Internet Engineering Task Force (IETF) J. Schaad
Request for Comments: 6402 Soaring Hawk Consulting
Updates: 5272, 5273, 5274 November 2011
Category: Standards Track
ISSN: 2070-1721
Certificate Management over CMS (CMC) Updates
Abstract
抽象
This document contains a set of updates to the base syntax for CMC, a Certificate Management protocol using the Cryptographic Message Syntax (CMS). This document updates RFC 5272, RFC 5273, and RFC 5274.
この文書では、CMCのための基本構文は、暗号メッセージ構文(CMS)を使用して、証明書管理プロトコルに更新のセットが含まれています。このドキュメントの更新RFC 5272、RFC 5273、およびRFC 5274。
The new items in this document are: new controls for future work in doing server side key generation, definition of a Subject Information Access value to identify CMC servers, and the registration of a port number for TCP/IP for the CMC service to run on.
CMCのサーバを識別するために、サーバ側鍵生成、サブジェクト情報アクセス値の定義を行うことで、将来の仕事のための新しいコントロール、およびCMCサービス用のTCP / IPのポート番号の登録は、上で実行するために:このドキュメントの新しいアイテムがあります。
Status of This Memo
このメモのステータス
This is an Internet Standards Track document.
これは、インターネット標準化過程文書です。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.
このドキュメントはインターネットエンジニアリングタスクフォース(IETF)の製品です。これは、IETFコミュニティの総意を表しています。これは、公開レビューを受けており、インターネットエンジニアリング運営グループ(IESG)によって公表のために承認されています。インターネット標準の詳細については、RFC 5741のセクション2で利用可能です。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6402.
このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc6402で取得することができます。
Copyright Notice
著作権表示
Copyright (c) 2011 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2011 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント(http://trustee.ietf.org/license-info)に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。コードコンポーネントは、トラスト法規定のセクションで説明4.eおよび簡体BSDライセンスで説明したように、保証なしで提供されているよう簡体BSDライセンスのテキストを含める必要があり、この文書から抽出されました。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.1. Requirements Terminology . . . . . . . . . . . . . . . . . 3
1.2. Abbreviations . . . . . . . . . . . . . . . . . . . . . . 3
2. Updates to RFC 5272 - "Certificate Management over CMS
(CMC)" . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.1. New Section 1.3 - "Updates Made by RFC 6402" . . . . . . . 3
2.2. Update Section 6 - "Controls" . . . . . . . . . . . . . . 4
2.3. Replace Section 6.3 - "Linking Identity and POP
Information" . . . . . . . . . . . . . . . . . . . . . . . 4
2.4. Replace Section 6.3.3 - "Renewal and Rekey Messages" . . . 5
2.5. New Section 6.20 - "RA Identity Proof Witness Control" . . 5
2.6. New Section 6.21 - "Response Body Control" . . . . . . . . 7
2.7. New Section 7 - "Other Attributes" . . . . . . . . . . . . 8
2.8. New Section 7.1 - "Change Subject Name Attribute" . . . . 8
2.9. New Section 9 - "Certificate Requirements" . . . . . . . . 10
2.10. New Section 9.1 - "Extended Key Usage" . . . . . . . . . . 10
2.11. New Section 9.2 - "Subject Information Access" . . . . . . 11
2.12. Update Section 8 - "Security Considerations" . . . . . . . 11
3. Updates to RFC 5273 - "Certificate Management over CMS
(CMC): Transport Protocols" . . . . . . . . . . . . . . . . . 12
3.1. Update Section 5 - "TCP-Based Protocol" . . . . . . . . . 12
3.2. New Section 6 - "IANA Considerations" . . . . . . . . . . 12
4. Updates to RFC 5274 - "Certificate Management Message over
CMS (CMC): Compliance Requirements" . . . . . . . . . . . . . 13
4.1. Update to Section 4.2 - "Controls" . . . . . . . . . . . . 13
5. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 13
6. Security Considerations . . . . . . . . . . . . . . . . . . . 13
7. References . . . . . . . . . . . . . . . . . . . . . . . . . . 13
7.1. Normative References . . . . . . . . . . . . . . . . . . . 13
7.2. Informative References . . . . . . . . . . . . . . . . . . 14
Appendix A. ASN.1 Modules . . . . . . . . . . . . . . . . . . . . 15
A.1. 1988 ASN.1 Module . . . . . . . . . . . . . . . . . . . . 15
A.2. 2008 ASN.1 Module . . . . . . . . . . . . . . . . . . . . 24
While dealing with the Suite B profile of CMC [RFC6403], a number of deficiencies were noted in the current base CMC specification. This document has a set of updates to [RFC5272], [RFC5273], and [RFC5274] to deal with those issues.
