとして、送信者の証明書が添付されていないことに注意してください。

: } : } 101 17: SET { 103 15: SEQUENCE { 105 3: OBJECT IDENTIFIER localityName (2 5 4 7) 110 8: UTF8String 'San Jose' : } : } 120 14: SET { 122 12: SEQUENCE { 124 3: OBJECT IDENTIFIER : organizationName (2 5 4 10) 129 5: UTF8String 'sipit' : } : } 136 41: SET { 138 39: SEQUENCE { 140 3: OBJECT IDENTIFIER : organizationalUnitName (2 5 4 11) 145 32: UTF8String 'Sipit Test Certificate Authority' : } : } : } 179 9: INTEGER 00 96 A3 84 17 4E EF 8A 4D : } 190 9: SEQUENCE { 192 5: OBJECT IDENTIFIER sha1 (1 3 14 3 2 26) 199 0: NULL : } 201 13: SEQUENCE { 203 9: OBJECT IDENTIFIER : rsaEncryption (1 2 840 113549 1 1 1) 214 0: NULL : } 216 256: OCTET STRING : 74 4D 21 39 D6 E2 E2 2C 30 5A AA BC 4E 60 8D 69 : A7 E5 79 50 1A B1 7D 4A D3 C1 03 9F 19 7D A2 76 : 97 B3 CE 30 CD 62 4B 96 20 35 DB C1 64 D9 33 92 : 96 CD 28 03 98 6E 2C 0C F6 8D 93 40 F2 88 DA 29 : AD 0B C2 0E F9 D3 6A 95 2C 79 6E C2 3D 62 E6 54 : A9 1B AC 66 DB 16 B7 44 6C 03 1B 71 9C EE C9 EC : 4D 93 B1 CF F5 17 79 C5 C8 BA 2F A7 6C 4B DC CF : 62 A3 F3 1A 1B 24 E4 40 66 3C 4F 87 86 BF 09 6A : 7A 43 60 2B FC D8 3D 2B 57 17 CB 81 03 2A 56 69 : 81 82 FA 78 DE D2 3A 2F FA A3 C5 EA 8B E8 0C 36 : 1B BC DC FD 1B 8C 2E 0F 01 AF D9 E1 04 0E 4E 50 : 94 75 7C BD D9 0B DD AA FA 36 E3 EC E4 A5 35 46

：}} 101 17：SET {103 15：SEQUENCE {105 3：オブジェクト識別子localityName（2 5 4 7）110 8：UTF8Stringを 'サンノゼ'：}} 120 14：SET {122 12：SEQUENCE {124 3 ：オブジェクト識別子：organizationNameの（2 5 4 10）129：5 'sipit' をUTF8STRING：}} 136 41：SET {138 39：SEQUENCE {140 3：オブジェクト識別子：organizationalUnitName（2 5 4 11）145 32：UTF8STRING ' Sipitテスト認証局」：}}} 179 9：INTEGER 00 96 A3 84 17 4E EF 8A 4D：} 190 9：SEQUENCE {192 5：オブジェクト識別子SHA1（1 3 14 3 2 26）、199 0：NULL： } 201 13：SEQUENCE {203 9：オブジェクト識別子：rsaEncryption（1 2 840 113549 1 1 1）214 0：NULL：} 216 256：オクテットSTRING：74 4D 21 39 D6 E2 E2 2C 30 5A AA BC 4E 60 8D 69 ：A7 E5 79 50 1A B1 7D 4A D3 C1 03 9F 19 7D A2 76：97 B3 CE 30 CD 62 4B 96 20 35 DB C1 64 D9 33 92：96 CD 28 03 98 6E 2C 0C F6 8D 93 40 F2 88 DA 29：AD 0B C2 0E F9 D3 6A 95 2C 79 6E C2 3D 62 E6 54：A9 1B AC 66 DB 16 B7 44 6C 03 1B 71 9C EE C9 EC：4D 93 B1 CF F5 17 79 C5 C8 BA 2F A7 6C 4B D C CF：62 A3 F3 1A 1B 24 E4 40 66 3C 4F 87 86 BF 09（a）：（a）43 60（b）FC D8 3D 2B 57 17 CB 81 03（a）56 69 81 82 FA 78 DE D2 3A 2F FA A3 C5 EA 8B E8 0C 36：1B BC DC FD 1B 8C 2E 0F 01 AF D9 E1 04 0E 4E 50：94 75（c）BD D9 0B DD AA FA 36 E3 E4 EC A5 35 46

          :             BE A2 97 1D AD BA 44 54 3A ED 94 DA 76 4A 51 BA
          :             A4 7D 7A 62 BF 2A 2F F2 5C 5A FE CA E6 B9 DC 5D
          :             EA 26 F2 35 17 19 20 CE 97 96 4E 72 9C 72 FD 1F
          :             68 C1 6A 5C 86 42 F2 ED F2 70 65 4C C7 44 C5 7C
          :           }
          :         }
          :       }
          :     }
          :   }

SHA-1 parameters may be omitted entirely, instead of being set to NULL, as mentioned in [RFC3370]. The above dump of Blob 1 has SHA-1 parameters set to NULL. Below are the same contents signed with the same key, but omitting the NULL according to [RFC3370]. This is the preferred encoding. This is covered in greater detail in Section 5.

[RFC3370]で述べたようにSHA-1のパラメータは、代わりにNULLに設定されるので、完全に省略されてもよいです。ブロブ1の上記ダンプは、NULLに設定SHA-1のパラメータを有します。以下同じ鍵で署名された同じ内容であるが、[RFC3370]によればNULLを省略します。これは有利なエンコーディングです。これは、第5節で詳細に覆われています。

0 468: SEQUENCE { 4 9: OBJECT IDENTIFIER signedData (1 2 840 113549 1 7 2) 15 453: [0] { 19 449: SEQUENCE { 23 1: INTEGER 1 26 9: SET { 28 7: SEQUENCE { 30 5: OBJECT IDENTIFIER sha1 (1 3 14 3 2 26) : } : } 37 11: SEQUENCE { 39 9: OBJECT IDENTIFIER data (1 2 840 113549 1 7 1) : } 50 418: SET { 54 414: SEQUENCE { 58 1: INTEGER 1 61 125: SEQUENCE { 63 112: SEQUENCE { 65 11: SET { 67 9: SEQUENCE { 69 3: OBJECT IDENTIFIER countryName (2 5 4 6) 74 2: PrintableString 'US' : } : } 78 19: SET { 80 17: SEQUENCE { 82 3: OBJECT IDENTIFIER : stateOrProvinceName (2 5 4 8) 87 10: UTF8String 'California' : } : } 99 17: SET {

0 468：SEQUENCE {4 9：OBJECT IDENTIFIERたsignedData（1 2 840 113549 1 7 2）15 453：[0] {19 449：SEQUENCE {23 1：INTEGER 1 26 9：SET {28 7：SEQUENCE {30 5：オブジェクト識別子SHA1（1 3 14 3 2 26）}} 37 11：SEQUENCE {39 9：オブジェクト識別子データ（1 7 1 1 2 840 113549）} 50 418：SET {54 414：SEQUENCE {58 1： INTEGER 1 61 125：SEQUENCE {63 112：SEQUENCE {65 11：SET {67 9：SEQUENCE {69 3：オブジェクト識別子COUNTRYNAME（2 5 4 6）74 2はPrintableString 'US'：}} 78 19：SET { 80 17：SEQUENCE {82 3：オブジェクト識別子：stateOrProvinceName（2 5 4 8）87 10：UTF8Stringを 'カリフォルニア'：}} 99 17：SET {

101 15: SEQUENCE { 103 3: OBJECT IDENTIFIER localityName (2 5 4 7) 108 8: UTF8String 'San Jose' : } : } 118 14: SET { 120 12: SEQUENCE { 122 3: OBJECT IDENTIFIER : organizationName (2 5 4 10) 127 5: UTF8String 'sipit' : } : } 134 41: SET { 136 39: SEQUENCE { 138 3: OBJECT IDENTIFIER : organizationalUnitName (2 5 4 11) 143 32: UTF8String 'Sipit Test Certificate Authority' : } : } : } 177 9: INTEGER 00 96 A3 84 17 4E EF 8A 4D : } 188 7: SEQUENCE { 190 5: OBJECT IDENTIFIER sha1 (1 3 14 3 2 26) : } 197 13: SEQUENCE { 199 9: OBJECT IDENTIFIER : rsaEncryption (1 2 840 113549 1 1 1) 210 0: NULL : } 212 256: OCTET STRING : 74 4D 21 39 D6 E2 E2 2C 30 5A AA BC 4E 60 8D 69 : A7 E5 79 50 1A B1 7D 4A D3 C1 03 9F 19 7D A2 76 : 97 B3 CE 30 CD 62 4B 96 20 35 DB C1 64 D9 33 92 : 96 CD 28 03 98 6E 2C 0C F6 8D 93 40 F2 88 DA 29 : AD 0B C2 0E F9 D3 6A 95 2C 79 6E C2 3D 62 E6 54 : A9 1B AC 66 DB 16 B7 44 6C 03 1B 71 9C EE C9 EC : 4D 93 B1 CF F5 17 79 C5 C8 BA 2F A7 6C 4B DC CF : 62 A3 F3 1A 1B 24 E4 40 66 3C 4F 87 86 BF 09 6A : 7A 43 60 2B FC D8 3D 2B 57 17 CB 81 03 2A 56 69 : 81 82 FA 78 DE D2 3A 2F FA A3 C5 EA 8B E8 0C 36 : 1B BC DC FD 1B 8C 2E 0F 01 AF D9 E1 04 0E 4E 50 : 94 75 7C BD D9 0B DD AA FA 36 E3 EC E4 A5 35 46 : BE A2 97 1D AD BA 44 54 3A ED 94 DA 76 4A 51 BA : A4 7D 7A 62 BF 2A 2F F2 5C 5A FE CA E6 B9 DC 5D : EA 26 F2 35 17 19 20 CE 97 96 4E 72 9C 72 FD 1F : 68 C1 6A 5C 86 42 F2 ED F2 70 65 4C C7 44 C5 7C

101 15：SEQUENCE {103 3：オブジェクト識別子localityName（2 5 4 7）108 8：UTF8Stringを 'サンノゼ'：}} 118 14：SET {120 12：SEQUENCE {122 3：オブジェクト識別子：organizationNameの（2 5 4 10）127 5：UTF8STRING 'sipit'：}} 134 41：SET {136 39：SEQUENCE {138 3：オブジェクト識別子：organizationalUnitName（2 5 4 11）143 32：UTF8Stringを 'Sipitテスト認証局'：}} ：} 177 9：INTEGER 00 96 A3 84 17 4E EF 8A 4D：} 188 7：SEQUENCE {190 5：オブジェクト識別子SHA1（1 3 14 3 2 26）} 197 13：SEQUENCE {199 9：オブジェクト識別子：rsaEncryption （1 2 840 113549 1 1 1）210 0：NULL：} 212 256：オクテットSTRING：74 4D 21 39 D6 E2 E2 2C 30 5A AA BC 4E 60 8D 69：A7 E5 79 50 1A B1 7D 4A D3 C1 03 9F 19 7D A2 76：97 B3 CE 30 CD 62 4B 96 20 35 DB C1 64 D9 33 92：96 CD 28 03 98 6E 2C 0C F6 8D 93 40 F2 88 DA 29：AD 0B C2 0E F9 D3 6A 95 2C 79 6E C2 3D 62 E6 54：A9 1B AC 66 DB 16 B7 44 6C 03 1B 71 9C EE C9 EC：4D 93 B1 CF F5 17 79 C5 C8 BA 2F A7 6C 4B DC CF：62 A3 F3 1A 1B 24 E4 40 66 3C 4F 87 86 BF 09（a）：（a）43 60（b）FC D8 3D 2B 57 17 CB 81 03（a）56 69 81 82 FA 78 DE D2 3A 2F FA A3 C5 EA 8B E8 0C 36：1B BC DC FD 1B 8C 2E 0F 01 AF D9 E1 04 0E 4E 50：94 75（c）BD D9 0B DD AA FA 36 E3 EC E4 A5 35 46：BE A2 97 1D AD BA 44 54（a）ED 94 DA 76 4A 51 BA：A4 7D 7A 62 BF 2（a）〜（f） F2 5C 5A FE CA E6 B9直流5D：EA 26 F2 35 17 19 20 97 96 CE 4E 72 9C 72 FD 1F：68 C1 6A 5C 86 42 F2 ED F2 70 65 4C C7 44 C5 7C

          :           }
          :         }
          :       }
          :     }
          :   }

4.2. MESSAGE Request with Encrypted Body

4.2. 暗号化されたボディを持つメッセージ要求

Below is an example of an encrypted text/plain message that says "Hello!". The binary encrypted contents have been replaced with the block "BINARY BLOB 2".

以下は言う暗号化されたtext / plainのメッセージの一例である「こんにちは！」。バイナリ暗号化されたコンテンツは、ブロック「BINARY BLOB 2」に置き換えられました。

   MESSAGE sip:kumiko@example.net SIP/2.0
   <allOneLine>
   Via: SIP/2.0/TCP 192.0.2.2:15001;
        branch=z9hG4bK-d8754z-c276232b541dd527-1---d8754z-;
        rport=50741
   </allOneLine>
   Max-Forwards: 70
   To: <sip:kumiko@example.net>
   From: <sip:fluffy@example.com>;tag=7a2e3025
   Call-ID: MDYyMDhhODA3NWE2ZjEyYzAwOTZlMjExNWI2ZWQwZGM.
   CSeq: 3260 MESSAGE
   <allOneLine>
   Accept: multipart/signed, text/plain, application/pkcs7-mime,
           application/sdp, multipart/alternative
   </allOneLine>
   <allOneLine>
   Content-Disposition: attachment;handling=required;
                        filename=smime.p7
   </allOneLine>
   Content-Transfer-Encoding: binary
   <allOneLine>
   Content-Type: application/pkcs7-mime;smime-type=enveloped-data;
                 name=smime.p7m
   </allOneLine>
   Content-Length: 565

***************** * BINARY BLOB 2 * *****************

Following is the ASN.1 parsing of "BINARY BLOB 2". Note that at address 454, the encryption is set to aes128-CBC.

以下は、「BINARY BLOB 2」のASN.1解析です。アドレス454で、暗号化はAES128-CBCをするように設定されていることに注意してください。

0 561: SEQUENCE { 4 9: OBJECT IDENTIFIER envelopedData (1 2 840 113549 1 7 3) 15 546: [0] {

0 561：SEQUENCE {4 9：OBJECT IDENTIFIER EnvelopedDataの（1 2 840 113549 1 7 3）15 546：[0] {

19 542: SEQUENCE { 23 1: INTEGER 0 26 409: SET { 30 405: SEQUENCE { 34 1: INTEGER 0 37 125: SEQUENCE { 39 112: SEQUENCE { 41 11: SET { 43 9: SEQUENCE { 45 3: OBJECT IDENTIFIER countryName (2 5 4 6) 50 2: PrintableString 'US' : } : } 54 19: SET { 56 17: SEQUENCE { 58 3: OBJECT IDENTIFIER : stateOrProvinceName (2 5 4 8) 63 10: UTF8String 'California' : } : } 75 17: SET { 77 15: SEQUENCE { 79 3: OBJECT IDENTIFIER localityName (2 5 4 7) 84 8: UTF8String 'San Jose' : } : } 94 14: SET { 96 12: SEQUENCE { 98 3: OBJECT IDENTIFIER : organizationName (2 5 4 10) 103 5: UTF8String 'sipit' : } : } 110 41: SET { 112 39: SEQUENCE { 114 3: OBJECT IDENTIFIER : organizationalUnitName (2 5 4 11) 119 32: UTF8String 'Sipit Test Certificate Authority' : } : } : } 153 9: INTEGER 00 96 A3 84 17 4E EF 8A 4E : } 164 13: SEQUENCE { 166 9: OBJECT IDENTIFIER : rsaEncryption (1 2 840 113549 1 1 1) 177 0: NULL

19 542：SEQUENCE {23 1：INTEGER 0 26 409：SET {30 405：SEQUENCE {34 1：INTEGER 0 37 125：SEQUENCE {39 112：SEQUENCE {41 11：SET {43 9：SEQUENCE {45 3：オブジェクト識別子COUNTRYNAME（2 5 4 6）50 2はPrintableString 'US'：}} 54 19：SET {56 17：SEQUENCE {58 3：オブジェクト識別子：stateOrProvinceName（2 5 4 8）63 10：UTF8Stringを 'カリフォルニア'} ：} 75 17：SET {77 15：SEQUENCE {79 3：オブジェクト識別子localityName（2 5 4 7）84 8：UTF8Stringを 'サンノゼ'：}} 94 14：SET {96 12：SEQUENCE {98 3：OBJECT IDENTIFIER：organizationNameの（2 5 4 10）103 5：UTF8STRING 'sipit'：}} 110 41：SET {112 39：SEQUENCE {114 3：オブジェクト識別子：organizationalUnitName（2 5 4 11）119 32：UTF8Stringを「Sipitテスト認証局」：}}} 153 9：INTEGER 00 96 A3 84 17 4E EF 8A 4E：} 164 13：SEQUENCE {166 9：オブジェクト識別子：rsaEncryption（1 2 840 113549 1 1 1）177 0：NULL

: } 179 256: OCTET STRING : B9 12 8F 32 AB 4A E2 38 C1 E0 53 69 88 D6 25 E7 : 40 03 B1 DE 79 21 A3 E8 23 5A 1B CB FB 58 F4 97 : 48 A7 C8 F0 3D DF 41 A3 5A 90 32 70 82 FA B0 DE : D8 94 7C 6C 2E 01 FE 33 BD 62 CB 07 4F 58 DE 6F : EA 3F EF B4 FB 46 72 58 9A 88 A0 85 BC 23 D7 C8 : 09 0B 90 8D 4A 5F 3F 96 7C AC D4 E2 19 E8 02 B6 : 0E F3 0D F2 91 4A 67 A9 EE 51 6A 97 D7 86 6D EC : 78 6E C6 E0 83 7C E1 00 1F 5A 40 59 60 0C D7 EB : A3 FB 04 B3 C9 A5 EB 79 ED B3 56 F8 F6 51 B2 5E : 58 E2 D8 17 28 33 A6 B8 35 8C 0E 14 7F 90 D0 7B : 03 00 6C 3D 81 29 F5 D7 E5 AC 75 5E E0 F0 DD E3 : 3E B2 06 97 D6 49 A9 CB 38 08 F1 84 05 F5 C0 BC : 55 A6 D4 C9 D8 FD A4 AC 40 9F 9D 51 5B F7 3A C3 : C3 CD 3A E7 6D 21 05 D0 50 75 4F 14 D8 77 76 C6 : 13 A6 48 12 7B 25 CC 22 5D 73 BD 40 E4 15 02 A2 : 39 4A CB D9 55 08 A4 EE 4E 8A 5E BA C4 4A 46 9C : } : } 439 124: SEQUENCE { 441 9: OBJECT IDENTIFIER data (1 2 840 113549 1 7 1) 452 29: SEQUENCE { 454 9: OBJECT IDENTIFIER : aes128-CBC (2 16 840 1 101 3 4 1 2) 465 16: OCTET STRING : CA 35 CA BD 1E 78 83 D9 20 6C 47 B9 9F DC 91 88 : } 483 80: [0] : 1B AE 12 C4 0E 55 96 AB 99 CC 1C 7F B5 98 A4 BF : D2 D8 7F 94 BB B5 38 05 59 F2 38 A1 CD 29 75 17 : 1D 63 1B 0B B0 2D 88 06 7F 78 80 F3 5A 3E DC 35 : BF 22 1E 03 32 59 98 DA FD 81 5F D9 41 63 3A 18 : FD B5 84 14 01 46 0B 40 EB 56 29 86 47 8B D1 EE : } : } : } : }