CMC [RFC6403]のスイートBのプロファイルに対応しながら、欠陥の数は、現在のベースCMC仕様で認められました。この文書では、これらの問題に対処するために、[RFC5272]への更新のセット、[RFC5273]、および[RFC5274]を持っています。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
この文書のキーワード "MUST"、 "MUST NOT"、 "REQUIRED"、、、、 "べきではない" "べきである" "ないもの" "ものとし"、 "推奨"、 "MAY"、および "OPTIONAL" はあります[RFC2119]に記載されているように解釈されます。
The following abbreviations are used in this document. Terms are used as defined in Section 2.1 of RFC 5272.
以下の略語が本文書で使用されています。 RFC 5272のセクション2.1で定義された用語が使用されています。
CA - Certification Authority CRL - Certificate Revocation List CRMF - Certificate Request Message Format EE - End-Entity MAC - Message Authentication Code PKI - Public Key Infrastructure RA - Registration Authority
CA - 認証局CRL - 証明書失効リストCRMF - 証明書要求メッセージ・フォーマットのEE - エンドエンティティMAC - メッセージ認証コードPKI - 公開鍵インフラストラクチャRA - 登録機関
Insert this section before the current Section 1.3.
現在のセクション1.3の前に、このセクションを挿入します。
The following updates were made by RFC 6402.
次の更新は、RFC 6402で行われました。
o Add new controls:
O新しいコントロールを追加します。
RA Identity Witness allows for an RA to perform identity checking using the identity and shared-secret, and then tell any following servers that the identity check was successfully performed.
RAは、アイデンティティがアイデンティティと共有秘密を使用してチェックを実行した後、IDチェックが正常に実行された任意の次のサーバーを伝えることのためにRAアイデンティティ証人ができます。
Response Body allows for an RA to identify a nested response for an EE to process.
レスポンスボディは、処理するために、EEのためのネストされた応答を識別するために、RAが可能になります。
o Create a new attribute, Change Subject Name, that allows a client to request a change in the subject name and subject alternate name fields in a certificate.
O新しい属性を作成し、クライアントはサブジェクト名と証明書のサブジェクト代替名フィールドの変更を要求することを可能にするサブジェクト名を、変更します。
o Add Extended Key Usages for CMC to distinguish server types.
CMCは、サーバーの種類を区別するためにO拡張キー使用法を追加します。
o Define a new Subject Information Access type to hold locations to contact the CMC server.
O CMCサーバーに接続するための場所を保持するために新しいSubject情報アクセスタイプを定義します。
o Clarify that the use of a pre-existing certificate is not limited to just renewal and rekey messages and is required for support. This formalizes a requirement for the ability to do renewal and rekey that previously was implicit.
O既存の証明書の使用がちょうど更新に限定されるものではなく、メッセージをリキーとサポートのために必要であることを明確にします。これは、以前暗黙的だったリニューアルやリキーを行う能力の要件を形式化。
Update Table 1 by adding the following rows:
次の行を追加することにより、表1を更新します。
+--------------------------+-----------+-----------------+---------+
| Identifier Description | OID | ASN.1 Structure | Section |
+--------------------------+-----------+-----------------+---------+
| id-cmc-raIdentityWitness | id-cmc 35 | BodyPartPath | 6.20 |
| | | | |
| id-cmc-responseBody | id-cmc 37 | BodyPartPath | 6.21 |
+--------------------------+-----------+-----------------+---------+
Addition to Table 1: CMC Control Attributes
表1に加え:CMCコントロール属性
Replace the text of the section with the following text.
次のテキスト部分のテキストを置き換えます。
In a CMC Full PKI Request, identity proof information about the client is carried in the certificate associated with the signature of the SignedData containing the certification requests, one of the two identity proof controls or the MAC computed for the AuthenticatedData containing the certification requests. Proof-of-possession (POP) information for key pairs, however, is carried separately for each PKCS #10 or CRMF certification request. (For keys capable of generating a digital signature, the POP is provided by the signature on the PKCS #10 or CRMF request. For encryption-only keys, the controls described in Section 6.7 are used.) In order to prevent substitution-style attacks, the protocol must guarantee that the same entity supplied both the POP and proof-of-identity information.
CMCフルPKI要求において、クライアントに関する身元証明情報が認証要求二アイデンティティ証明コントロールの一つまたは認証リクエストを含むAuthenticatedDataについて計算MACを含むのSignedDataの署名に関連付けられている証明書で行われます。プルーフ・オブ・所有(POP)情報の鍵ペアについては、しかしながら、それぞれPKCS#10またはCRMF証明要求について別々に行われます。 (デジタル署名を生成することができる鍵のために、POPは、PKCS#10またはCRMF要求に署名することによって提供される。暗号化キーのみについては、セクション6.7に記載のコントロールが使用されている。)置換スタイルの攻撃を防止するために、プロトコルは同じエンティティがPOPと実証の身元情報の両方を供給することを保証しなければなりません。
We describe three mechanisms for linking identity and POP information: witness values cryptographically derived from a shared-secret (Section 6.3.1), shared-secret/subject name matching (Section 6.3.2), and subject name matching to an existing certificate (Section 6.3.3). Clients and servers MUST support the witness value and the certificate linking techniques. Clients and servers MAY support shared-secret/name matching or MAY support other bilateral techniques of similar strength. The idea behind the first two mechanisms is to force the client to sign some data into each certification request that can be directly associated with the shared-secret; this will defeat attempts to include certification requests from different entities in a single Full PKI Request.
(既存の証明書/サブジェクト名のマッチング(6.3.2項)共有秘密、およびサブジェクト名マッチング、(6.3.1項)暗号共有秘密から導出さ証人値:我々は、IDとPOP情報を連結するための3つのメカニズムを説明します6.3.3項)。クライアントとサーバーは証人値と技術を結ぶ証明書をサポートしなければなりません。クライアントとサーバーは共有秘密/名のマッチングをサポートしたり、同様の強度の他の二国間の技術をサポートするかもしれません。最初の二つのメカニズムの背後にある考え方は、直接共有秘密に関連付けることができ、各証明要求に一部のデータに署名するためにクライアントを強制することです。これは、単一の完全なPKI要求で異なるエンティティからの認証要求を含めるしようとする試みを打ち負かすだろう。
Make the new section title "Existing Certificate Linking". Replace all text in this section with this text.
新しいセクションのタイトル「既存の証明書のリンク」を作成します。このテキストをこのセクション内のすべてのテキストを置き換えます。
Linking between the POP and an identity is easy when an existing certificate is used. The client copies all of the naming information from the existing certificate (subject name and subject alternative name) into the new certification request. The POP on the new public key is then performed by using the new key to sign the identity information (linking the POP to a specific identity). The identity information is then tied to the POP information by signing the entire enrollment request with the private key of the existing certificate.
既存の証明書を使用する場合、POPとアイデンティティの間でリンクすることは簡単です。新しい証明書要求へのクライアントのコピー既存の証明書(サブジェクト名とサブジェクトの別名)から命名すべての情報。新しい公開鍵のPOPは、(特定のアイデンティティにPOPを結ぶ)ID情報に署名する新しいキーを使用することによって行われます。アイデンティティ情報は、既存の証明書の秘密鍵で全体の登録要求に署名することにより、POP情報に関連付けられています。
Existing certificate linking can be used in the following circumstances:
既存の証明書のリンクは、以下の状況で使用することができます:
When replacing a certificate by doing a renewal or rekey certification request.
リニューアルやリキー証明書要求を実行して、証明書を交換するとき。
Using an existing certificate to get a new certificate. An example of this would be to get a key establishment certificate after having gotten a signature certificate.
新しい証明書を取得するために、既存の証明書を使用しました。この例では、署名証明書を得た後、鍵確立証明書を取得することです。
Using a third-party certificate to get a new certificate from a CA. An example of this would be using a certificate and key pair distributed with a device to prove an identity. This requires that the CA have an out-of-band channel to map the identity in the device certificate to the new EE identity.