：} 179 256：オクテットSTRING：B9 12 8F 32 AB 4A E2 38 C1 E0 53 69 88 D6 25 E7：40 03 B1 DE 79 21 A3 E8 23（a）（b）CB FB 58 F4 97：48 A7 C8 F0 3D DF 41 A3図5（A）90 32 70 82 FA B0 DE：D8 94（c）（c）（e）01 FE 33 BD 62 CB 07 4F 58 DE 6F：EA 3F EF B4 FB 46 72 58 9 88 A0 85 BC 23 D7 C8：09 0B 90 8D 4A 5F 3F 96 7C AC D4 E2 19 E8 02 B6：0E F3 0D F2 91 4A 67 A9 EE 51 6A 97 D7 86 6D EC：78 6E C6 E0 83 7C E1 00 1F 5A 40 59 60 0C D7 EB：A3 FB 04 B3 C9 A5 EB 79 EDのB3 56 F8 F6 51 B2 5E：58 E2 D8 17 28 33 A6のB8 35 8C 0E 14 7F 90 D0 7B：03 00（c）3D 81 29 F5 D7 E5 AC 75 5E E0 F0 DD E3：3EのB2 06 97 D6 49 A9 CB 38 08 F1 84 05 F5 C0 BC：55 A6 D4 C9 D8 FD A4 AC 40 9F 9D 51 5B F7 3A C3：C3 CD 3A E7 6D 21 05 D0 50 75 4F 14 D8 77 76 C6：13 A6 48 12図7（b）25 CC 22（d）73 BD 40 E4 15 02 A2：39 4A CB D9 55 08 A4 EE 4E 8A 5E BA C4 4A 46 9C：}} 439 124：SEQUENCE {441 9：オブジェクト識別子データ（1 2 840 113549 1 7 1）452 29：SEQUENCE {454 9：オブジェクト識別子：AES128-CBC（2 16 840 1 101 3 4 1 2）465 16：10月ETのSTRING：CA 35、CA BD 1E 78 83 D9 20 6C 47 B9 9F DC 91 88：} 483 80：[0]：1B AEは12 C4 0E 55 96 AB 99 CC 1C 7F B5 98 A4 BF：D2 D8 7F 94 BB B5 38 05 59 F2 38 A1 CD 29 75 17：1D 63 1B 0B B0 2D 88 06 7F 78 80 F3 5A 3E DC 35：BF 22 1E 03 32 59 98 DA FD 81 5F D9 41 63 3A 18：FDのB5 84 14 01 46 0B 40 EB 56 29 86 47 8B D1 EE：}}}}

4.3. MESSAGE Request with Encrypted and Signed Body

4.3. 暗号化と署名付きボディを持つメッセージ要求

In the example below, some of the header values have been split across multiple lines. Where the lines have been broken, the <allOneLine> convention has been used. This was only done to make it fit in the RFC format. Specifically, the application/pkcs7-mime Content-Type line is one line with no whitespace between the "mime;" and the "smime-type". The values are split across lines for formatting, but are not split in the real message. The binary encrypted content has been replaced with "BINARY BLOB 3", and the binary signed content has been replaced with "BINARY BLOB 4".

以下の例では、ヘッダの値のいくつかは、複数の行に分割されています。ラインが破られている場合は、<allOneLine>規則が使用されています。これは、唯一それがRFC形式に適合させるために行われました。「MIME;」は、具体的には、アプリケーション/ PKCS7-MIME Content-Typeの線の間には空白と一列ですそして「SMIME型」。値は、書式設定のための行に分割されているが、実際のメッセージに分割されていません。バイナリ暗号化されたコンテンツは、「BINARY BLOB 3」に置換されており、バイナリコンテンツが「BINARY BLOB 4」で置換された署名しました。

   MESSAGE sip:kumiko@example.net SIP/2.0
   <allOneLine>
   Via: SIP/2.0/TCP 192.0.2.2:15001;
        branch=z9hG4bK-d8754z-97a26e59b7262b34-1---d8754z-;
        rport=50742
   </allOneLine>
   Max-Forwards: 70
   To: <sip:kumiko@example.net>
   From: <sip:fluffy@example.com>;tag=379f5b27
   Call-ID: MjYwMzdjYTY3YWRkYzgzMjU0MGI4Mzc2Njk1YzJlNzE.
   CSeq: 5449 MESSAGE
   <allOneLine>
   Accept: multipart/signed, text/plain, application/pkcs7-mime,
           application/sdp, multipart/alternative
   </allOneLine>
   <allOneLine>
   Content-Type: multipart/signed;boundary=e8df6e1ce5d1e864;
                 micalg=sha1;protocol="application/pkcs7-signature"
   </allOneLine>
   Content-Length: 1455

   --e8df6e1ce5d1e864
   <allOneLine>
   Content-Type: application/pkcs7-mime;smime-type=enveloped-data;
                 name=smime.p7m
   </allOneLine>
   <allOneLine>
   Content-Disposition: attachment;handling=required;
                        filename=smime.p7
   </allOneLine>
   Content-Transfer-Encoding: binary

***************** * BINARY BLOB 3 * ***************** --e8df6e1ce5d1e864 Content-Type: application/pkcs7-signature;name=smime.p7s <allOneLine> Content-Disposition: attachment;handling=required; filename=smime.p7s </allOneLine> Content-Transfer-Encoding: binary

***************** * BINARY BLOB 3 * ***************** --e8df6e1ce5d1e864のContent-Type：アプリケーション/ pkcs7-署名;名= smime.p7s <allOneLine>コンテンツ-処分：添付ファイル;ハンドリング=必要。ファイル名= smime.p7s </ allOneLine>コンテンツ転送エンコード：バイナリ

***************** * BINARY BLOB 4 *

***************** * BINARYのBLOB 4 *

***************** --e8df6e1ce5d1e864--

Below is the ASN.1 parsing of "BINARY BLOB 3".

以下は、「BINARY BLOB 3」のASN.1解析があります。

0 561: SEQUENCE { 4 9: OBJECT IDENTIFIER envelopedData (1 2 840 113549 1 7 3) 15 546: [0] { 19 542: SEQUENCE { 23 1: INTEGER 0 26 409: SET { 30 405: SEQUENCE { 34 1: INTEGER 0 37 125: SEQUENCE { 39 112: SEQUENCE { 41 11: SET { 43 9: SEQUENCE { 45 3: OBJECT IDENTIFIER countryName (2 5 4 6) 50 2: PrintableString 'US' : } : } 54 19: SET { 56 17: SEQUENCE { 58 3: OBJECT IDENTIFIER : stateOrProvinceName (2 5 4 8) 63 10: UTF8String 'California' : } : } 75 17: SET { 77 15: SEQUENCE { 79 3: OBJECT IDENTIFIER localityName (2 5 4 7) 84 8: UTF8String 'San Jose' : } : } 94 14: SET { 96 12: SEQUENCE { 98 3: OBJECT IDENTIFIER : organizationName (2 5 4 10) 103 5: UTF8String 'sipit' : } : } 110 41: SET { 112 39: SEQUENCE { 114 3: OBJECT IDENTIFIER : organizationalUnitName (2 5 4 11) 119 32: UTF8String 'Sipit Test Certificate Authority' : }

0 561：SEQUENCE {4 9：OBJECT IDENTIFIER EnvelopedDataの（1 2 840 113549 1 7 3）15 546：[0] {19 542：SEQUENCE {23 1：INTEGER 0 26 409：SET {30 405：SEQUENCE {34 1： INTEGER 0 37 125：SEQUENCE {39 112：SEQUENCE {41 11：SET {43 9：SEQUENCE {45 3：オブジェクト識別子COUNTRYNAME（2 5 4 6）50 2はPrintableString 'US'：}} 54 19：SET { 56 17：SEQUENCE {58 3：オブジェクト識別子：stateOrProvinceName（2 5 4 8）63 10：UTF8Stringを 'カリフォルニア'：}} 75 17：SET {77 15：SEQUENCE {79 3：オブジェクト識別子localityName（2 5 4 7 ）84 8：UTF8Stringを 'サンノゼ'：}} 94 14：SET {96 12：SEQUENCE {98 3：オブジェクト識別子：organizationNameの（2 5 4 10）103 5：UTF8STRING 'sipit'：}} 110 41： SET {112 39：SEQUENCE {114 3：オブジェクト識別子：organizationalUnitName（2 5 4 11）119 32：UTF8Stringを 'Sipitテスト認証局'}

: } : } 153 9: INTEGER 00 96 A3 84 17 4E EF 8A 4E : } 164 13: SEQUENCE { 166 9: OBJECT IDENTIFIER : rsaEncryption (1 2 840 113549 1 1 1) 177 0: NULL : } 179 256: OCTET STRING : 49 11 0B 11 52 A9 9D E3 AA FB 86 CB EB 12 CC 8E : 96 9D 85 3E 80 D2 7C C4 9B B7 81 4B B5 FA 13 80 : 6A 6A B2 34 72 D8 C0 82 60 DA B3 43 F8 51 8C 32 : 8B DD D0 76 6D 9C 46 73 C1 44 A0 10 FF 16 A4 83 : 74 85 21 74 7D E0 FD 42 C0 97 00 82 A2 80 81 22 : 9C A2 82 0A 85 F0 68 EF 9A D7 6D 1D 24 2B A9 5E : B3 9A A0 3E A7 D9 1D 1C D7 42 CB 6F A5 81 66 23 : 28 00 7C 99 6A B6 03 3F 7E F6 48 EA 91 49 35 F1 : FD 40 54 5D AC F7 84 EA 3F 27 43 FD DE E2 10 DD : 63 C4 35 4A 13 63 0B 6D 0D 9A D5 AB 72 39 69 8C : 65 4C 44 C4 A3 31 60 79 B9 A8 A3 A1 03 FD 41 25 : 12 E5 F3 F8 47 CE 8C 42 D9 26 77 A5 57 AF 1A 95 : BF 05 A5 E9 47 F2 D1 AE DC 13 7E 1B 83 5C 8C C4 : 1F 31 BC 59 E6 FD 6E 9A B0 91 EC 71 A6 7F 28 3E : 23 1B 40 E2 C0 60 CF 5E 5B 86 08 06 82 B4 B7 DB : 00 DD AC 3A 39 27 E2 7C 96 AD 8A E9 C3 B8 06 5E : } : } 439 124: SEQUENCE { 441 9: OBJECT IDENTIFIER data (1 2 840 113549 1 7 1) 452 29: SEQUENCE { 454 9: OBJECT IDENTIFIER : aes128-CBC (2 16 840 1 101 3 4 1 2) 465 16: OCTET STRING : 88 9B 13 75 A7 66 14 C3 CF CD C6 FF D2 91 5D A0 : } 483 80: [0] : 80 0B A3 B7 57 89 B4 F4 70 AE 1D 14 A9 35 DD F9 : 1D 66 29 46 52 40 13 E1 3B 4A 23 E5 EC AB F9 35 : A6 B6 A4 BE C0 02 31 06 19 C4 39 22 7D 10 4C 0D : F4 96 04 78 11 85 4E 7E E3 C3 BC B2 DF 55 17 79 : 5F F2 4E E5 25 42 37 45 39 5D F6 DA 57 9A 4E 0B : } : } : } : }

：}} 153 9：INTEGER 00 96 A3 84 17 4E EF 8A 4E：} 164 13：SEQUENCE {166 9：オブジェクト識別子：rsaEncryption（1 2 840 113549 1 1 1）177 0：NULL：} 179 256：OCTET STRING：49 11 0B 11 52 A9 9D E3 AA FB 86 CB EB 12のCC 8E：96 9D 85 3E 80 D2 7C C4 9B B7 81 4B B5 FA 13 80：6（a）のB2 34 72 D8 C0 82 60 DAのB3 43 F8 51 8C 32：8B DD D0 76（d）（c）46 73 C1 44 A0 10 FF 16 A4 83 74 85 21 74 7D E0 FD 42 C0 97 00 82 A2 80 81 22：9C A2 82 0A 85 F0 68 EF 9A D7 6D 1D 24図2B A9 5E：B3 9A A0 3E A7 D9 1D 1C D7 42 CB 6F A5 81 66 23 28 00 7C 99（a）のB6 03 3F 7E F6 48 EA 91 49 35 F1：FD 40 54（d）AC F7 84 EA 3F 27 43 FD DE E2 10 DD：63 C4 35 4A 13 63 0B 6D 0D 9A D5 AB 72 39 69 8C：65 4C 44 C4 A3 31 60 79 B9 A8 A3 A1 03 FD 41 25：12 E5 F3 F8 47 CE 8C 42 D9 26 77 A5 57 AF 1A 95：BF 05 A5 E9 47 F2 D1 AE DC 13 7E 1B 83 5C 8C C4：1F 31 BC 59 E6 FD 6E 9AのB0 91 EC 71 A6 7F 28 3E：23 1B 40 E2 C0 60 CF 5E 5B 86 08 06 82 B4のB7のDB：00 DD AC 3A 39 27 E2 7C 96 AD 8A E9 C3のB8 06 5E：}} 439 124：SEQUENCE {441 9：オブジェクト識別子データ（1 2 840 113549 1 7 1）452 29：SEQUENCE {454 9：オブジェクト識別子：AES128-CBC（2 16 840 1 101 3 4 1 2）465 16：オクテットSTRING：88 9B 13 75 A7 66 14 C3 CF CD C6 FF D2 91 5D A0：} 483 80：[0]：80 0B A3 B7 57 89 B4 F4 70 AE 1D 14 A9 35 DD F9：1D 66 29 46 52 40 13 E1 3B 4A 23 E5 EC AB F9 35：A6 B6 A4 BE C0 02 31 06 19 C4 39 22 7D 10 4C 0D：F4 96 04 78 11 85 4E 7E E3 C3 BC B2 DF 55 17 79：5F F2 4E E5 25 42 37 45 39 5D F6 DA 57 9A 4E 0B：}}}}

Below is the ASN.1 parsing of "BINARY BLOB 4".

以下は、「BINARY BLOB 4」のASN.1解析があります。

0 472: SEQUENCE { 4 9: OBJECT IDENTIFIER signedData (1 2 840 113549 1 7 2) 15 457: [0] { 19 453: SEQUENCE { 23 1: INTEGER 1 26 11: SET { 28 9: SEQUENCE { 30 5: OBJECT IDENTIFIER sha1 (1 3 14 3 2 26) 37 0: NULL : } : } 39 11: SEQUENCE { 41 9: OBJECT IDENTIFIER data (1 2 840 113549 1 7 1) : } 52 420: SET { 56 416: SEQUENCE { 60 1: INTEGER 1 63 125: SEQUENCE { 65 112: SEQUENCE { 67 11: SET { 69 9: SEQUENCE { 71 3: OBJECT IDENTIFIER countryName (2 5 4 6) 76 2: PrintableString 'US' : } : } 80 19: SET { 82 17: SEQUENCE { 84 3: OBJECT IDENTIFIER : stateOrProvinceName (2 5 4 8) 89 10: UTF8String 'California' : } : } 101 17: SET { 103 15: SEQUENCE { 105 3: OBJECT IDENTIFIER localityName (2 5 4 7) 110 8: UTF8String 'San Jose' : } : } 120 14: SET { 122 12: SEQUENCE { 124 3: OBJECT IDENTIFIER : organizationName (2 5 4 10) 129 5: UTF8String 'sipit' : } : } 136 41: SET {

0 472：SEQUENCE {4 9：OBJECT IDENTIFIERたsignedData（1 2 840 113549 1 7 2）15 457：[0] {19 453：SEQUENCE {23 1：INTEGER 1 26 11：SET {28 9：SEQUENCE {30 5：オブジェクト識別子SHA1（1 3 14 3 2 26）37：NULL：}} 39 11：SEQUENCE {41 9：オブジェクト識別子データ（1 7 1 1 2 840 113549）} 52 420：SET {56 416：SEQUENCE {60 1：INTEGER 1 63 125：SEQUENCE {65 112：SEQUENCE {67 11：SET {69 9：SEQUENCE {71 3：オブジェクト識別子COUNTRYNAME（2 5 4 6）76 2はPrintableString 'US'：}} 80 19：SET {82 17：SEQUENCE {84 3：オブジェクト識別子：stateOrProvinceName（2 5 4 8）89 10：UTF8Stringを 'カリフォルニア'：}} 101 17：SET {103 15：SEQUENCE {105 3：オブジェクト識別子localityName（ 2 5 4 7）110 8：UTF8Stringを 'サンノゼ'：}} 120 14：SET {122 12：SEQUENCE {124 3：オブジェクト識別子：organizationNameの（2 5 4 10）129 5：UTF8STRING 'sipit'}： } 136 41：SET {