CAから新しい証明書を取得するには、サードパーティの証明書を使用してこの例は、身元を証明するためのデバイスで配布証明書および鍵ペアを使用することになります。これは、CAが新しいEE IDにデバイス証明書のIDをマッピングするアウトオブバンドチャネルを持っていることが必要です。
Insert this section.
このセクションを挿入します。
The RA Identity Proof Witness control allows an RA to indicate to subsequent control processors that all of the identity proof requirements have been met. This permits the identity proof to be performed at a location closer to the end-entity. For example, the identity proof could be done at multiple physical locations, while the CA could operate on a company-wide basis. The RA performs the identity proof, and potentially other tasks that require the secret to be used, while the CA is prevented from knowing the secret. If the identity proof fails, then the RA returns an error to the client denoting that fact.
RAのアイデンティティ証明証人制御は、RAが身元証明の要件のすべてが満たされている次の制御プロセッサに指示することができます。これは、エンドエンティティに近い場所で実行されるアイデンティティ証明を可能にします。 CAは、全社ベースで動作することができる一方、例えば、身元証明は、複数の物理的な場所で行うことができます。 RAは、アイデンティティ証明を行い、CAは、秘密を知ることを防止しつつ秘密を必要とする潜在的に他のタスクは、使用されます。身元証明が失敗した場合、RAは、その事実を示すクライアントにエラーを返します。
The relevant ASN.1 for the RA Identity Proof Witness control is as follows:
次のようにRAアイデンティティ証明証人制御に関連するASN.1は、次のとおりです。
cmc-raIdentityWitness CMC-CONTROL ::=
{ BodyPartPath IDENTIFIED BY id-cmc-raIdentityWitness }
id-cmc-raIdentityWitness OBJECT IDENTIFIER ::= {id-cmc 35}
The above ASN.1 defines the following items:
上記ASN.1は、以下の項目を定義します。
cmc-raIdentityWitness is a CMC-CONTROL associating the object identifier id-cmc-raIdentityWitness and the type BodyPartPath. This object is omitted from the 1988 module. The object is added to the object set Cmc-Control-Set. The control is permitted to appear only in the control sequence of a PKIData object. It MUST NOT appear in the control sequence of a PKIResponse. The control is permitted to be used only by an RA. The control may appear multiple times in a control sequence with each occurrence pointing to a different object.
CMC-raIdentityWitnessは、オブジェクト識別子ID-CMC-raIdentityWitnessと型BodyPartPathを関連付けるCMC-CONTROLです。このオブジェクトは1988モジュールから省略されています。オブジェクトは、CMC-CONTROL-設定された設定オブジェクトに追加されます。コントロールはのみPKIDataオブジェクトの制御シーケンスに表示されるように許可されています。それはPKIResponseの制御シーケンスに現れてはいけません。制御は、RAによってのみ使用が許可されています。制御は、各出現は、異なるオブジェクトを指すと制御シーケンスで複数回表示されることがあります。
id-cmc-raIdentityWitness is the object identifier used to identify this CMC control.
ID-CMC-raIdentityWitnessこのCMCコントロールを識別するために使用されるオブジェクト識別子です。
BodyPartPath is the type structure associated with the control. The syntax of BodyPartPath is defined in Section 3.2.2. The path contains a sequence of body part identifiers leading to one of the following items:
BodyPartPathは、コントロールに関連付けられた型構造です。 BodyPartPathの構文は3.2.2項で定義されています。パスは、次の項目のいずれかにつながる身体の部分識別子のシーケンスが含まれています。
Identity Proof control if the RA verified the identity proof in this control.
RAは、このコントロールのID証明を確認した場合アイデンティティ証明コントロール。
Identity Proof Version 2 control if the RA verified the identity proof in this control.
RAは、このコントロールのID証明を確認した場合アイデンティティ証明バージョン2コントロール。
Full PKI Request if the RA performed an out-of-band identity proof for this request. The request SHOULD NOT contain either Identity Proof control.
RAは、この要求のアウトオブバンド身元証明を行った場合、完全なPKI要求。リクエストは、いずれかのアイデンティティ証明コントロールを含めることはできません。
Simple PKI Request if the RA performed an out-of-band identity proof for this request.