138 39: SEQUENCE { 140 3: OBJECT IDENTIFIER : organizationalUnitName (2 5 4 11) 145 32: UTF8String 'Sipit Test Certificate Authority' : } : } : } 179 9: INTEGER 00 96 A3 84 17 4E EF 8A 4D : } 190 9: SEQUENCE { 192 5: OBJECT IDENTIFIER sha1 (1 3 14 3 2 26) 199 0: NULL : } 201 13: SEQUENCE { 203 9: OBJECT IDENTIFIER : rsaEncryption (1 2 840 113549 1 1 1) 214 0: NULL : } 216 256: OCTET STRING : 6E 51 AC 24 2E BA 7C A1 EE 80 A8 55 BC D4 64 5D : E5 29 09 5F B2 AF AA 6F 91 D2 97 79 32 5B AF CA : FE A1 73 FC E5 57 4E C6 3B 67 35 AA E4 78 1E 59 : 93 EE 67 63 77 1E 7A 82 BC 1E 26 0F 39 75 0C A6 : 26 92 01 6A B7 5D F0 C0 2C 51 46 FB A7 36 44 E3 : 64 C6 11 CB 0B 6B FD F3 6D 7C FD 3E AE 2E 91 BB : 78 9E F4 1B A1 20 68 B9 DE D3 E3 0C FC F7 14 9A : 2C 64 AB 27 52 BD 52 EC 27 88 14 BD DB C3 54 C7 : EA 48 DB 07 E9 9B 2E C8 BE 62 A2 76 83 53 37 E8 : 02 4B D1 86 E9 DF 2E BD 93 39 EC 2F 01 53 A0 7F : 1A B9 A6 31 FC E7 91 1C DB 22 4A 67 83 94 B2 4E : 28 A9 CD DE 4A 04 6A E0 86 90 7B 58 5F DB 7A 96 : 96 A0 25 61 C2 58 A2 28 E5 B3 B2 F1 6D 51 06 9C : 78 61 0D D8 3A A7 9F A3 B5 87 0B 80 11 C2 A9 1A : E5 17 1C EB 82 55 AB CD 04 E7 D9 5B 11 E8 B7 47 : FE FD CC B7 DB 47 6F 77 85 9E 24 D8 11 E1 E4 7D : } : } : } : } : }

138 39：SEQUENCE {140 3：オブジェクト識別子：organizationalUnitName（2 5 4 11）145 32：UTF8Stringを 'Sipitテスト認証局'：}}} 179 9：INTEGER 00 96 A3 84 17 4E EF 8A 4D：} 190 9：SEQUENCE {192 5：オブジェクト識別子SHA1（1 3 14 3 2 26）、199 0：NULL：} 201 13：SEQUENCE {203 9：オブジェクト識別子：rsaEncryption（1 2 840 113549 1 1 1）214 0：NULL： } 216 256：OCTET STRING：6E 51 AC 24 2E BA 7C A1 EE 80 A8 55 BC D4 64 5D：E5 29 09 5F B2 AF AA 6F 91 D2 97 79 32 5B AFのCA：FE A1 73 FC E5 57 4E C6 3B 67 35 AA E4 78 1E 59：93 EE 67 63 77 1E 7A 82 BC 1E 26 0F 39 75 0C A6：26 92 01（a）B7 5D F0 C0 2C 51 46 FB A7 36 44 E3：64 C6 11 CB 0B 6B FD F3 （d）（c）FD 3E AE 2E 91 BB：78 9E F4 1B A1 20 68 B9 DE D3 E3 0C FC F7 14 9A：2C 64 AB 27 52 BD 52 EC 27 88 14 BD DB C3 54 C7：EA 48 DB 07 E9 9B 2E 62 A2 76 83 53 37 E8 BE C8：02 4B D1 86 E9 DF 2E BD 93 39 EC 2F 01 53 A0 7F：1A B9 A6 31 FC E7 91 1C DB 22 4A 67 83 94 B2 4E：28 A9 CD DE 4A 04図6A E0 86 90 7B 58 5F DB（A）96：96 A0 25 61 C2 58 A2 28 E5 B3 B2 F1 6D 51 06（c）：78 61 0D D8 3A A7 9F A3 B5 87 0B 80 11 C2 A9 1A：E5 17 1C EB 82 55 AB CD 04 E7 D9 5B 11 E8 B7 47：FE FD CC B7 DB 47 6F 77 85 9E 24 D8 11 E4 E1 7D：}}}}}

5. Observed Interoperability Issues

5.観測相互運用性の問題

This section describes some common interoperability problems. These were observed by the authors at SIPit interoperability events. Implementers should be careful to verify that their systems do not introduce these common problems, and, when possible, make their clients forgiving in what they receive. Implementations should take extra care to produce reasonable error messages when interacting with software that has these problems.

このセクションでは、いくつかの一般的な相互運用性の問題について説明します。これらは、SIPit相互運用性のイベントで著者によって観察しました。実装者は、彼らのシステムがこれらの共通の問題を導入していないことを確認するように注意してください、そして、可能な場合、彼らが受け取るものに彼らのクライアントが寛容にする必要があります。実装は、これらの問題を持っているソフトウェアと対話するときに、合理的なエラーメッセージを生成するために余分な世話をする必要があります。

Some SIP clients incorrectly only do SSLv3 and do not support TLS. See Section 26.2.1 of [RFC3261].

いくつかのSIPクライアントが誤っだけのSSLv3を行うと、TLSをサポートしていません。 [RFC3261]のセクション26.2.1を参照してください。

Many SIP clients were found to accept expired certificates with no warning or error. See Section 4.1.2.5 of [RFC5280].

多くのSIPクライアントは、警告またはエラーなしで期限切れの証明書を受け入れることが分かりました。 [RFC5280]のセクション4.1.2.5を参照してください。

When used with SIP, TLS and S/MIME provide the identity of the peer that a client is communicating with in the Subject Alternative Name in the certificate. The software checks that this name corresponds to the identity the server is trying to contact. Normative text describing path validation can be found in Section 7 of [RFC5922] and Section 6 of [RFC5280]. If a client is trying to set up a TLS connection to good.example.com and it gets a TLS connection set up with a server that presents a valid certificate but with the name evil.example.com, it will typically generate an error or warning of some type. Similarly with S/MIME, if a user is trying to communicate with sip:fluffy@example.com, one of the items in the Subject Alternate Name set in the certificate will need to match according to the certificate validation rules in Section 23 of [RFC3261] and Section 6 of [RFC5280].

SIP、TLSおよびSと共に使用した場合/ MIMEは、クライアントが証明書にサブジェクトの別名で通信しているピアの識別を提供します。ソフトウェアは、この名前は、サーバーに連絡しようとしているアイデンティティーに対応していることを確認します。パス検証を記述する規定テキストは、[RFC5922]及び[RFC5280]のセクション6のセクション7に見出すことができます。クライアントがgood.example.comへのTLS接続を設定しようとしているし、それが有効な証明書を提示したが名前のevil.example.comを持つサーバーで設定TLS接続を取得した場合、それは一般的にエラーが発生しますかいくつかのタイプの警告。ユーザがSIPと通信しようとした場合、同様のS / MIMEで、：fluffy@example.com、証明書に設定されたサブジェクト代替名の項目の一つのセクション23における証明書の検証規則に従って一致する必要があります[ RFC3261]及び[RFC5280のセクション6]。

Some implementations used binary MIME encodings while others used base64. It is advisable that implementations send only binary and are prepared to receive either. See Section 3.2 of [RFC5621].

他の人がBASE64を使用しながら、いくつかの実装は、バイナリMIMEエンコーディングを使用します。実装は、バイナリ送信していずれかの受信に用意されていることをお勧めします。 [RFC5621]の3.2節を参照してください。

In several places in this document, the messages contain the encoding for the SHA-1 digest algorithm identifier. The preferred form for encoding as set out in Section 2 of [RFC3370] is the form in which the optional AlgorithmIdentifier parameter field is omitted. However, [RFC3370] also says the recipients need to be able to receive the form in which the AlgorithmIdentifier parameter field is present and set to NULL. Examples of the form using NULL can be found in Section 4.2 of [RFC4134]. Receivers really do need to be able to receive the form that includes the NULL because the NULL form, while not preferred, is what was observed as being generated by most implementations. Implementers should also note that if the algorithm is MD5 instead of SHA-1, then the form that omits the AlgorithmIdentifier parameters field is not allowed and the sender has to use the form where the NULL is included.

この文書に記載されているいくつかの場所で、メッセージは、SHA-1ダイジェストアルゴリズム識別子のエンコードを含みます。 [RFC3370]のセクション2に記載されたように符号化するための好ましい形態は、任意のAlgorithmIdentifierパラメータフィールドを省略した形態です。ただし、[RFC3370]はまた、受信者がいるAlgorithmIdentifierパラメータフィールドが存在し、NULLに設定されたフォームを受信できるようにする必要がありますと言います。 NULLを使用してフォームの例としては、[RFC4134]のセクション4.2に見出すことができます。レシーバは本当に好まないがNULLのフォームは、ほとんどの実装によって生成されたものとして観察されたものであるため、NULLを含んでいるフォームを受信できるようにする必要があります。実装はまた、アルゴリズムはMD5はSHA-1の代わりである場合、のAlgorithmIdentifierパラメータフィールドを省略フォームが許可されていないことに注意しなければならず、送信側はNULLが含まれているフォームを使用しなければなりません。

The preferred encryption algorithm for S/MIME in SIP is AES as defined in [RFC3853].

[RFC3853]で定義されるように、SIPにおけるS / MIMEのための好適な暗号化アルゴリズムはAESです。

Observed S/MIME interoperability has been better when UAs did not attach the senders' certificates. Attaching the certificates significantly increases the size of the messages, which should be considered when sending over UDP. Furthermore, the receiver cannot rely on the sender to always send the certificate, so it does not turn out to be useful in most situations.

UAは送信者の証明書を添付していなかった場合に観察されるS / MIMEの相互運用性が良くなっています。証明書を添付することは非常にUDP上で送信する際に考慮すべきメッセージのサイズが大きくなります。さらに、受信機は、常に証明書を送信するために、送信者に頼ることはできませんので、ほとんどの状況で有用であることが判明していません。

Please note that the certificate path validation algorithm described in Section 6 of [RFC5280] is a complex algorithm for which all of the details matter. There are numerous ways in which failing to precisely implement the algorithm as specified in Section 6 of [RFC5280] can create a security flaw, a simple example of which is the failure to check the expiration date that is already mentioned above. It is important for developers to ensure that this validation is performed and that the results are verified by their applications or any libraries that they use.

[RFC5280]のセクション6で説明した証明書パス検証アルゴリズムは、すべての詳細が重要でそのため複雑なアルゴリズムであることに注意してください。 [RFC5280]のセクション6で指定された正確なアルゴリズムを実装するために失敗すると、セキュリティ上の欠陥、既に上述された有効期限を確認するため、障害となっている簡単な例を作成することが可能な多数の方法があります。開発者は、この検証が行われることが、結果はその用途や、彼らが使用するすべてのライブラリによって検証されていることを確認することが重要です。

6. Additional Test Scenarios

6.追加のテストシナリオ

This section provides a non-exhaustive list of tests that implementations should perform while developing systems that use S/MIME and TLS for SIP.

このセクションでは、SIPのためにS / MIMEとTLSを使用するシステムを開発しながら、実装が実行すべきテストの非網羅的なリストを提供します。

Much of the required behavior for inspecting certificates when using S/MIME and TLS with SIP is currently underspecified. The non-normative recommendations in this document capture the current folklore around that required behavior, guided by both related normative works such as [RFC4474] (particularly, Section 13.4 Domain Names and Subordination) and informative works such as [RFC2818], Section 3.1. To summarize, test plans should:

SIPとS / MIMEやTLSを使用した場合、証明書を検査するために必要な行動の多くは、現在underspecifiedされます。この文書に記載されている非標準の勧告は、[RFC4474]（特に、セクション13.4ドメイン名と従属）など[RFC2818]などの有益な働き、節3.1などの関連規範作品の両方によって導かれることが必要現象を回避現在の民間伝承を捕捉します。テスト計画がすべき、要約すると：

o For S/MIME secured bodies, ensure that the peer's URI (address-of-record, as per [RFC3261], Section 23.3) appears in the subjectAltName of the peer's certificate as a uniformResourceIdentifier field.

O S / MIME固定体について、ピアのURI（アドレス・オブ・レコード、[RFC3261]、セクション23.3の通り）がuniformResourceIdentifierでフィールドとしてピアの証明書のsubjectAltNameに表示されていることを保証します。

o For TLS, ensure that the peer's hostname appears as described in [RFC5922]. Also:

O TLSの場合は、[RFC5922]で説明したように、ピアのホスト名が表示されていることを確認してください。また：

* ensure an exact match in a dNSName entry in the subjectAltName if there are any dNSNames in the subjectAltName. Wildcard matching is not allowed against these dNSName entries. See Section 7.1 of [RFC5922].

*のsubjectAltNameのいずれかのdNSNamesがあるかどうかのsubjectAltNameでのdNSNameエントリに完全に一致することを確認します。ワイルドカードのマッチングは、これらのdNSNameエントリに対して許可されていません。 [RFC5922]のセクション7.1を参照してください。

* ensure that the most specific CommonName in the Subject field matches if there are no dNSName entries in the subjectAltName at all (which is not the same as there being no matching dNSName entries). This match can be either exact, or against an entry that uses the wildcard matching character '*'.

*（一致するのdNSNameエントリがあるないように同じではない）全てでのsubjectAltNameに何らのdNSNameエントリが存在しない場合件名フィールドに最も特定のCommonNameが一致することを確認。この試合では、正確な、またはワイルドカードマッチング文字「*」を使用エントリーに対してのいずれかになります。

The peer's hostname is discovered from the initial DNS query in the server location process [RFC3263].

ピアのホスト名は、サーバーの場所のプロセス[RFC3263]で最初のDNSクエリから発見されました。

o IP addresses can appear in subjectAltName ([RFC5280]) of the peer's certificate, e.g., "IP:192.168.0.1". Note that if IP addresses are used in subjectAltName, there are important ramifications regarding the use of Record-Route headers that also need to be considered. See Section 7.5 of [RFC5922]. Use of IP addresses instead of domain names is inadvisable.

O IPアドレスがピアの証明書、例えば、 "：192.168.0.1 IP" ののsubjectAltName（[RFC5280]）に表示されることができます。 IPアドレスがのsubjectAltNameに使用されている場合、また、考慮する必要が録音-Routeヘッダの使用に関する重要な影響があることに注意してください。 [RFC5922]の7.5節を参照してください。 IPの使用はお勧めできません代わりに、ドメイン名のアドレス。

For each of these tests, an implementation will proceed past the verification point only if the certificate is "good". S/MIME protected requests presenting bad certificate data will be rejected. S/MIME protected responses presenting bad certificate information will be ignored. TLS connections involving bad certificate data will not be completed.

これらのテストのそれぞれについて、実装は証明書が「良い」である場合にのみ、検証ポイントを過ぎて続行されます。不正な証明書データを提示するS / MIME保護された要求は拒否されます。悪い証明書情報を提示するS / MIME保護された応答は無視されます。不正な証明書データを含むTLS接続は完了しません。

1. S/MIME : Good peer certificate

1. S / MIME：グッドピア証明書

2. S/MIME : Bad peer certificate (peer URI does not appear in subjectAltName)

2. S / MIME：バート・ピア証明書（ピアURIがのsubjectAltNameには表示されません）

3. S/MIME : Bad peer certificate (valid authority chain does not end at a trusted CA)

3. S / MIME：バート・ピア証明書（有効な権限のチェーンは、信頼できるCAで終了しません）

4. S/MIME : Bad peer certificate (incomplete authority chain)

4. S / MIME：バート・ピア証明書（不完全な権限チェーン）

5. S/MIME : Bad peer certificate (the current time does not fall within the period of validity)

5. S / MIME：バート・ピア証明書（現在時刻が有効期間内に収まっていません）

6. S/MIME : Bad peer certificate (certificate, or certificate in authority chain, has been revoked)

6. S / MIME：悪いピア証明書（権限チェーンの証明書、または証明書が失効しています）

7. S/MIME : Bad peer certificate ("Digital Signature" is not specified as an X509v3 Key Usage)

7. S / MIME：バート・ピア証明書（「デジタル署名」書X509v3キー使用法として指定されていません）

8. TLS : Good peer certificate (hostname appears in dNSName in subjectAltName)

8. TLS：良いピア証明書（ホスト名がのsubjectAltNameでのdNSNameに表示されます）

9. TLS : Good peer certificate (no dNSNames in subjectAltName, hostname appears in Common Name (CN) of Subject)

9. TLS：良いピア証明書（のsubjectAltNameではありませんdNSNames、ホスト名は、件名の共通名（CN）に表示されます）

10. TLS : Good peer certificate (CN of Subject empty, and subjectAltName extension contains an iPAddress stored in the octet string in network byte order form as specified in RFC 791 [RFC0791])

10. TLS：良いピア証明書（件名空のCN、およびsubjectAltName拡張は、RFC 791 [RFC0791]で指定されるように、ネットワークバイト順形式のオクテット文字列に格納されたIPアドレスが含まれています）

11. TLS : Bad peer certificate (no match in dNSNames or in the Subject CN)

11. TLS：悪いピア証明書（CN dNSNamesにおけるまたは被験体における不一致）

12. TLS : Bad peer certificate (valid authority chain does not end at a trusted CA)

12. TLS：悪いピア証明書（有効な権限のチェーンは、信頼できるCAで終了しません）

13. TLS : Bad peer certificate (incomplete authority chain)

13. TLS：悪いピア証明書（不完全な権限チェーン）

14. TLS : Bad peer certificate (the current time does not fall within the period of validity)

14. TLS：悪いピア証明書（現在時刻が有効期間内に収まっていません）

15. TLS : Bad peer certificate (certificate, or certificate in authority chain, has been revoked)

15. TLS：悪いピア証明書（機関チェーンの証明書、または証明書は、失効しています）

16. TLS : Bad peer certificate ("TLS Web Server Authentication" is not specified as an X509v3 Key Usage)

16. TLS：悪いピア証明書は、（「TLS Webサーバー認証」書X509v3キー使用法として指定されていません）

17. TLS : Bad peer certificate (Neither "SIP Domain" nor "Any Extended Key Usage" specified as an X509v3 Extended Key Usage, and X509v3 Extended Key Usage is present)

17. TLS：悪いピア証明書（どちらも「SIPドメイン」や「任意の拡張キー使用法」書X509v3拡張キー使用法として指定され、書X509v3拡張キー使用法が存在します）

7. Acknowledgments

7.謝辞

Many thanks to the developers of all the open source software used to create these call flows. This includes the underlying crypto and TLS software used from openssl.org, the SIP stack from www.resiprocate.org, and the SIP for Instant Messaging and Presence Leveraging Extensions (SIMPLE) Instant Messaging and Presence Protocol (IMPP) agent from www.sipimp.org. The TLS flow dumps were done with SSLDump from http://www.rtfm.com/ssldump. The book "SSL and TLS" [EKR-TLS] was a huge help in developing the code for these flows. It's sad there is no second edition.

これらのコールフローを作成するために使用されるすべてのオープンソースソフトウェアの開発者に感謝します。これはwww.resiprocate.orgからopenssl.orgから使用される、基礎となる暗号化およびTLSソフトウェア、SIPスタックを含み、そしてインスタントメッセージングとプレゼンスwww.sipimpから活用拡張機能（SIMPLE）インスタントメッセージングとプレゼンスプロトコル（IMPP）エージェントのSIP .ORG。 TLSの流れダンプはhttp://www.rtfm.com/ssldumpからSSLDumpで行われました。著書「SSLおよびTLS」[EKR-TLS]はこれらのフローのためのコードを開発する上で大きな助けでした。それは何の第二版がありません悲しいです。

Thanks to Jim Schaad, Russ Housley, Eric Rescorla, Dan Wing, Tat Chan, and Lyndsay Campbell, who all helped find and correct mistakes in this document.

ジムSchaad、ラスHousley、エリックレスコラ、ダン・ウィング、タットチャン、そしてすべてが見つけ、この文書の正しいミス助けリンゼー・キャンベル、に感謝します。

Vijay Gurbani and Alan Jeffrey contributed much of the additional test scenario content.

ビジェイGurbaniとアラン・ジェフリーは、追加のテストシナリオの内容の多くを貢献しました。

8. Security Considerations

8.セキュリティの考慮事項

Implementers must never use any of the certificates provided in this document in anything but a test environment. Installing the CA root certificates used in this document as a trusted root in operational software would completely destroy the security of the system while giving the user the impression that the system was operating securely.

実装者は、テスト環境以外のもので、このドキュメントで提供された証明書のいずれかを使用してはなりません。ユーザーは、システムが安全に動作していたという印象を与えながら運用ソフトウェアに信頼されたルートとしてこの文書で使用されているCAのルート証明書をインストールすると、完全にシステムのセキュリティを破壊してしまうであろう。

This document recommends some things that implementers might test or verify to improve the security of their implementations. It is impossible to make a comprehensive list of these, and this document only suggests some of the most common mistakes that have been seen at the SIPit interoperability events. Just because an implementation does everything this document recommends does not make it secure.

この文書では、実装、テストやその実装のセキュリティを向上させるために検証するかもしれないいくつかのことをお勧めします。これらの包括的なリストを作ることは不可能であり、このドキュメントでは、SIPit相互運用性のイベントで見られている最も一般的な間違いのいくつかを示唆しています。実装はすべてを行いという理由だけで、この文書は、それが安全なことはありませんお勧めします。

This document does not show any messages to check certificate revocation status (see Sections 3.3 and 6.3 of [RFC5280]) as that is not part of the SIP call flow. The expectation is that revocation status is checked regularly to protect against the possibility of certificate compromise or repudiation. For more information on how certificate revocation status can be checked, see [RFC2560] (Online Certificate Status Protocol) and [RFC5055] (Server-Based Certificate Validation Protocol).

それは、SIPコール・フローの一部ではないとして、この文書は（セクション3.3と[RFC5280]の6.3を参照）証明書の失効状態を確認するために、任意のメッセージが表示されません。期待が失効状態は、証明書の妥協や否認の可能性から保護するために定期的にチェックされていることです。証明書の失効状態を確認することができます方法の詳細については、[RFC2560]（オンライン証明書状態プロトコル）と[RFC5055]（サーバーベースの証明書の検証議定書）を参照してください。

9. References

9.参考文献

9.1. Normative References

9.1. 引用規格

[RFC0791] Postel, J., "Internet Protocol", STD 5, RFC 791, September 1981.

[RFC0791]ポステル、J.、 "インターネットプロトコル"、STD 5、RFC 791、1981年9月。

[RFC2560] Myers, M., Ankney, R., Malpani, A., Galperin, S., and C. Adams, "X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP", RFC 2560, June 1999.

[RFC2560]マイヤーズ、M.、Ankney、R.、Malpani、A.、Galperin、S.、およびC.アダムス、 "X.509のインターネット公開鍵暗号基盤のオンライン証明書状態プロトコル - OCSP"、RFC 2560、1999年6月。

[RFC3261] Rosenberg, J., Schulzrinne, H., Camarillo, G., Johnston, A., Peterson, J., Sparks, R., Handley, M., and E. Schooler, "SIP: Session Initiation Protocol", RFC 3261, June 2002.

[RFC3261]ローゼンバーグ、J.、Schulzrinneと、H.、カマリロ、G.、ジョンストン、A.、ピーターソン、J.、スパークス、R.、ハンドレー、M.、およびE.学生、 "SIP：セッション開始プロトコル" 、RFC 3261、2002年6月。

[RFC3263] Rosenberg, J. and H. Schulzrinne, "Session Initiation Protocol (SIP): Locating SIP Servers", RFC 3263, June 2002.

[RFC3263]ローゼンバーグ、J.とH. Schulzrinneと、 "セッション開始プロトコル（SIP）：SIPサーバの検索"、RFC 3263、2002年6月。

[RFC3370] Housley, R., "Cryptographic Message Syntax (CMS) Algorithms", RFC 3370, August 2002.

[RFC3370] Housley氏、R.、 "暗号メッセージ構文（CMS）アルゴリズム"、RFC 3370、2002年8月。

[RFC3428] Campbell, B., Rosenberg, J., Schulzrinne, H., Huitema, C., and D. Gurle, "Session Initiation Protocol (SIP) Extension for Instant Messaging", RFC 3428, December 2002.

[RFC3428]キャンベル、B.、ローゼンバーグ、J.、Schulzrinneと、H.、のHuitema、C.、およびD. Gurle、 "インスタントメッセージングのためのセッション開始プロトコル（SIP）拡張子"、RFC 3428、2002年12月。

[RFC3853] Peterson, J., "S/MIME Advanced Encryption Standard (AES) Requirement for the Session Initiation Protocol (SIP)", RFC 3853, July 2004.

[RFC3853]ピーターソン、J.、 "S / MIMEのAdvanced Encryption Standard（AES）セッション開始プロトコル（SIP）のための要件"、RFC 3853、2004年7月。

[RFC4474] Peterson, J. and C. Jennings, "Enhancements for Authenticated Identity Management in the Session Initiation Protocol (SIP)", RFC 4474, August 2006.

[RFC4474]ピーターソン、J.とC.ジェニングス、RFC 4474 "セッション開始プロトコル（SIP）で認証されたアイデンティティ管理のための機能強化"、2006年8月。

[RFC5055] Freeman, T., Housley, R., Malpani, A., Cooper, D., and W. Polk, "Server-Based Certificate Validation Protocol (SCVP)", RFC 5055, December 2007.

[RFC5055]フリーマン、T.、Housley氏、R.、Malpani、A.、クーパー、D.、およびW.ポーク、 "サーバーベースの証明書の検証プロトコル（SCVP）"、RFC 5055、2007年12月。

[RFC5246] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, August 2008.

[RFC5246]ダークス、T.およびE.レスコラ、 "トランスポート層セキュリティ（TLS）プロトコルバージョン1.2"、RFC 5246、2008年8月。

[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May 2008.

[RFC5280]クーパー、D.、Santesson、S.、ファレル、S.、Boeyen、S.、Housley氏、R.、およびW.ポーク、「インターネットX.509公開鍵暗号基盤証明書と証明書失効リスト（CRL）のプロフィール」、RFC 5280、2008年5月。

[RFC5621] Camarillo, G., "Message Body Handling in the Session Initiation Protocol (SIP)", RFC 5621, September 2009.

[RFC5621]キャマリロ、G.、RFC 5621 "メッセージ本文は、セッション開始プロトコル（SIP）で処理" を、2009年9月。

[RFC5652] Housley, R., "Cryptographic Message Syntax (CMS)", STD 70, RFC 5652, September 2009.

[RFC5652] Housley氏、R.、 "暗号メッセージ構文（CMS）"、STD 70、RFC 5652、2009年9月。

[RFC5751] Ramsdell, B. and S. Turner, "Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.2 Message Specification", RFC 5751, January 2010.

[RFC5751] Ramsdell、B.、およびS.ターナー、 "/セキュア多目的インターネットメール拡張（S / MIME）バージョン3.2メッセージ仕様"、RFC 5751、2010年1月。

[RFC5922] Gurbani, V., Lawrence, S., and A. Jeffrey, "Domain Certificates in the Session Initiation Protocol (SIP)", RFC 5922, June 2010.

[RFC5922] Gurbani、V.、ローレンス、S.、およびA.ジェフリー、 "セッション開始プロトコル（SIP）にドメイン証明書"、RFC 5922、2010年6月。

[RFC5923] Gurbani, V., Mahy, R., and B. Tate, "Connection Reuse in the Session Initiation Protocol (SIP)", RFC 5923, June 2010.

[RFC5923] Gurbani、V.、マーイ、R.、およびB.テート、 "セッション開始プロトコル（SIP）における接続の再利用"、RFC 5923、2010年6月。

[RFC5924] Lawrence, S. and V. Gurbani, "Extended Key Usage (EKU) for Session Initiation Protocol (SIP) X.509 Certificates", RFC 5924, June 2010.

[RFC5924]ローレンス、S.及びV. Gurbani、 "拡張キー使用セッション開始プロトコル（SIP）X.509証明書の（EKU）"、RFC 5924、2010年6月。

[X.509] International Telecommunications Union, "Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks", ITU-T Recommendation X.509 (2005), ISO/ IEC 9594-8:2005.

[X.509]国際電気通信連合、 "情報技術 - 開放型システム間相互接続 - ディレクトリ：公開鍵と属性証明書の枠組み"、ITU-T勧告X.509（2005）、ISO / IEC 9594から8：2005。

[X.683] International Telecommunications Union, "Information technology - Abstract Syntax Notation One (ASN.1): Parameterization of ASN.1 specifications", ITU-T Recommendation X.683 (2002), ISO/IEC 8824-4:2002, 2002.

[X.683]国際電気通信連合、 "情報技術 - 抽象構文記法1（ASN.1）：ASN.1仕様のパラメータ化"、ITU-T勧告X.683（2002）、ISO / IEC 8824から4：2002 2002年。

9.2. Informative References

9.2. 参考文献

[EKR-TLS] Rescorla, E., "SSL and TLS - Designing and Building Secure Systems", Addison-Wesley, ISBN 0-201-61598-3, 2001.

[EKR-TLS]レスコラ、E.、 "SSLおよびTLS - 設計とセキュアなシステムの構築"、アディソン・ウェズリー、ISBN 0-201-61598-3、2001。

[RFC2818] Rescorla, E., "HTTP Over TLS", RFC 2818, May 2000.

[RFC2818]レスコラ、E.、 "TLSオーバーHTTP"、RFC 2818、2000年5月。

[RFC4134] Hoffman, P., "Examples of S/MIME Messages", RFC 4134, July 2005.

[RFC4134]ホフマン、P.、RFC 4134、2005年7月 "S / MIMEメッセージの例"。

[RFC4475] Sparks, R., Hawrylyshen, A., Johnston, A., Rosenberg, J., and H. Schulzrinne, "Session Initiation Protocol (SIP) Torture Test Messages", RFC 4475, May 2006.

[RFC4475]スパークス、R.、Hawrylyshen、A.、ジョンストン、A.、ローゼンバーグ、J.、およびH. Schulzrinneと、 "セッション開始プロトコル（SIP）調教テストメッセージ"、RFC 4475、2006年5月。

[RFC4514] Zeilenga, K., "Lightweight Directory Access Protocol (LDAP): String Representation of Distinguished Names", RFC 4514, June 2006.

[RFC4514] Zeilenga、K.、 "ライトウェイトディレクトリアクセスプロトコル（LDAP）：識別名の文字列表現"、RFC 4514、2006年6月。

[ssldump-manpage] Rescorla, E., "SSLDump manpage", <http://www.rtfm.com/ssldump/Ssldump.html>.

[ssldump-マンページ]レスコラ、E.、 "SSLDumpマンページ"、<http://www.rtfm.com/ssldump/Ssldump.html>。

Appendix A. Making Test Certificates

付録A.テスト証明書を作ります

These scripts allow you to make certificates for test purposes. The certificates will all share a common CA root so that everyone running these scripts can have interoperable certificates. WARNING - these certificates are totally insecure and are for test purposes only. All the CAs created by this script share the same private key to facilitate interoperability testing, but this totally breaks the security since the private key of the CA is well known.

これらのスクリプトは、テストの目的のために証明書を作成することができます。これらのスクリプトを実行している誰もが、相互運用可能な証明書を持つことができるように、証明書は、すべての一般的なCAのルートを共有します。警告 - これらの証明書は完全に安全ではないとテストのみを目的としています。同じ秘密鍵、このスクリプトを共有によって作成されたすべてのCAは、相互運用性のテストを容易にするが、これは完全にCAの秘密鍵はよく知られているので、セキュリティを破ります。

The instructions assume a Unix-like environment with openssl installed, but openssl does work in Windows too. OpenSSL version 0.9.8j was used to generate the certificates used in this document. Make sure you have openssl installed by trying to run "openssl". Run the makeCA script found in Appendix A.1; this creates a subdirectory called demoCA. If the makeCA script cannot find where your openssl is installed you will have to set an environment variable called OPENSSLDIR to whatever directory contains the file openssl.cnf. You can find this with a "locate openssl.cnf". You are now ready to make certificates.

命令がインストールされたOpenSSLとUnixライクな環境を想定したが、OpenSSLは、あまりにもWindowsで作業を行います。 OpenSSLのバージョン0.9.8jはこの文書で使用される証明書を生成するために使用されました。あなたはopensslの「OpenSSLを」実行しようとすることでインストールされていることを確認してください。付録A.1で見つかったmakeCAスクリプトを実行します。これはdemoCAと呼ばれるサブディレクトリを作成します。 makeCAスクリプトがあなたのopensslがインストールされている場所を見つけることができない場合は、ファイルopenssl.cnfをが含まれているものは何でもディレクトリにOPENSSLDIRという環境変数を設定する必要があります。あなたは「見つけopenssl.cnfを」でこれを見つけることができます。これで、証明書を作成する準備が整いました。

To create certificates for use with TLS, run the makeCert script found in Appendix A.2 with the fully qualified domain name of the proxy you are making the certificate for, e.g., "makeCert host.example.net domain eku". This will generate a private key and a certificate. The private key will be left in a file named domain_key_example.net.pem in Privacy Enhanced Mail (PEM) format. The certificate will be in domain_cert_example.net.pem. Some programs expect both the certificate and private key combined together in a Public-Key Cryptography Standards (PKCS) #12 format file. This is created by the script and left in a file named example.net.p12. Some programs expect this file to have a .pfx extension instead of .p12 -- just rename the file if needed. A file with a certificate signing request, called example.net.csr, is also created and can be used to get the certificate signed by another CA.

TLSで使用する証明書を作成するには、あなたは、例えば、「makeCert host.example.netドメインEKU」の証明書を作っているプロキシの完全修飾ドメイン名を使用して、付録A.2で見つかったmakeCertスクリプトを実行します。これは、秘密鍵と証明書を生成します。秘密鍵は、プライバシー強化メール（PEM）形式でdomain_key_example.net.pemという名前のファイルに残されます。証明書はdomain_cert_example.net.pemになります。一部のプログラムは、証明書と公開鍵暗号規格（PKCS）＃12形式のファイルに組み合わさ秘密鍵の両方を期待しています。これは、スクリプトによって作成され、example.net.p12という名前のファイルに残されています。一部のプログラムがこのファイルではなくた.p12の.PFX拡張子を持つことを期待 - 必要であれば、単にファイルの名前を変更します。 example.net.csrと呼ばれる証明書署名要求のファイルは、また、作成された証明書を別のCAによって署名を取得するために使用することができます

A second argument indicating the number of days for which the certificate should be valid can be passed to the makeCert script. It is possible to make an expired certificate using the command "makeCert host.example.net 0".

証明書が有効であるべき日数を示す第2引数はmakeCertスクリプトに渡すことができます。「makeCert host.example.net 0」コマンドを使用して期限切れの証明書を作成することが可能です。

Anywhere that a password is used to protect a certificate, the password is set to the string "password".

パスワードは、証明書を保護するために使用されていることをどこでも、パスワードは文字列「パスワード」に設定されています。

The root certificate for the CA is in the file root_cert_fluffyCA.pem.

CAのルート証明書は、ファイルroot_cert_fluffyCA.pemです。

For things that need DER format certificates, a certificate can be converted from PEM to DER with "openssl x509 -in cert.pem -inform PEM -out cert.der -outform DER".

DER形式の証明書が必要なものについては、証明書には、 "opensslのX509 -in cert.pemを-inform PEM -outやcert.der -outform DER" とDERするPEMから変換することができます。

Some programs expect certificates in PKCS #7 format (with a file extension of .p7c). You can convert these from PEM format to PKCS #7 with "openssl crl2pkcs7 -nocrl -certfile cert.pem -certfile demoCA/ cacert.pem -outform DER -out cert.p7c".

一部のプログラムは、（.p7cのファイル拡張子を持つ）PKCS＃7形式の証明書を期待しています。あなたは "cert.p7c -out opensslのcrl2pkcs7 -nocrl -certfile cert.pemを-certfile demoCA / cacert.pemの-outform DER" とPKCS＃7にPEM形式からこれらを変換することができます。

IE (version 8), Outlook Express (version 6), and Firefox (version 3.5) can import and export .p12 files and .p7c files. You can convert a PKCS #7 certificate to PEM format with "openssl pkcs7 -in cert.p7c -inform DER -outform PEM -out cert.pem".

IE（バージョン8）、Outlook Expressの（バージョン6）、およびFirefox（バージョン3.5）の.p12ファイルと.p7cファイルをインポートおよびエクスポートすることができます。あなたは "opensslのPKCS7 -in cert.p7c -inform DER -outform PEM -outのcert.pem" とPEM形式にPKCS＃7証明書を変換することができます。

The private key can be converted to PKCS #8 format with "openssl pkcs8 -in a_key.pem -topk8 -outform DER -out a_key.p8c".

秘密鍵は、 "opensslのPKCS8 -in a_key.pem -topk8 -outform a_key.p8c -out DER" とPKCS＃8形式に変換することができます。

In general, a TLS client will just need the root certificate of the CA. A TLS server will need its private key and its certificate. These could be in two PEM files, a single file with both certificate and private key PEM sections, or a single .p12 file. An S/MIME program will need its private key and certificate, the root certificate of the CA, and the certificate for every other user it communicates with.