RAは、この要求のアウトオブバンド身元証明を行った場合、単純なPKI要求。
The RA Identity Proof Witness control will frequently be associated with a Modify Certification Request control, which changes the name fields in the associated certification requests. This is because the
RAアイデンティティ証明証人制御が頻繁に関連した認証要求で名前のフィールドを変更する変更証明書要求の制御、関連付けられます。これは、
RA knows the actual name to be assigned to the entity requesting the certificate, and the end-entity does not yet have the details of the name. (The association would be set up by the operator at the time the shared-secret was generated by the RA.)
RAは、証明書を要求するエンティティに割り当てる実際の名前を知っており、エンドエンティティは、まだ名前の詳細はありません。 (会合は、共有秘密は、RAによって生成された時にオペレータによって設定されることになります。)
When this control is placed in a message, it is RECOMMENDED that the Control Processed control be placed in the body sequence as well. Using the explicit new control, rather than implicitly relying on the Control Processed control is important due to the need to know explicitly which identity proofs have been performed. The new control also allows an RA to state that out-of-band identity proofs have been performed.
この制御は、メッセージ内に置かれたとき、コントロール処理された制御は、同様体配列に配置することが推奨されます。むしろ、暗黙的にコントロール処理された制御に頼るよりも、明示的に新しいコントロールを使用することにより、身元証明が行われている明示的に知る必要性に重要です。新しいコントロールもRAはアウトオブバンド身元証明が行われていることを述べることができます。
When the identity proof is performed by an RA, the RA also MUST validate the linking between the identity proof and the name information wrapped inside of the key proof-of-possession.
身元証明がRAによって行われる場合、RAはまた、アイデンティティ証明およびキープルーフ・オブ・所有の内部に包まれた名前情報とのリンクを検証しなければなりません。
Insert this section.
このセクションを挿入します。
The Response Body Control is designed to enable an RA to inform an EE that there is an embedded response message that MUST be processed as part of the processing of this message. This control is designed to be used in a couple of different cases where an RA has done some additional processing for the certification request, e.g., as key generation. When an RA performs key generation on behalf of an EE, the RA MUST respond with both the original response message from the certificate issuer (containing the certificate issuance) as part of the response generated by the RA (containing the new key). Another case where this is useful is when the secret is shared between the RA and the EE (rather than between the CA and the EE) and the RA returns the Publish Trust Anchors control (to populate the correct trust points).
レスポンスボディ制御は、このメッセージの処理の一部として処理されなければならない埋め込まれた応答メッセージがあることをEEに通知するためにRAを可能にするように設計されています。この制御は、RAは、鍵生成として、例えば、認証要求のためのいくつかの追加の処理を行っている異なるケースのカップルで使用されるように設計されています。 RAは、EEに代わって鍵生成を行う場合、RAは、RA(新しい鍵を含む)によって生成された応答の一部として(証明書発行を含む)証明書発行者から元の応答メッセージの両方で応答しなければなりません。これが有用である別の場合は、秘密がRA及び(ややCAとEEとの間のより)EEとRAの間で共有されている場合(正しいトラスト・ポイントを設定するために)発行トラストアンカーコントロールを返します。
The relevant ASN.1 for the Response Body Control is as follows:
次のようにレスポンスボディ制御に関連するASN.1は、次のとおりです。
cmc-responseBody CMC-CONTROL ::= {
BodyPartPath IDENTIFIED BY id-cmc-responseBody
}
id-cmc-responseBody OBJECT IDENTIFIER ::= {id-cmc 37}
The above ASN.1 defines the following items:
上記ASN.1は、以下の項目を定義します。
cmc-responseBody is a CMC-CONTROL associating the object identifier id-cmc-responseBody with the type BodyPartPath. This object is omitted from the 1988 module. The object is added to the object set Cmc-Control-Set. The control is permitted to appear only in the control sequence of a PKIResponse. The control MUST NOT appear in the control sequence of a PKIData. It is expected that only an intermediary RA will use this control; a CA generally does not need the control as it is creating the original innermost message.
CMC-responseBodyは、タイプBodyPartPathとオブジェクト識別子ID-CMC-responseBodyを関連付けるCMC-CONTROLです。このオブジェクトは1988モジュールから省略されています。オブジェクトは、CMC-CONTROL-設定された設定オブジェクトに追加されます。制御だけPKIResponseの制御シーケンスに表示されるように許可されています。コントロールはPKIDataの制御シーケンスに現れてはいけません。唯一の仲介RAは、このコントロールを使用することが期待されます。それは、元の最も内側のメッセージを作成しているようCAは、一般的な制御を必要としません。
id-cmc-responseBody is the object identifier used to identify this CMC control.