一般的には、TLSクライアントは、単にCAのルート証明書が必要になりますTLSサーバは、その秘密鍵と証明書が必要になります。これらは、2つのPEMファイル、証明書と秘密鍵のPEMのセクション、または単一.P12ファイルの両方を備えた単一のファイルである可能性があります。 S / MIMEプログラムは、その秘密鍵と証明書、CAのルート証明書、およびそれが通信する他のすべてのユーザーのための証明書が必要になります。

A.1. makeCA script

A.1。 makeCAスクリプト

#!/bin/sh set -x

＃！/ binに/ shのセット-x

rm -rf demoCA

RM -rf demoCA

mkdir demoCA mkdir demoCA/certs mkdir demoCA/crl mkdir demoCA/newcerts mkdir demoCA/private # This is done to generate the exact serial number used for the RFC echo "4902110184015C" > demoCA/serial touch demoCA/index.txt

これは、RFCエコー "4902110184015C" のために使用される正確なシリアル番号を生成するために行われます。mkdir demoCAます。mkdir demoCA /本命ます。mkdir demoCA / CRLます。mkdir demoCA / newcertsます。mkdir demoCA /民間＃> demoCA /シリアルタッチdemoCA / index.txtの

# You may need to modify this for where your default file is # you can find where yours in by typing "openssl ca" for D in /etc/ssl /usr/local/ssl /sw/etc/ssl /sw/share/ssl; do CONF=${OPENSSLDIR:=$D}/openssl.cnf [ -f ${CONF} ] && break done

＃あなたは、デフォルトのファイルは、あなたが/の/ etc / SSLを/ usr / local / sslの/ SWの/ etc / SSL / SW /株でDのための "のopenssl CA" と入力して場所をあなたの中に見つけることができます＃ここでこれを修正する必要があるかもしれませんSSL; CONF = $ {OPENSSLDIR：= $ D}ん/openssl.cnf [-f $ {CONF}]完了破壊&&

CONF=${OPENSSLDIR}/openssl.cnf

CONF = $ {OPENSSLDIR} /openssl.cnf

if [ ! -f $CONF ]; then echo "Can not find file $CONF - set your OPENSSLDIR variable" exit fi

[もし！ -f $のCONF];その後、エコー、「ファイルが見つかりません$ CONF - あなたのOPENSSLDIR変数を設定する」出口Fiの

cp $CONF openssl.cnf

CP $ confのopenssl.cnfを

cat >> openssl.cnf <<EOF [ sipdomain_cert ] subjectAltName=\${ENV::ALTNAME} basicConstraints=CA:FALSE subjectKeyIdentifier=hash authorityKeyIdentifier=keyid,issuer keyUsage = nonRepudiation,digitalSignature,keyEncipherment extendedKeyUsage=serverAuth,1.3.6.1.5.5.7.3.20

猫>> openssl.cnfを<< EOF [sipdomain_cert]のsubjectAltName = \ $ {ENV :: ALTNAME} basicConstraintsの= CA：FALSE subjectKeyIdentifier =ハッシュauthorityKeyIdentifier =鍵ID、発行者のkeyUsage =否認防止、デジタル署名、keyEncipherment extendedKeyUsageの= serverAuth、1.3.6.1。 5.5.7.3.20

[ sipdomain_req ] basicConstraints = CA:FALSE subjectAltName=\${ENV::ALTNAME} subjectKeyIdentifier=hash

【sipdomain_req] basicConstraintsの= CA：FALSEのsubjectAltName = \ $ {ENV :: ALTNAME} subjectKeyIdentifier =ハッシュ

[ sipuser_cert ] subjectAltName=\${ENV::ALTNAME} basicConstraints=CA:FALSE subjectKeyIdentifier=hash authorityKeyIdentifier=keyid,issuer keyUsage = nonRepudiation,digitalSignature,keyEncipherment extendedKeyUsage=emailProtection,1.3.6.1.5.5.7.3.20

【sipuser_cert]のsubjectAltName = \ $ {ENV :: ALTNAME} basicConstraintsの= CA：FALSE subjectKeyIdentifier =ハッシュauthorityKeyIdentifier =鍵ID、発行者のkeyUsage =否認防止、デジタル署名、keyEncipherment extendedKeyUsageの= emailProtection、1.3.6.1.5.5.7.3.20

[ sipuser_req ] basicConstraints = CA:FALSE subjectAltName=\${ENV::ALTNAME} subjectKeyIdentifier=hash

【sipuser_req] basicConstraintsの= CA：FALSEのsubjectAltName = \ $ {ENV :: ALTNAME} subjectKeyIdentifier =ハッシュ

[ sipdomain_noeku_cert ] subjectAltName=\${ENV::ALTNAME} basicConstraints=CA:FALSE subjectKeyIdentifier=hash authorityKeyIdentifier=keyid,issuer keyUsage = nonRepudiation,digitalSignature,keyEncipherment

【sipdomain_noeku_cert]のsubjectAltName = \ $ {ENV :: ALTNAME} basicConstraintsの= CA：FALSE subjectKeyIdentifier =ハッシュauthorityKeyIdentifier =鍵ID、発行者のkeyUsage =否認防止、デジタル署名、keyEncipherment

[ sipdomain_noeku_req ] basicConstraints = CA:FALSE subjectAltName=\${ENV::ALTNAME} subjectKeyIdentifier=hash

【sipdomain_noeku_req] basicConstraintsの= CA：FALSEのsubjectAltName = \ $ {ENV :: ALTNAME} subjectKeyIdentifier =ハッシュ

[ sipuser_noeku_cert ] subjectAltName=\${ENV::ALTNAME} basicConstraints=CA:FALSE subjectKeyIdentifier=hash authorityKeyIdentifier=keyid,issuer keyUsage = nonRepudiation,digitalSignature,keyEncipherment

【sipuser_noeku_cert]のsubjectAltName = \ $ {ENV :: ALTNAME} basicConstraintsの= CA：FALSE subjectKeyIdentifier =ハッシュauthorityKeyIdentifier =鍵ID、発行者のkeyUsage =否認防止、デジタル署名、keyEncipherment

[ sipuser_noeku_req ] basicConstraints = CA:FALSE subjectAltName=\${ENV::ALTNAME} subjectKeyIdentifier=hash

【sipuser_noeku_req] basicConstraintsの= CA：FALSEのsubjectAltName = \ $ {ENV :: ALTNAME} subjectKeyIdentifier =ハッシュ

EOF

   cat > demoCA/private/cakey.pem <<EOF
   -----BEGIN ENCRYPTED PRIVATE KEY-----
   MIIFDjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQIlwtc771DlNUCAggA
   MBQGCCqGSIb3DQMHBAhRD3Z1i2TavwSCBMgXoXo0H/dTplHwnqfW7Uh1dr776z7B
   lsNxlenMA6lYmALF/4E1tqOE2/aEbr8W3wTVjNpew9r5TBsbA1I9/FMMe+USc1ra
   5pIdDLx7ynzHvxcUWJ1xbWGeLcEmXGOvzkwW/oOg49Yq1ce1GtlLSV2L7Wi93TUQ
   Q8i5l0X0xjx7cB7kaHTOTyaN0sxUE3qlQ2sXTbbHWUfIaNpEZUI5ITrDUflfMnxb
   RogQGv+5owsM7zwzfyGz3QocM9WaZwKFOEOqBvEfGaaZ9ml+cn1Rz/1Id7tSBlRH
   3ucN2mGdEVIUvzSACZ9LPuIO7WBGM56enDRsqZji4WfqDHdXa4gkJKqPEJeBnLVA
   jxCmLJSyikM25kHDm8LWuOckO/Rk+7999h13Qv1Ynm7yCincorqdlTrAdmq1Z8Tj
   QPgXioTlx6++6yxiDCV7Mwkydox31K9y/Tf2cZ//dWuf/lfMaaq8HfpSNl4RKqsz
   ufL41K5sCzPRIugUdooUQSGPC0JgcskPcifT6zvrI62KLPFVrwG5HT9PdevQvC6O
   VgglxbEGJ7I4vllzmY62/0LtQKIA6bh8pszvvmHjGo9s+f+p7KJVYygEHNEmRTm+
   8M2owk67033sV6IClDOAdRL8siTHmcmM+r1x9VVIppsDrzjqQqYVGYBbjEJW8eQp
   t7kAjuN48tDD1mS8E6DstPv/6S0AjzAqCbjkuPJ0WU5fD1cY+iTpo9vcunohcj+i
   KVXsM34wOsBpMBjFQ+Aww5bsIkEV1liOYLav1F7/BvP2s0gc3puM5W35y1cbKLu2
   ThJV7mIWoV770aQYpJba0UAk9OzBVEvPNahrDI1NucbEkFrhN2pfnOs7k4UvrjiK
   uknKrm3gocDOdstyMZX81Beyj06NhpcJH+bOSvROk/d68aAsapy6qS9hLijNNbcd
   itQ/fo+1o9MDujT/huj7ZFqdzNM3KA6vxf0kmmVM+GJbYke+cjXk6WB80lF9lYcB
   0pWPd+fgwFL252FUoFcjvUWFXkvbR1+IMkv6sNdKcXHHazAE6nl6yPl9bVwCaS1I
   WNqEfHntblNZbeW+3qH8ov1ZXVCqEmaHkajSAhFJKXCgpSXaIx2FSntzpVFbRpnw
   Yd9eml9xwgE3l9aRuvR6p61fd051LzCh7KjvorV1CemPUT6YRBamFNCBoT7cqjhE
   kqMQfowKkMEY0p2dzMnGzsSPKk10nI53RgPyD/8FT5dPuq073SyjxTKhAbvl+kVl
   lrfZ6b7P/UKwLBCT3bLG6uU/Es84euWN+U2JXIADPoCcVeWrUqkf4j368c2Z8Zdd
   A27X4ZJ+q+YfsFNiOA7vshHi3Am3gBzQhEEGsRdzgkf8qmtlRGhq/823GEexoUfu
   8SiOOjoU08HGAkTtPWjV5+0C6Q6RW9SmNMwz7msZHoKTQ8kz2LKXUwb6DBwWcw6/
   UTUgzVXqhA8HmjsnVe9ftDKL66v9zlp4RVRdDzm4TYUybYh5uigFbjJFLlnJnJho
   TcnusHO80Cxgs64khLRzM46Oi+JSEPv7o7zHcfWNOVtNW908EKCubtEDZtnQn9VC
   0Sky9R/WzunaLlG3LZ3BRUhWpyyvdNxlNq3ie4tcRMlXIEe14UZN0sPCKZY//NEn
   BEc=
   -----END ENCRYPTED PRIVATE KEY-----
   EOF cat > demoCA/cacert.pem <<EOF
   -----BEGIN CERTIFICATE-----
   MIIDtTCCAp2gAwIBAgIJAJajhBdO74pMMA0GCSqGSIb3DQEBBQUAMHAxCzAJBgNV
   BAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlhMREwDwYDVQQHDAhTYW4gSm9zZTEO
   MAwGA1UECgwFc2lwaXQxKTAnBgNVBAsMIFNpcGl0IFRlc3QgQ2VydGlmaWNhdGUg
   QXV0aG9yaXR5MCAXDTExMDEyNzE4MzYwNVoYDzIxMTEwMTAzMTgzNjA1WjBwMQsw
   CQYDVQQGEwJVUzETMBEGA1UECAwKQ2FsaWZvcm5pYTERMA8GA1UEBwwIU2FuIEpv
   c2UxDjAMBgNVBAoMBXNpcGl0MSkwJwYDVQQLDCBTaXBpdCBUZXN0IENlcnRpZmlj
   YXRlIEF1dGhvcml0eTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKsf
   kWHxHMXNpnsWm7cUeeQwnpjQ7Ae3vXfX0fVbLOLu5rGw8IX6pbzLzM9pLE/8UO+d
   MSvAWer7ZG8fVac9/XDSVtsUmReScKwm+DRBcNnAA5FqutERj6wSMd65GXCNXad9
   ixnMQD+u/94f25SzRndsrq7/PtaEW8LeCyZl0JHHcEvHCkq/x5cE3bpYR8vgKyN2
   h2XFVTQQqycfHPgwPbCbyqKBcky9YP73If4L2wvb6VsBNtQoFWt569CRGyFZuA6q
   v9WxbHA3oz+lfQ6VRvb2WGeDdUI3GAukQTmyL2yALHjspQ++nBD4wAsNc5meDdeX
   UMvMRTQjSUGFIiStKcMCAwEAAaNQME4wHQYDVR0OBBYEFJVFfl8r6mWYEpEE82PH
   aJpYFncnMB8GA1UdIwQYMBaAFJVFfl8r6mWYEpEE82PHaJpYFncnMAwGA1UdEwQF
   MAMBAf8wDQYJKoZIhvcNAQEFBQADggEBAAZfnq6gmry1uVt+lzPM32OYmJTLDWap
   g+iqWCpZoZ5HMaavXD+iJYb43wWSt9tpoWlyh2bFqzWJATcZyXTrCdE/iHskE0LK
   LftF5sxL+CF48/WX7AmSJKLw5pSNl0oAlAC9JbgXLFJTXcxcSKShHS32UFUTpNOy
   ovTxuW1IXlzz3uD8WQmh2RRhZb/YP7m6LnztXCSba8qqX/HBHrCo2oIP+0xxO017
   OMjjiioZNEQmC+rwRzhGKGUE4gFS3ew95fVTdHd0dW3G2cIKrDu4mFxVUzR0Uqgm
   sS8wItCLt/Og3WgHM9Wut4GylFhyTnzGci+9bGn7tReoKo3XLJEGyAw=
   -----END CERTIFICATE-----

EOF

# uncomment the following lines to generate your own key pair

＃独自の鍵のペアを生成するには、次の行のコメントを解除しました

# openssl req -newkey rsa:2048 -passin pass:password \ # -passout pass:password -set_serial 0x96a384174eef8a4c \ # -sha1 -x509 -keyout demoCA/private/cakey.pem \ # -out demoCA/cacert.pem -days 36500 -config ${CONF} <<EOF # US # California # San Jose # sipit # Sipit Test Certificate Authority # # # EOF

＃opensslのREQ -newkey RSA：2048渡す-passin：パスワードを\＃は合格-passout：パスワードを-set_serial 0x96a384174eef8a4c \＃-sha1 -x509 -keyout demoCA /プライベート/ cakey.pemファイル\＃-out demoCA / cacert.pemの-days 36500 -config $ {CONF} << EOF＃米国＃カリフォルニア位サンノゼ＃のsipitの＃Sipitテスト認証局### EOF

# either randomly generate a serial number, or set it manually # hexdump -n 4 -e '4/1 "%04u"' /dev/random > demoCA/serial echo 96a384174eef8a4d > demoCA/serial openssl crl2pkcs7 -nocrl -certfile demoCA/cacert.pem \ -outform DER -out demoCA/cacert.p7c

＃ランダムシリアル番号を生成し、または＃hexdumpに対して-n 4 -e '4/1 "％の04u"' の/ dev /ランダム> demoCA /シリアルエコー96a384174eef8a4d> demoCA /シリアルのOpenSSL crl2pkcs7 -nocrl -certfile demoCA /手動で設定のいずれかこのcacert.pem \ -outform DER -out demoCA / cacert.p7c

cp demoCA/cacert.pem root_cert_fluffyCA.pem

CP demoCA / cacert.pemのroot_cert_fluffyCA.pem

A.2. makeCert script

A.2。 makeCertスクリプト

#!/bin/sh set -x

＃！/ binに/ shのセット-x

# Make a symbolic link to this file called "makeUserCert" # if you wish to use it to make certs for users.

＃あなたがユーザーのために本命を作るためにそれを使用したい場合は、「makeUserCert」＃と呼ばれるこのファイルへのシンボリックリンクを作成します。

# ExecName=$(basename $0) # # if [ ${ExecName} == "makeUserCert" ]; then # ExtPrefix="sipuser" # elif [ ${ExecName} == "makeEkuUserCert" ]; then # ExtPrefix="sipuser_eku" # elif [ ${ExecName} == "makeEkuCert" ]; then # ExtPrefix="sipdomain_eku" # else # ExtPrefix="sipdomain" # fi

＃ExecName = $（ベース名$ 0）は##であれば、[$ {ExecName} == "makeUserCert"]。次いで＃ExtPrefix = "sipuser" ＃1のelif [$ {ExecName} == "makeEkuUserCert"]。次いで＃ExtPrefix = "sipuser_eku" ＃1のelif [$ {ExecName} == "makeEkuCert"]。その後、＃ExtPrefix = "sipdomain_eku" 他## ExtPrefix = "sipdomain" ＃Fiの

if [ $# == 3 ]; then DAYS=36500 elif [ $# == 4 ]; then DAYS=$4 else echo "Usage: makeCert test.example.org user|domain eku|noeku [days]" echo " makeCert alice@example.org [days]" echo "days is how long the certificate is valid" echo "days set to 0 generates an invalid certificate" exit 0 fi

もし[$＃== 3]。その後、DAYS = 36500のelif [$＃== 4]。その後、DAYS =他の$ 4 "使用方法：|ドメインEKU | makeCert test.example.orgユーザーnoeku [日]" エコーエコー "makeCert alice@example.org [日]" エコー」エコー "の日証明書が有効であるどのくらいです" 0に設定する日は、無効な証明書「の出口0 Fiが発生します

ExtPrefix="sip"${2}

ExtPrefix = "SIP" $ {2}

if [ $3 == "noeku" ]; then ExtPrefix=${ExtPrefix}"_noeku" fi

もし[$ 3 == "noeku"];次いでExtPrefix = $ {ExtPrefix} "_ noeku" Fiの

DOMAIN=`echo $1 | perl -ne '{print "$1\n" if (/(\w+\..*)$/)}' ` USER=`echo $1 | perl -ne '{print "$1\n" if (/(\w+)\@(\w+\..*)$/)}' ` ADDR=$1 echo "making cert for $DOMAIN ${ADDR}" if [ $2 == "user" ]; then CNVALUE=$USER else CNVALUE=$DOMAIN fi

DOMAINは= '$ 1エコー| perlの-ne '{印刷 "$ 1 \ n個の" if（/(\w+\..*)$/）}' `USER =`エコー$ 1 | Perlの-ne '{印刷 "$ 1 \ n" IF（/(\w+)\@(\w+\..*)$/）}' `ADDR IF = "$ DOMAIN $ {ADDR}ための証明書を作る" $ 1エコー[$ 2 == "ユーザー"];その後、CNVALUE = $のUSER他CNVALUE = $ DOMAIN Fiの

rm -f ${ADDR}_*.pem rm -f ${ADDR}.p12

RM -f $ {ADDR} _ *。PEMのrm -f $ {ADDR} .P12

  case ${ADDR} in
  *:*) ALTNAME="URI:${ADDR}" ;;
  *@*) ALTNAME="URI:sip:${ADDR},URI:im:${ADDR},URI:pres:${ADDR}" ;;
  *)   ALTNAME="DNS:${DOMAIN},URI:sip:${ADDR}" ;;
  esac

  rm -f demoCA/index.txt
  touch demoCA/index.txt
  rm -f demoCA/newcerts/*

export ALTNAME

輸出ALTNAME

openssl genrsa -out ${ADDR}_key.pem 2048 openssl req -new -config openssl.cnf -reqexts ${ExtPrefix}_req \ -sha1 -key ${ADDR}_key.pem \ -out ${ADDR}.csr -days ${DAYS} <<EOF US California San Jose sipit

OpenSSLのgenrsaアウト$ {ADDR} _key.pem 2048のOpenSSL REQ -new -config openssl.cnfを-reqexts $ {ExtPrefix} _req \ -sha1 -key $ {ADDR} _key.pem \アウト$ {ADDR} .csrです - 日$ {DAYS} << EOF米国カリフォルニア州サンノゼsipit

${CNVALUE}

$ {} CNVALUE

EOF

if [ $DAYS == 0 ]; then openssl ca -extensions ${ExtPrefix}_cert -config openssl.cnf \ -passin pass:password -policy policy_anything \ -md sha1 -batch -notext -out ${ADDR}_cert.pem \ -startdate 990101000000Z \ -enddate 000101000000Z \ -infiles ${ADDR}.csr else openssl ca -extensions ${ExtPrefix}_cert -config openssl.cnf \ -passin pass:password -policy policy_anything \ -md sha1 -days ${DAYS} -batch -notext -out ${ADDR}_cert.pem \ -infiles ${ADDR}.csr fi openssl pkcs12 -passin pass:password \ -passout pass:password -export \ -out ${ADDR}.p12 -in ${ADDR}_cert.pem \ -inkey ${ADDR}_key.pem -name ${ADDR} -certfile demoCA/cacert.pem

もし[$ DAYS == 0];その後、opensslのCA -extensions $ {} ExtPrefix _cert -config openssl.cnfを\ -passin渡す：パスワードを-policy policy_anything \ -MD SHA1 -batch -notext -out $ {ADDR} _cert.pem \ -startdate 990101000000Z \ -enddate 000101000000Z \ -infiles $ {ADDR} .csrです他のopenssl CA -extensions $ {} ExtPrefix _cert -config openssl.cnfを\ -passin渡す：パスワード-policy policy_anything \ -MD SHA1 -days $ {DAYS} -batch -notext -out $ { ADDR} _cert.pem \ -infiles $ {ADDR} .csrですFiのopensslのPKCS12 -passin渡す：パスワード\ -passout渡す：\ -out $ {-exportパスワードADDR} .P12 -in $ {ADDR} _cert.pem \ - INKEYの$ {ADDR} _key.pem -name $ {ADDR} -certfile demoCA / cacert.pemの

openssl x509 -in ${ADDR}_cert.pem -noout -text

opensslのX509 -in $ {ADDR} _cert.pem -noout -text

  case ${ADDR} in
  *@*) mv ${ADDR}_key.pem user_key_${ADDR}.pem; \
       mv ${ADDR}_cert.pem user_cert_${ADDR}.pem ;;
  *)   mv ${ADDR}_key.pem domain_key_${ADDR}.pem; \
       mv ${ADDR}_cert.pem domain_cert_${ADDR}.pem ;;
  esac

Appendix B. Certificates for Testing

付録B.証明書のテストのための

This section contains various certificates used for testing in PEM format.

このセクションでは、PEM形式のテストのために使用される各種証明書が含まれています。

B.1. Certificates Using EKU

B.1。 EKUを使用した証明書

These certificates make use of the EKU specification described in [RFC5924].

これらの証明書は、[RFC5924]で説明EKU仕様を利用します。

Fluffy's user certificate for example.com:

example.comのふわふわのユーザー証明書：

Fluffy's private key for user certificate for example.com:

example.comのユーザー証明書のふわふわの秘密鍵：

Kumiko's user certificate for example.net:

example.net用久美子のユーザー証明書：

Kumiko's private key for user certificate for example.net:

example.net用のユーザー証明書の久美子さんの秘密鍵：

Domain certificate for example.com:

example.comのドメイン証明書：

Private key for domain certificate for example.com:

example.comのドメイン証明書の秘密鍵：

Domain certificate for example.net:

example.netのドメイン証明書：

Private key for domain certificate for example.net:

example.netのドメイン証明書の秘密キー：

B.2. Certificates NOT Using EKU

B.2。 EKUを使用していない証明書

These certificates do not make use of the EKU specification described in [RFC5924]. Most existing certificates fall in this category.

これらの証明書は、[RFC5924]で説明EKU仕様を使用しません。ほとんどの既存の証明書は、このカテゴリーに入ります。

Fluffy's user certificate for example.com:

example.comのふわふわのユーザー証明書：

Fluffy's private key for user certificate for example.com:

example.comのユーザー証明書のふわふわの秘密鍵：

Kumiko's user certificate for example.net:

example.net用久美子のユーザー証明書：

Kumiko's private key for user certificate for example.net:

example.net用のユーザー証明書の久美子さんの秘密鍵：

Domain certificate for example.com:

example.comのドメイン証明書：

Private key for domain certificate for example.com:

example.comのドメイン証明書の秘密鍵：

Domain certificate for example.net:

example.netのドメイン証明書：

Private key for domain certificate for example.net:

example.netのドメイン証明書の秘密キー：

B.3. Certificate Chaining with a Non-Root CA

B.3。非ルートCAで証明書チェーン

Following is a certificate for a non-root CA in example.net. The certificate was signed by the root CA shown in Section 2.1. As indicated in Sections 4.2.1.9 and 4.2.1.3 [RFC5280], "cA" is set in Basic Constraints, and "keyCertSign" is set in Key Usage. This identifies the certificate holder as a signing authority.

以下はexample.netで非ルートCAの証明書です。証明書がセクション2.1に示されているルートCAによって署名されました。セクション4.2.1.9と4.2.1.3 [RFC5280]に示されているように、「CAは、」基本的な制約に設定され、「KeyCertSignが」がキー使用法に設定されています。これは、署名機関として、証明書の所有者を特定します。

Version: 3 (0x2) Serial Number: 96:a3:84:17:4e:ef:8a:52 Signature Algorithm: sha1WithRSAEncryption Issuer: C=US, ST=California, L=San Jose, O=sipit, OU=Sipit Test Certificate Authority Validity Not Before: Feb 7 20:21:13 2011 GMT Not After : Jan 14 20:21:13 2111 GMT Subject: C=US, ST=California, L=San Jose, O=sipit,

バージョン：3（0x2の）シリアル番号：96：A3：84：17：4E：EF：8A：52署名アルゴリズム：sha1WithRSAEncryption発行者：C = US、ST =カリフォルニア州、L =サンノゼ、O = sipit、OU = Sipit前の試験認証機関の妥当性はない：1月14日20時21分13秒2111 GMT件名：後2月7日20時21分13秒2011 GMTないC = US、ST =カリフォルニア州、L =サンノゼ、O = sipit、

OU=Test CA for example.net, CN=example.net Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:d4:46:65:51:f8:84:1c:b5:93:47:a5:15:14:06: ec:dc:2a:77:93:11:5e:75:14:d2:88:54:bd:16:50: dd:41:3f:7e:2a:e4:26:d5:a3:33:b0:5e:37:1d:e5: 96:37:1c:1c:69:80:a4:ef:fd:22:78:d7:ce:d3:c3: de:96:fb:87:30:88:bc:06:14:80:5d:f3:ab:d7:64: 3e:07:31:dc:97:c5:d6:19:26:bc:7d:0b:f8:de:5e: f9:0f:dc:9a:45:0f:28:8d:dd:fa:15:56:d5:35:17: 28:80:d2:fc:1f:d6:95:95:42:0e:2c:47:38:53:ad: fd:0e:24:fd:a3:43:33:83:52:65:54:da:48:d8:dc: 86:42:d5:26:ac:1d:52:54:08:52:e5:3f:4a:76:95: 77:8d:c6:f2:33:f0:18:87:c8:fc:5b:54:5d:dd:65: f1:5c:f5:c8:f4:36:54:8a:b6:7b:6f:f8:55:f8:d8: d8:df:a9:7b:40:45:4c:92:0f:aa:b2:2c:a1:a8:64: d5:99:22:1e:28:78:a0:d8:e5:51:64:3f:03:14:a9: 12:47:61:84:d6:b0:69:1a:6b:a3:6e:d8:ca:ce:43: 50:ad:57:96:2b:87:15:d9:c2:11:03:b0:82:d4:f0: 80:bf:dd:44:f4:f6:39:0a:2b:e3:4d:d3:f5:e7:aa: 34:e5 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:TRUE X509v3 Subject Key Identifier: 72:70:CF:66:1E:23:A5:38:FC:6F:40:8F:86:8A:AF:E0:B9:6F:E9:C3 X509v3 Authority Key Identifier: 95:45:7E:5F:2B:EA:65:98:12:91:04:F3:63:C7:68:9A:58:16:77:27

公開鍵アルゴリズム：rsaEncryption RSA公開鍵：（2048ビット）モジュラス（2048ビット）：00：D4：46：65：51：F8：example.net、CN = example.netサブジェクト公開鍵情報のためのOU =テストCA 84：1C：B5：93：47：A5：15：14：06：EC：DC：2A：77：93：11：5E：75：14：D2：88：54：BD：16：50：DD： 41：3F：7E：2A：E4：26：D5：A3：33：B0：5E：37：1D：E5：96：37：1C：1C：69：80：A4：EFは：fdが：78：22： D7：CE：D3：C3：デ：96：FB：87：30：88：BC：06：14：80：5D：F3：AB：D7：64：3E：07：31：DC：97：C5： D6：19：26：BC：7D：0B：F8：デ：5E：F9：0F：DC：9A：45：0F：28：8D：DD：FA：15：56：D5：35：17：28： 80：D2：FC：1F：D6：95：95：42：0E：C：47：38：53：広告：FD：0E：24：fdが：A3：43：33：83：52：65：54： DA：48：D8：DC：86：42：D5：26：AC：1D：52：54：08：52：E5：3F：4A：76：95：77：8D：C6：F2：33：F0： 18：87：C8：FC：5B：54：5D：DD：65：F1：5C：F5：C8：F4：36：54：8A：B6：7B：6F：F8：55：F8：D8：D8： DF：A9：7B：40：45：4C：92：0F：AA：B2：C：A1：A8：64：D5：99：22：1E：28：78：A0：D8：E5：51：64： 3F：03：14：A9：12：47：61：84：D6：B0：69：1A：6B：A3：6E：D8：CA：CE：43：50：広告：57：96：2B：87： 15：D9：C2：11：03：B0：82：D4：F0：80：BF：DD：44：F4：F6：39：0A：2B：E3：4D：D3：F5：E7：AA：34： E5指数：65537（0x10001）書X509v3拡張子：書X509v3基本コンstraints：CA：TRUE書X509v3件名キー識別子：72：70：CF：66：1E：23：A5：38：FC：6F：40：8F：86：8A：AF：E0：B9：6F：E9：C3書X509v3権限キー識別子：95：45：7E：5F：2B：EA：65：98：12：91：04：F3：63：C7：68：9：58：16：77：27

X509v3 Key Usage: Certificate Sign Signature Algorithm: sha1WithRSAEncryption 70:73:c0:65:9c:2f:09:39:39:d6:a4:5b:95:e7:7b:43:34:b5: b9:b2:5d:76:eb:ef:87:e0:25:b6:68:ab:ee:f8:f7:85:c4:21: 47:bb:6c:68:62:ff:f8:84:1e:44:5a:30:4e:ce:97:91:cc:3d: 43:4a:8b:b7:25:26:08:63:c6:71:4a:c1:94:35:81:66:de:23: 9d:e3:37:de:31:80:ed:58:b7:07:a7:ea:87:d3:cc:da:1b:62: c9:82:c2:17:e6:2d:20:e4:b2:69:14:cb:05:43:34:6f:b5:2c: 60:d8:44:43:f9:e6:e9:3d:7c:54:a2:b9:d9:1e:7d:67:bb:3f: 32:31:0d:c1:88:78:a8:67:39:f5:d2:3e:08:f7:38:84:a6:8f: c2:3e:00:ce:5f:b4:c8:da:a1:b5:2f:c2:89:60:a4:3a:2b:be: 98:e0:44:34:af:ec:7f:73:26:f1:94:5b:39:09:b9:9f:93:c2: 9d:7a:96:2f:82:66:c8:4d:f6:db:87:00:8e:bc:2a:b9:51:73: 6c:cc:ff:e5:31:25:b1:4a:d0:9a:a9:c3:65:35:21:89:76:3d: 39:f8:84:42:a6:03:0e:b5:c9:2f:5d:18:bc:9d:b9:82:f6:83: dd:2b:29:6c:8d:2c:8c:47:d4:7d:be:de:32:13:85:92:32:bc: 61:62:6b:e5

書X509v3キー使用法：証明書のサイン署名アルゴリズム：sha1WithRSAEncryption 70：73：C0：65：9C：2F：09：39：39：D6：A4：5B：95：E7：7B：43：34：B5：B9：B2： 5D：76：EB：EF：87：E0：25：B6：68：AB：EE：F8：F7：85：C4：21：47：BB：6C：68：62：FF：F8：84：1E： 44：5A：30：4E：CE：97：91：CC：3D：43：4A：8B：B7：25：26：08：63：C6：71：4A：C1：94：35：81：66：デ：23：9D：E3：37：デ：31：80：ED：58：B7：07：A7：EA：87：D3：CC：DA：1B：62：C9：82：C2：17：E6： 2D：20：E4：B2：69：14：CB：05：43：34：6F：B5：C：60：D8：44：43：F9：E6：E9：3D：7C：54：A2：B9： D9：1E：7D：67：BB：3F：32：31：0D：C1：88：78：A8：67：39：F5：D2：3E：08：F7：38：84：A6：8F：C2： 3E：00：CE：5F：B4：C8：DA：A1：B5：2F：C2：89：60：A4：3A：2B：である：98：E0：44：34：AF：EC：7F：73： 26：F1：94：5B：39：09：B9：9F：93：C2：9D：7A：96：2F：82：66：C8：4D：F6：DB：87：00：8E：BC：2A： B9：51：73：6C：CC：FF：E5：31：25：B1：4A：D0：9A：A9：C3：65：35：21：89：76：3D：39：F8：84：42： A6：03：0E：B5：C9：2F：5D：18：BC：9D：B9：82：F6：83：DD：2B：29：6C：8D：図2c：8C：47：D4：7D：です。デ：32：13：85：92：32：BC：61：62：6B：E5

Robert's certificate was signed by the non-root CA in example.net:

ロバートの証明書はexample.netに非ルートCAによって署名されました：

Version: 3 (0x2) Serial Number: 96:a3:84:17:4e:ef:8a:53 Signature Algorithm: sha1WithRSAEncryption Issuer: C=US, ST=California, L=San Jose, O=sipit, OU=Test CA for example.net, CN=example.net Validity Not Before: Feb 7 20:21:13 2011 GMT Not After : Jan 14 20:21:13 2111 GMT Subject: C=US, ST=California, L=San Jose, O=sipit, CN=robert Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:d3:dc:14:69:6b:71:09:2c:0b:0f:9d:95:08:c1: 64:20:66:ef:9f:9c:30:06:30:39:eb:14:16:da:19: cc:41:4d:b1:cf:f8:53:5b:a5:0d:76:ec:97:ba:16: 10:9f:ed:57:b5:fb:6d:4b:9f:8f:d0:9f:0e:15:a7: 3e:88:c4:e4:ef:35:d1:63:91:20:68:18:f4:8e:3b: b4:0f:03:3e:a0:00:d6:c3:26:e7:57:8e:21:92:a3: 7a:2d:21:44:48:db:01:b9:54:e8:dc:d6:e3:d1:b3: f2:4b:26:0f:3f:d4:99:63:e4:7e:14:0a:b2:73:1c: 5f:3b:41:36:e9:9a:70:be:f7:4f:08:6b:4a:db:44: 02:e8:bb:50:66:2c:98:94:45:9e:7e:01:0e:9d:c3: a9:03:b7:28:15:28:c3:cd:a2:ad:ab:07:f6:ff:69: f4:ec:ba:7f:4b:bd:9b:28:8c:0d:87:e2:66:d1:24: 34:e5:77:be:89:f1:c9:76:4c:37:34:3a:bc:d9:9c: 36:f5:28:60:01:29:5c:f4:1e:7a:15:19:34:81:1c: cf:1a:06:5c:0f:f9:81:67:dc:50:09:e2:a8:d7:9d: 9f:35:6e:ff:a6:a8:80:74:6c:f8:a1:0a:f3:bb:2b: b6:51:8c:21:bc:06:72:59:d0:95:42:d3:02:2c:ce: f9:23 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Alternative Name: URI:sip:robert@example.net, URI:im:robert@example.net, URI:pres:robert@example.net X509v3 Basic Constraints: CA:FALSE X509v3 Subject Key Identifier: A6:42:BD:62:0D:6B:BF:EE:67:D4:C7:BC:09:3F:0B:3A:12:AB:19:CE X509v3 Authority Key Identifier:

バージョン：3（0x2の）シリアル番号：96：A3：84：17：4E：EF：8A：53署名アルゴリズム：sha1WithRSAEncryption発行者：C = US、ST =カリフォルニア州、L =サンノゼ、O = sipit、OU =テスト1月14日午後8時21分13秒2111 GMT件名：後2月7日午後8時21分13秒2011 GMTない：C = US、ST =カリフォルニア州、L =サンノゼ前example.net、CN = example.net妥当性はないためCA 、O = sipit、CN =ロバートサブジェクト公開鍵情報：公開鍵アルゴリズム：rsaEncryption RSA公開鍵：（2048ビット）モジュラス（2048ビット）：00：D3：DC：14：69：6B：71：09：C： 0B：0F：9D：95：08：C1：64：20：66：EF：9F：9C：30：06：30：39：EB：14：16：DA：19：CC：41：4D：B1： CF：F8：53：5B：A5：0D：76：EC：97：BA：16：10：9F：ED：57：B5：FB：6D：4B：9F：8F：D0：9F：0E：15： A7：3E：88：C4：E4：EF：35：D1：63：91：20：68：18：F4：8E：3B：B4：0F：03：3E：A0：00：D6：C3：26： E7：57：8E：21：92：A3：7A：2D：21：44：48：DB：01：B9：54：E8：DC：D6：E3：D1：B3：F2：4B：26：0F： 3F：D4：99：63：E4：7E：14：0A：B2：73：1C：5F：3B：41：36：E9：9A：70：である：F7：4F：08：6B：4A：DB： 44：02：E8：BB：50：66：C：98：94：45：9E：7E：01：0E：9D：C3：A9：03：B7：28：15：28：C3：CD：A2：広告：AB：07：F6：FF：69：F4：EC：BA：7F：4B：BD：9B：28：8C：0D：87：E2：66：D1：24：34：E5 ：77：である：89：F1：C9：76：4C：37：34：3A：BC：D9：9C：36：F5：28：60：01：29：5（c）：F4：1E：7A：15：19 ：34：81：1C：CF：1A：06：5（c）：0F：F9：81：67：DC：50：09：E2：A8：D7：9D：9F：35：6E：FF：A6：A8：80 ：74：6C：F8：A1：0A：F3：BB：2B：B6：51：8C：21：BC：06：72：59：D0：95：42：D3：02：2C：CE：F9：23指数：65537（0x10001）書X509v3拡張子：書X509v3のサブジェクトの別名：URI：一口：robert@example.net、URI：イム：robert@example.net、URI：PRES：robert@example.net書X509v3基本制約：CA：FALSE書X509v3件名キー識別子：A6：42：BD：62：0D：6B：BF：EE：67：D4：C7：BC：09：3F：0B：3A：12：AB：19：CE書X509v3機関キー識別子。

72:70:CF:66:1E:23:A5:38:FC:6F:40:8F:86:8A:AF:E0:B9:6F:E9:C3

右：70：ヤシ：I：1 J：23：ブラザー：スナップ：デコード：テフ：40：追加しない：決して：Doanhを：F：J 0：ボス：テフ：EQ：KAA

X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment X509v3 Extended Key Usage: E-mail Protection, 1.3.6.1.5.5.7.3.20 Signature Algorithm: sha1WithRSAEncryption 25:99:ea:1a:1e:96:6d:4e:b1:9c:5a:43:77:ea:3a:a7:a1:b7: 22:db:b9:d4:9a:1e:17:f7:13:2e:b2:ca:80:dd:c9:a5:db:61: 41:c6:8b:65:ae:0e:fc:9a:46:77:16:e0:e2:3d:1d:20:3c:e5: d5:e0:b8:03:41:4f:e7:69:bf:e0:4c:dd:cc:c4:51:b1:da:2f: ad:58:e1:ed:c6:5b:04:ea:1e:af:9a:89:cd:be:60:3c:9a:30: 51:7f:99:5a:6b:5c:8f:5a:d4:b8:ce:b5:8b:31:74:70:b3:cc: 5c:04:90:d8:8d:b6:75:55:fb:c1:d8:e8:db:cf:3d:80:e4:8d: 2f:7e:b9:2b:a2:9e:9f:1e:6f:d0:4e:6e:f7:f0:a6:61:3b:9e: 9b:4b:78:6b:84:37:ad:93:19:0d:7f:46:5a:18:74:89:8b:a8: 1a:75:bf:db:df:25:43:4b:57:ab:a1:19:2e:7c:7b:b9:b5:50: ef:2c:1f:5c:18:8f:6c:66:83:61:eb:25:a3:21:81:2c:61:3b: ee:8c:18:1a:89:9a:29:0d:5c:5b:38:f3:71:3d:61:f0:3f:80: 33:90:f2:60:53:48:fb:7a:65:c9:5f:1f:a3:e8:75:42:42:f5: ad:db:60:29:c6:0f:3c:68:00:7a:2b:38:db:c7:17:b9:4e:d8: 90:d8:52:bc

書X509v3キー使用法：デジタル署名、否認防止、鍵暗号化書X509v3拡張キー使用法：Eメール保護、1.3.6.1.5.5.7.3.20署名アルゴリズム：sha1WithRSAEncryption 25：99：EA：1A：1E：96：6D：4E ：B1：9C：5A：43：77：EA：3A：A7 A1：B7：22：DB：B9：D4：9A：1E：17：F7：13：2E：B2：CA：80：DD：C9 ：A5：DB：61：41：C6：8B：65：AE：0E：FC：9A：46：77：16：E0：E2：3D：1D：20：3C：E5：D5：E0：B8：03 ：41：4F：E7：69：BF：E0：4C：DD：CC：C4：51：B1：DA：2F：広告：58：E1：ED：C6：5B：04：EA：1E：AF：9A ：89：CD：である：60：3C：9A：51：30 7F：99：5A：6B：5C：8F：5A：D4：B8：CE：B5：8B：31：74：70：B3：CC ：5C：04：90：D8：8D：B6：75：55：FB：C1：D8：E8：DB：CF：3D：80：E4：8D：2F：7E：B9：2B：A2：9E：9F ：1E：6F：D0：4E：6E：F7：F0：A6：61：3B：9E：9B：4B：78：6B：84：37：広告：93：19：0D：7F：46：5A：18 ：74：89：8B：A8：1A：75：BF：DB：DF：25：43：4B：57：AB：A1：19：2E：7C：7B：B9：B5：50：EF：C：1F ：5C：18：8F：6C：66：83：61：EB：25：A3：21：81：C：61：3B：EE：8C：18：1A：89：9A：29：0D：5C：5B ：38：F3：71：3D：61：F0：3F：80：33：90：F2：60：53：48：FB：7A：65：C9：5F：1F：A3：E8：75：42：42 ：F5：広告：DB：60：29：C6：0F：3C：68：00：7A：2B：38：DB：C7：17：B9：4E：D8：90：D8：52：BC

Certificate for CA for example.net in PEM format:

PEM形式のexample.netのためのCAの証明書：

Private key for CA for example.net:

example.netのためのCAの秘密鍵：

Robert's certificate:

ロバートの証明書：

Robert's private key:

ロバートの秘密鍵：

Appendix C. Message Dumps

付録C.メッセージダンプ

This section contains a base64-encoded, gzipped, compressed tar file of various Cryptographic Message Syntax (CMS) messages used in this document. Saving the data in a file foo.tgz.b64 then running a command like "openssl base64 -d -in foo.tgz.b64 | tar xfz -" would recover the CMS messages and allow them to be used as test vectors.

このセクションでは、この文書で使用される様々な暗号メッセージ構文（CMS）メッセージのbase64でエンコードされ、gzipで圧縮され、圧縮されたtarファイルが含まれています。 CMSのメッセージを回復し、それらをテストベクトルとして使用することができるようになる - |「タールxfzのopenssl base64で-d -in foo.tgz.b64」のようなコマンドを実行し、ファイルfoo.tgz.b64内のデータを保存します。

-- BEGIN MESSAGE ARCHIVE -- H4sIAIpaUE0CA+ybeUATxx7HCSCIHIpoqSIQvFECu5tsDhAEDATQhCsQExTZ JBtIyGUSIEREREU8i1ZRqVYERVHUCqKiUBWP1vusXCJeeIv3LfpCaRUpSF8f tJXH/JPdmd3fTjYz8/n+fr8JT6LEKSVCCYqTKCMd+YhKp/0LAABEAgHb8Eki wp98NhSIQACxIAhDBACGIRDCAiCBQCTqYAGdv6HEKFWIQtsVrkKISD9zXVvt jd8F++HzCyl0r+BgD5oXVimUO0fHSITRMndUjUjkYtRRiqqwwb4BTpAjYNoj VIg4/37mxBwTgAUp2iNHyBFyBmEAAF24CkTKi3LVUKJoBO5YHJ9MggkaHAUi CxASgSvAc3kwgQDgQBzu9zYXhVymULnCAImgfQAdUeO8ZYo4RMFXOmNJ2hqm zBk7quV+uZn28FbIJL+1C8QxAkH8h3aeTOLmokIiXXkIWSAgEHimPcYgYjHO l+qMZYui49gsdpw/ky9mM33V2mOAwWTDdCpPQ6eFSugsuppOjYbZIraj9rZg dLIzlkwg4bG/vSfTHh48HipXOWMlMWKVUI4oVE5KYaQU5TtgVaha5SQXI0Kp AxaRy8VCHqISyqRO8miekoRrmGOf1iv5cocmZhCxClVItU2xqPbJMqkKlapw zHg5+sdnuXBlMVI+ooh3JQkAIoULAhRAwKMIINBForUujnRVRiGgi1whU8l4 MrHrwD92p8EQoopRoAM/PmwcKo1URWlffsPbN+2BwzW33rxfH79xkxbtOFAK UAXOS8qT8YXSSGcsVyjV9rXBpA8qFsvs/ozpz/TYRYpIUNdfFy1HOUn58U6q UCmXKYUN92gNqFQIL0qirXeJQqR8sbYnrgp0coxQoX1/AqEYbc3KZ78AkIw5 b2A0IsUn5YUpxlA3MxlzSFu1XxeDAY0AQ4NuI830dPsDxh8vwYDJmCztJd9r LwGmAnLQGDAy0AvRN7DQDQkGLQDzhpPuJr8OUaFAppAKEdAc6NlQa2jSPRiR Yv1kShQ0A0waqkx7mHTTjnihCrQHhjVUGJtggxvOsUxUqcKOQRUqoaDhtaFY jxhVlEwhVMXrGumkZ8+0ZDyYS//YQ9MPPcRguunoJ2N0VHQ7yoWrVx0AzsZi RsQC4fra+ID+26b6nduvt7rf1KzYZQUngRPcselYuGo/vwK/OP3EcL3lUgeT 5wu+dX+cWmm/2bjU7NU50VKHeGmpK/cGM9cqT1D11U6qWM9q8sq6I/fo3247 9cwy/tDPu53Wi8dePMXNftLfavB1d8Eo/9kpe41EmjERI9+Wu45kWR6brjci VDg9+bX60llnp9fZh+7Mu2VCtCq+WG8137EnZmvFFX0zRsCSmISSCuPqja+J 1+5dXwd7/5i1zHrzbirT+f6Syli/wN1rp2q4e0c4PZ7AeXf0RtHFiXeGPoYt +2FPLktnKFYq6m2j9osmpHg+vv9Yjo77iXoooaVBicOZ9tDp3EWCKpVIJIpT iZU4BaqUd4QEaIP/AIEENOM/DAH4Lv7/HeU3pGMhbZ/9xzbn/LjgP8l5HokM IwCJhFAQMgEGuS1zHk/+SHVlC1h3hgEi2MhugA+QYBgEmoJe2QLpG3vVeA+I UPAEPMBtwnt/JkdCp3pB/iyGlvehIgY1WsPWeEbRWUFiOjWEwKB6qTmSEAKH GfiB91oT5I+8bw7HX9HYeZaFJvO/g9R/2/Of9Ef9D+Hhrvn/N+v/Vmdka15A B6wOrXsBra8X//gS8U+4BC1J79+XKGJTqd3G7y+VodExOF6HRgH+e/8fJgJd 878z+P8CroDHhfFkMiSABDwC2Ir/T+gQ/59PQUEKD0aaTHYG1VviT/OF2CJe PFvjAdJpgXEMUWA8ncUmMCSh0QzIW0RniiUMmu8X4f8L8ESUC8E8MsCDiBCR 0L7+f3Pr7ej/t2W6y/9vf/8/8HP+v9NPV5eaR6TYVRfWLfhu+1lh9PEH1Yl7 3jz7fs3BmbkOBuG3w2pqtwGq9cbhC6OdH96zemPjG4apsSHkbVgcoUcehTFK OWy7cOCpAU/puqGxdgMgZPODtBLNnvfvJ/vNw+utn/rowmayYapSsrV8Dykr oeeNqsQnR8adKxop2bOKs3FLYdEZeeaIqUusqmMYP5nVzdYPybwytua2/eLE H1KtuBdqepaMG+w9Fn8y8krfg0ZDhjr1PcK2W385634htWhFRL3aEne7xP2b u4b1ewyC5s1GzZ/Pt/LaHLkhZNaNd2YF9k604RuOKkWaQTtOVP5UOGTKnAvB MxPUO5e9HvBypdFIe7tcIT/uSkuD8v/A/2/kfyP7USlPES9Xofx2VgBt8R/C k5rxn6it6uJ/J+A/SsaDFDJERPB8PpEIEFvhP9wh/Af5EB8gkD7hv8gXr5X7 AIMZDdI1gQCbFaLVAtEgg+YXxWCFxPmz6ABd5B3F0PA+8B8PEYF/iv//A9L+ FNHagm6DLZfG1UGlvcQVlcaiYpkc5eO0SwTyKYklf1QSMBFupKYu+BGJepnJ ugO1VTa6GB0tHVdo6bhUe/hP0zGoBSjuo1ZeP9XrMm7+knrDUIfaOajutiR+ 1V3a4n2njLBOoePccHmXneaWvBeZ59noD3vlpzFMfBpaqZd229hH1D1sCMOD o7vxgaEUfRl33svcUzD95IYZc0PDjqzPej56ZblXwcnKhcJdgUOTVdhizi77 bUfNr48KjZ0gsN+jCs1aBizgpe9Q7xy1et+m11+dHXyROEVgrS80Of1457vt tW/N3Q5gfpyvd9ku0U6j/7Vmh5GqICyaIApP8JwVysod4jd9p/skL/eTD49W SZ2KU4vU5iWxo75POZTx3bDM5IlOg3fnw7OKlDdWzJb1DU3LNfd5GRYb/dB6 q+y8dkzcwoTffGNyxsvum+OjgIQmUgawNjCKSPHBoHr6GF39XrzBx9SKM6eD a4oSrqXTD71KCoistLQITlMeYfRj+XKQKK/oVeHiy2nwiITFQZutH/DpQeqc vbIj9dH1R+Zd35uQs2ZJfI11vQnV+q7sweLwNN7g0irbvoHyN18Pm7tpV/GI rJudnr7/Lv531A6Atv1/uLn/D+DBLv53Av5rf08eAIJ8PAUPCAQAoRX+4zuE /xREO6i4hE/9fzaBzvJV+7NC8P5MD5AhiobpLHocR8KOY0C+eAbkpWEwfWF/ Ju+L8P/xRATSyis+Hw8QBGSY3E7+P6HR/29uvR39/7ZM/3v9//JP/f8j2qpD Df5/g3Rp9K676TSPAKzVXpT5r4gANOljVwygpRhA84HZyWMATfnfMMN+DwK0 pxBog/94EoRv7v8TiV3x/87AfxKfCwoIJBIIk0ABv9X4P7Fj+E+GIJBEIjXh Px3yBTlMLzydGtWw/w/mMDlCjihKxKD6SdgSLzWHqm1j8sX+tI/7/2ACgfJv

- BEGINメッセージアーカイブ - H4sIAIpaUE0CA + ybeUATxx7HCSCIHIpoqSIQvFECu5tsDhAEDATQhCsQExTZ JBtIyGUSIEREREU8i1ZRqVYERVHUCqKiUBWP1vusXCJeeIv3LfpCaRUpSF8f tJXH / JPdmd3fTjYz8 / N + fr8JT6LEKSVCCYqTKCMd + YhKp / 0LAABEAgHb8Eki wp98NhSIQACxIAhDBACGIRDCAiCBQCTqYAGdv6HEKFWIQtsVrkKISD9zXVvt jd8F ++ HzCyl0r + BgD5oXVimUO0fHSITRMndUjUjkYtRRiqqwwb4BTpAjYNoj VIg4 / 37mxBwTgAUp2iNHyBFyBmEAAF24CkTKi3LVUKJoBO5YHJ9MggkaHAUi CxASgSvAc3kwgQDgQBzu9zYXhVymULnCAImgfQAdUeO8ZYo4RMFXOmNJ2hqm zBk7quV + uZn28FbIJL + 1C8QxAkH8h3aeTOLmokIiXXkIWSAgEHimPcYgYjHO L + qMZYui49gsdpw / ky9mM33V2mOAwWTDdCpPQ6eFSugsuppOjYbZIraj9rZg dLIzlkwg4bG / vSfTHh48HipXOWMlMWKVUI4oVE5KYaQU5TtgVaha5SQXI0Kp AxaRy8VCHqISyqRO8miekoRrmGOf1iv5cocmZhCxClVItU2xqPbJMqkKlapw zHg5 + sdnuXBlMVI + ooh3JQkAIoULAhRAwKMIINBForUujnRVRiGgi1whU8l4 MrHrwD92p8EQoopRoAM / PmwcKo1URWlffsPbN + 2BwzW33rxfH79xkxbtOFAK UAXOS8qT8YXSSGcsVyjV9rXBpA8qFsvs / ozpz / TYRYpIUNdfFy1HOUn58U6q UCmXKYUN92gNqFQIL0qirXeJQqR8sbYnrgp0coxQoX1 / AqEYbc3KZ78AkIw5 b2A0IsUn5YUpxlA3MxlzSFu1XxeDAY0AQ4NuI830dPsDxh8vwYDJmCztJ d9r LwGmAnLQGDAy0AvRN7DQDQkGLQDzhpPuJr8OUaFAppAKEdAc6NlQa2jSPRiR Yv1kShQ0A0waqkx7mHTTjnihCrQHhjVUGJtggxvOsUxUqcKOQRUqoaDhtaFY jxhVlEwhVMXrGumkZ8 + 0ZDyYS // YQ9MPPcRguunoJ2N0VHQ7yoWrVx0AzsZi RsQC4fra + ID + 26b6nduvt7rf1KzYZQUngRPcselYuGo / vwK / OP3EcL3lUgeT 5wu +のdX + cWmm / 2bjU7NU50VKHeGmpK / cGM9cqT1D11U6qWM9q8sq6I / fo3247 9cwy / tDPu53Wi8dePMXNftLfavB1d8Eo / 9kpe41EmjERI9 + Wu45kWR6brjci VDg9 + bX60llnp9fZh + 7Mu2VCtCq + WG8137EnZmvFFX0zRsCSmISSCuPqja + J + 1 5dXwd7 / 5i1zHrzbirT + f6Syli / wN1rp2q4e0c4PZ7AeXf0RtHFiXeGPoYt + 2FPLktnKFYq6m2j9osmpHg + vv9Yjo77iXoooaVBicOZ9tDp3EWCKpVIJIpT iZU4BaqUd4QEaIP / AIEENOM / DAH4Lv7 / HeU3pGMhbZ / 9xzbn / LjgP8l5HokM IwCJhFAQMgEGuS1zHk / + SHVlC1h3hgEi2MhugA + QYBgEmoJe2QLpG3vVeA + I UPAEPMBtwnt / JkdCp3pB / iyGlvehIgY1WsPWeEbRWUFiOjWEwKB6qTmSEAKH GfiB91oT5I + 8bw7HX9HYeZaFJvO / g9R / 2 / Of9Ef9D + Hhrvn / N + V / Vmdka15A B6wOrXsBra8X // gS8U + 4BC1J79 + XKGJTqd3G7y + VodExOF6HRgH + E / 8fJgJd 878z + P8CroDHhfFkMiSABDwC2Ir / T + GQ / 59PQUEKD0aaTHYG1VviT / OF2CJe PFvjAdJpgXEMUWA8ncUmMCSh0QzIW0RniiUMmu8X4f8L8ESUC8E8MsCDiBCR 0L7 + f3Pr7ej / t2W6y / 9V F / 8 / 8HP + v9NPV5eaR6TYVRfWLfhu + 1lh9PEH1Yl7 3jz7fs3BmbkOBuG3w2pqtwGq9cbhC6OdH96zemPjG4apsSHkbVgcoUcehTFK OWy7cOCpAU / puqGxdgMgZPODtBLNnvfvJ / VNW + UTN / rowmayYapSsrV8Dykr oeeNqsQnR8adKxop2bOKs3FLYdEZeeaIqUusqmMYP5nVzdYPybwytua2 / ELE H1KtuBdqepaMG + w9Fn8y8krfg0ZDhjr1PcK2W385634htWhFRL3aEne7xP2b u4b1ewyC5s1GzZ / PT / LaHLkhZNaNd2YF9k604RuOKkWaQTtOVP5UOGTKnAvB MxPUO5e9HvBypdFIe7tcIT / uSkuD8v / A / 2 / kfyP7USlPES9Xofx2VgBt8R / C k5rxn6it6uJ / J + A / SsaDFDJERPB8PpEIEFvhP9wh / Af5EB8gkD7hv8gXr5X7 AIMZDdI1gQCbFaLVAtEgg + YXxWCFxPmz6ABd5B3F0PA + 8B8PEYF / IV // A9L + FNHagm6DLZfG1UGlvcQVlcaiYpkc5eO0SwTyKYklf1QSMBFupKYu + BGJepnJ ugO1VTa6GB0tHVdo6bhUe / hP0zGoBSjuo1ZeP9XrMm7 + knrDUIfaOajutiR + 1V3a4n2njLBOoePccHmXneaWvBeZ59noD3vlpzFMfBpaqZd229hH1D1sCMOD o7vxgaEUfRl33svcUzD95IYZc0PDjqzPej56ZblXwcnKhcJdgUOTVdhizi77 bUfNr48KjZ0gsN + jCs1aBizgpe9Q7xy1et + M11 + dHXyROEVgrS80Of1457vt TW / N3Q5gfpyvd9ku0U6j / 7Vmh5GqICyaIApP8JwVysod4jd9p / SKL / eTD49W SZ2KU4vU5iWxo75POZTx3bDM5IlOg3fnw7OKlDdWzJb1DU3LNfd5GRYb / DB6 Q + y8dkzcwoTffGNyxsvum + OjgIQmUgawNjCKSPHBoHr6 GF39XrzBx9SKM6eD a4oSrqXTD71KCoistLQITlMeYfRj + XKQKK / oVeHiy2nwiITFQZutH / DpQeqc vbIj9dH1R + Zd35uQs2ZJfI11vQnV + q7sweLwNN7g0irbvoHyN18Pm7tpV / GI rJudnr7 / Lv531A6Atv1 / ULN / D + DBLv53Av5rf08eAIJ8PAUPCAQAoRX + 4zuE / xREO6i4hE / 9fzaBzvJV + 7NC8P5MD5AhiobpLHocR8KOY0C + eAbkpWEwfWF /チュ+ L8P / xRATSyis + Hw8QBGSY3E7 + P6HR / 29uvR39 / 7ZM / 3v9 // JP / f8j2qpD DF5 / g3Rp9K676TSPAKzVXpT5r4gANOljVwygpRhA84HZyWMATfnfMMN + DwK0 pxBog / 94EoRv7v8TiV3x / 87AfxKfCwoIJBIIk0ABv9X4P7Fj + E + GIJBEIjXh Px3yBTlMLzydGtWw / W / mMDlCjihKxKD6SdgSLzWHqm1j8sX + TI / 7 / 2ACgfJv

5T+fCBJhlEQgg1wuiof57cJ/kADDjQKgufkOCxh0dJzjC4lBMFqAcvKdjFmr L0ziPSuQYdfIDmX9vIJ7ro5zN3koOb1nZXDiqzQj2PxgRPfvt3692MPesDw3 H0mRFak32LoZXSW5mZVmmHEWzc6t9900ZeP9gYbHTscbvXB5Yuk6d7DnTupR zS97Jtkejg3IeTE3/yvh5Ko6cXzQpnFhIJ9SYbN5dIplpR4F7337BfKy5v0I zDy7YUxd/zmPbLdcnxc0VVBa+1w1Y0BGVC/r8WGZ5CdzcoQFugTSlKP97Yfd t2TaztDc2oZRG848pK4SbVjCjb1sEjbbgDNGrCPKC/ZZ914Usqo/bXj/+OUX PHUP6r6ca1RTeHPQnKiHZy3STN8T7+wvs31XNpGZbuJJ+1wIYgGsMP1lVUJ3 sWn+UVD3lmNSwPnbj/Z7mvZ4ek1i49fPd4PGduPzY/cLy0eNLY9VYZLKAiTB K7aM74m3GMg/XX3D/RnboCgzWqWesPS0xb7C07Dt2bQhY0r5C48vzDPpttsi gMka8temQZdYbY/tqp8Vq0rvxIKvIg7nF71/PmnMyyzd0mn6eVzNU+dvH2w4 c8XBuLdN0YSMHBfhvHnjYjg78aylKLrrTOlyN1qF+PRFl1SrGZNnmU+Wjk05 G+saWZdicn8BeVBe0g/IrbKKiVnCUFr2IltxryU+mccj+kgCvMfeHSVh95o2 ab7u01UQ5f4O5wr9Q1XXhsfVDPUoM4ms3lTHcGaUbinanG12t/ervoYlR5Kr h0tLLdPDfYcrZxUnxkwetmuDXt7+3WXblV6S9L2mPfpaTl2+Zxt31HGR5UNe 6rSg8xWj7tNcsne/vbDVlTToHJmT3+v2pl599bIm6Cfu3mzn8F4Ve2XiNp9J uum46AWJRNo1C3J9SyPzv1arHZv5+bP5H2Lz+A8IduV/OoP+40EkIoSHuDAB 5PNhiNSK/gM7RP+REAjFAxDcVP9R2fFa7RflT/XAM1heEEfk1bAPJM6fyRHT RV5qBssX4rAC4zg0elf+5/8r/9OS9irq/Q20ye8qef/lYGHqhSE33fW2XYq3 y741iGN17M34p8t81v/80LXGI5uTBsmTX/9wqXxJgtgR8w5fwj1m6D/+kuzO 6Afb33grxmekZs4qHlT2s5Fx2gK/SaPTE/LOX+13S3eH2RPTx4v8InPrAkXL ylIk99TSw5dnJFzRseW4syNMyu5mv9EvOLLubvz9gtCXzwPzw8dfLbccjs/Z Bc836zMt7fQUPR2x63T7Z2W1eTHhlx9WX3PLN1h2wTf3GLn7o5ndnu0rDsk5 f6S8fm2e++pVgWEvnA8cOOF8U2LX7XRAjH+f8rjYwxY5Pr2nDDk+cKKyxP16 X90sit+xipDua+sYc8N3H/TzXvk57XUUPlpio55RgRXTilZfXJSaFGC1pfdB s5D0TSuOD5hWuHzt3rPl05bsKSR3Yz8mrzlhH2NpzbMy/gGXajBNnfSE43YR 3jvQRg9iL6+snz6pwoPn/HV94cw+GG9j97uh9im0eWfqutI/HV8+ZH5wcVGI ChcpU+Ea17N2VAJt7f8Ggeb5HyIJALr4/3eUdgnod02jL3/+d9i/P/5K/hdP AqGu+d8J9D8eoUAQl8jnAQJAIMC3ov/xlA7R/6iAyEX4MNo0/wsxhByRL8AQ BYkY1ECAzmSDDKr2mMWQ0GkhIJ3qAdGpQVFsyZex/xvPhUEYBSGQS9C+ahBs 5/xvM+vtmf9tw3RXSO0fCKl1/Qf8jwOzk+d/Ozbz+2fzv1Dz+B9M6Mr/dgb+ U0gIRERhCpcEESEuvrX9X1CH8B9PoghgLvRJ/lfEjqNr+CI2k41ns4Ki2ZpI DV0UAtBpvgS6hgcxRNEgW+MnZmi8voj8L0rmC4goyENhPoiS2+n/Xx/zv83N d+V///4YpK+5sXlQ7qprG9+kHLvb+/jC9FWz3JLOJhz8buf0sYWvLZJEonyC onxfckRlwZiXgfOhedWnYyUrvZX7qZm93n+1doZqlp1q6uV6z33LdJKzkqYP XJmVbNpj1sOoBxllEuvBI3PDCzIy3dZXWA8o8zwmWzddMGi4TsIK0Q690YnP fe4s8oUf1bszJ+a9mHln9LAx9Zeu9qrmHYT9LHjGEtOMXzYpKML56DjqwWww Ir5oQ/YavXqPIb1rn7yknZzvWTE0bh1ra/+le7utu017fGbLRYtEqxkT5h+0 BYvZN+qlGT8sujc5Z9pwt0FW7lf3RZwKD0vpbpC8fWeVTnWeM2XY1YT0zXNv H9hlEP65IGTqdxYx6wV9Dpw6cfj92UUTM5MCkoyzd7LmbH8q32LdJxeufmUt sPcOcre44uI3qPbepldwzo61P+7TDoV+BykDp/YaZ/o0XV9tPouReO1AcX5N iGX8pMeM2iGeJC/KxOeVrAyG8V+bBl1itcPFqjQwb7Dj7oQ1dUkbQorP8yfW 2htNyt+6Ubbo7LJ4KGzr0XdrlG9rWYzDLpHwxutqG/a3dZG8OBtNcrHN0J6U GJOcoYsxop0TH+5zCPR+s55IvcY/bH7MOLr+iSSh3m2L46I96u+fWq3BRhVd OnfN5O2LPhkO/E3DgkqC7g1L7VNSdYD50x2fKsPb3zn+/CM3K3ZGMOmW7tgz KbdrHEu+pdxzwgRnTutflAO+vbloQNVAv8gZS/IZw3NPXPLTF11OSZsyflKV Jj09cwhSOj5reG1B/iNJoMFKNWJa7rx+dXbhbOMk89Lc/7RvxzQMAgEARRkw wNSEMOLlFDBVBGMnFhJsYAABZ4LuJUwkJZCgoQQDdcB7Gv768/VRHG01vNNt emZ7DOdvjHOoX11ffrLl2/wL8wbDIgAAAAAAAAAAAJBchjiJbgB4AAA= -- END MESSAGE ARCHIVE --

5T + fCBJhlEQgg1wuiof57cJ / kADDjQKgufkOCxh0dJzjC4lBMFqAcvKdjFmr L0ziPSuQYdfIDmX9vIJ7ro5zN3koOb1nZXDiqzQj2PxgRPfvt3692MPesDw3 H0mRFak32LoZXSW5mZVmmHEWzc6t9900ZeP9gYbHTscbvXB5Yuk6d7DnTupR zS97Jtkejg3IeTE3 / yvh5Ko6cXzQpnFhIJ9SYbN5dIplpR4F7337BfKy5v0I zDy7YUxd / zmPbLdcnxc0VVBa + 1w1Y0BGVC / r8WGZ5CdzcoQFugTSlKP97Yfd t2TaztDc2oZRG848pK4SbVjCjb1sEjbbgDNGrCPKC / ZZ914Usqo / BXJ / OUX PHUP6r6ca1RTeHPQnKiHZy3STN8T7 + wvs31XNpGZbuJJ + 1wIYgGsMP1lVUJ3商業+ UVD3lmNSwPnbj / Z7mvZ4ek1i49fPd4PGduPzY / cLy0eNLY9VYZLKAiTB K7aM74m3GMg / XX3D / RnboCgzWqWesPS0xb7C07Dt2bQhY0r5C48vzDPpttsi gMka8temQZdYbY / tqp8Vq0rvxIKvIg7nF71 / PmnMyyzd0mn6eVzNU + dvH2w4 c8XBuLdN0YSMHBfhvHnjYjg78aylKLrrTOlyN1qF PRFl1SrGZNnmU Wjk05 + + G + saWZdicn8BeVBe0g / IrbKKiVnCUFr2IltxryU mccj + + kgCvMfeHSVh95o2 ab7u01UQ5f4O5wr9Q1XXhsfVDPUoM4ms3lTHcGaUbinanG12t / ervoYlR5Kr h0tLLdPDfYcrZxUnxkwetmuDXt7 3WXblV6S9L2mPfpaTl2 + + Zxt31HGR5UNe 6rSg8xWj7tNcsne / vbDVlTToHJmT3 v2pl599bIm6Cfu3mzn8F4Ve2XiNp9J uum46AWJRNo1C3J9SyPzv1arHZv5 + + + bP5H2Lz A8IduV / OOP 40EkIoSHuDAB 5PNhiNSK + / + gM7RP REAjFAxDc VP9R2fFa7RflT / XAM1heEEfk1bAPJM6fyRHT RV5qBssX4rAC4zg0elf + 5 / 8T / 9OS9irq / Q20ye8qef / lYGHqhSE33fW2XYq3 y741iGN17M34p8t81v / 80LXGI5uTBsmTX / 9wqXxJgtgR8w5fwj1m6D / Kuzo 6Afb33grxmekZs4qHlT2s5Fx2gK /浸潤/ LO + 13S3eH2RPTx4v8InPrAkXL ylIk99TSw5dnJFzRseW4syNMyu5mv9EvOLLubvz9gtCXzwPzw8dfLbccjs / L Bc836zMt7fQUPR2x63T7Z2W1eTHhlx9WX3PLN1h2wTf3GLn7o5ndnu0rDsk5 f6S8fm2e ++ pVgWEvnA8cOOF8U2LX7XRAjH f8rjYwxY5Pr2nDDk + + + cKKyxP16 X90sit xipDua sYc8N3H + / TzXvk57XUUPlpio55RgRXTilZfXJSaFGC1pfdB s5D0TSuOD5hWuHzt3rPl05bsKSR3Yz8mrzlhH2NpzbMy / gGXajBNnfSE43YR 3jvQRg9iL6 + snz6pwoPn / HV94cw + GG9j97uh9im0eWfqutI / HV8 + ZH5wcVGI ChcpU + Ea17N2VAJt7f8Ggeb5HyIJALr4 / 3eUdgnod02jL3 / d9i / P / 5K / HDP AqGu + d8J9D8eoUAQl8jnAQJAIMC3ov / xlA7R / 6iAyEX4MNo0 / wsxhByRL8AQ BYkY1ECAzmSDDKr2mMWQ0GkhIJ3qAdGpQVFsyZex / xvPhUEYBSGQS9C + AHBS 5 / XV + vtmf9tw3RXSO0fCKl1 / Qf8jwOzk + D / Ozbz 2fzv1Dz + + B9M6Mr / DGB U0gIRERhCpcEESEuvrX9X1CH8B9PoghgLvRJ + / + lfEjqNr CI2k41ns4Ki2ZpI DV0UAtBpvgS6hgcxRNEgW MnZmi8voj8L0rmC4goyENhPoiS2 + + N / XX / zv83N 4YpK /// D + 5 + + 5sXlQ7qprG9 kHLvb + / jC9FWz3JLOJhz8buf0 sYWvLZJEonyC onxfckRlwZiXgfOhedWnYyUrvZX7qZm93n + 1doZqlp1q6uV6z33LdJKzkqYP XJmVbNpj1sOoBxllEuvBI3PDCzIy3dZXWA8o8zwmWzddMGi4TsIK0Q690YnP fe4s8oUf1bszJ + a9mHln9LAx9Zeu9qrmHYT9LHjGEtOMXzYpKML56DjqwWww Ir5oQ / YavXqPIb1rn7yknZzvWTE0bh1ra / le7utu017fGbLRYtEqxkT5h 0 BYvZN + qlGT8sujc5Z9pwt0FW7lf3RZwKD0vpbpC8fWeVTnWeM2XY1YT0zXNv H9hlEP65IGTqdxYx6wV9Dpw6cfj92UUTM5MCkoyzd7LmbH8q32LdJxeufmUt sPcOcre44uI3qPbepldwzo61P + 7TDoV + BykDp / YAZ / o0XV9tPouReO1AcX5N iGX8pMeM2iGeJC / KxOeVrAyG8V + bBl1itcPFqjQwb7Dj7oQ1dUkbQorP8yfW 2htNyt + 6Ubbo7LJ4KGzr0XdrlG9rWYzDLpHwxutqG / a3dZG8OBtNcrHN0J6U GJOcoYsxop0TH + 5zCPR + s55IvcY / bH7MOLr + iSSh3m2L46I96u + fWq3BRhVd OnfN5O2LPhkO / E3DgkqC7g1L7VNSdYD50x2fKsPb3zn + / + CM3K3ZGMOmW7tgz KbdrHEu pdxzwgRnTutflAO vbloQNVAv8gZS + / IZw3NPXPLTF11OSZsyflKV Jj09cwhSOj5reG1B / iNJoMFKNWJa7rx dXbhbOMk89Lc + / 7RvxzQMAgEARRkw wNSEMOLlFDBVBGMnFhJsYAABZ4LuJUwkJZCgoQQDdcB7Gv768 / VRHG01vNNt emZ7DOdvjHOoX11ffrLl2 / wL8wbDIgAAAAAAAAAAAJBchjiJbgB4AAA = - ENDメッセージアーカイブ -

Authors' Addresses

著者のアドレス

Cullen Jennings Cisco Systems 170 West Tasman Drive Mailstop SJC-21/2 San Jose, CA 95134 USA

カレンジェニングスシスコシステムズ170西タスマンドライブメールストップSJC-2分の21サンノゼ、CA 95134 USA

Phone: +1 408 421 9990 EMail: fluffy@cisco.com

電話：+1 408 421 9990 Eメール：fluffy@cisco.com

Kumiko Ono Columbia University 1214 Amsterdam Avenue MC 0401 New York, NY 10027 USA

久美子小野コロンビア大学1214アムステルダムアベニューMC 0401ニューヨーク、NY 10027 USA

EMail: kumiko@cs.columbia.edu

メールアドレス：kumiko@cs.columbia.edu

Robert Sparks Tekelec 17210 Campbell Road Suite 250 Dallas, TX 75252 USA

ロバート・スパークスTekelec 17210キャンベル道スイート250、ダラス、TX 75252 USA

EMail: Robert.Sparks@tekelec.com

メールアドレス：Robert.Sparks@tekelec.com

Brian Hibbard (editor) Tekelec 17210 Campbell Road Suite 250 Dallas, TX 75252 USA

ブライアン・ヒバード（エディタ）Tekelec 17210キャンベル道スイート250、ダラス、TX 75252 USA

EMail: Brian.Hibbard@tekelec.com

メールアドレス：Brian.Hibbard@tekelec.com