ID-CMC-responseBodyこのCMCコントロールを識別するために使用されるオブジェクト識別子です。
BodyPartPath is the type structure associated with the control. The syntax of BodyPartPath is defined in Section 3.2.2. The path contains a sequence of body part identifiers leading to a cmsSequence item which contains a PKIResponse within it.
BodyPartPathは、コントロールに関連付けられた型構造です。 BodyPartPathの構文は3.2.2項で定義されています。パスは、その中にPKIResponseを含んcmsSequenceアイテムにつながる身体部分識別子の配列を含みます。
Insert this section before the current Section 7.
現在の第7節の前に、このセクションを挿入します。
There are a number of different locations where various types of attributes can be placed in either a CMC request or a CMC response message. These places include the attribute sequence of a PKCS #10 request, controls in CRMF (Section 6 of [RFC4211]), and the various CMS attribute sequences.
属性の各種CMC要求またはCMC応答メッセージのいずれかに配置することができる異なる場所の数があります。これらの場所は、CRMFのコントロール([RFC4211]のセクション6)、および種々のCMS属性配列をPKCS#10要求の属性配列を含みます。
Insert this section.
このセクションを挿入します。
The Client Name Change Request attribute is designed for a client to ask for a change in its name as part of a certification request. Because of security issues, this cannot be done in the simple way of just changing the requested subject name in the certificate template. The name in the certification request MUST match the name in the certificate used to verify the request, in order that identity and possession proofs are correctly applied.
クライアント名変更要求属性は、認証要求の一部として、その名の変更をお願いするクライアントのために設計されています。そのため、セキュリティ上の問題のため、これは単に証明書テンプレートに要求したサブジェクト名を変更する簡単な方法で行うことができません。証明書要求内の名前は、IDと所有証明が正しく適用されている順序で、要求を検証するために使用される証明書の名前と一致しなければなりません。
The relevant ASN.1 for the Client Name Change Request attribute is as follows:
次のようにクライアント名変更要求の属性に関連するASN.1は、次のとおりです。
at-cmc-changeSubjectName ATTRIBUTE ::=
{ ChangeSubjectName IDENTIFIED BY id-cmc-changeSubjectName }
id-cmc-changeSubjectName OBJECT IDENTIFIER ::= {id-cmc 36}
ChangeSubjectName ::= SEQUENCE {
subject Name OPTIONAL,
subjectAlt SubjectAltName OPTIONAL
}
(WITH COMPONENTS {..., subject PRESENT} |
COMPONENTS {..., subjectAlt PRESENT} )
The attribute is designed to be used as an ATTRIBUTE object. As such, the attribute is placed in one of the following two places:
属性は、属性オブジェクトとして使用するように設計されています。そのため、属性は、次の2つの場所のいずれかに配置されています。
The attributes field in a CertificationRequest.
CertificationRequestの属性フィールド。
The controls field of a CertRequest for a CRMF certification request.
CRMF証明書要求のcertrequestコマンドの制御フィールド。
The control is identified by the Object Identifier id-cmc-changeSubjectName.
制御は、オブジェクトの識別子ID-CMC-changeSubjectNameによって識別されます。
The ASN.1 type associated with control is ChangeSubjectName. The fields of the structure are configured as follows:
コントロールに関連付けられたASN.1タイプはChangeSubjectNameあります。次のような構造のフィールドが設定されています。
subject contains the requested subject name for the new certificate.
対象は、新しい証明書の要求サブジェクト名が含まれています。
subjectAlt contains the requested subject alternative name for the new certificate.
subjectAltは、新しい証明書の要求されたサブジェクトの別名が含まれています。
At least one of the fields in the sequence MUST be present when encoding the structure.
構造を符号化する場合のシーケンスのフィールドのうちの少なくとも一方が存在しなければなりません。
When the CA processes this attribute in a certification request, it will do the following:
CAは、証明書要求にこの属性を処理するときに、次の操作を行います:
1. If present, the subject field is copied to the name field of the template. If the subject field is absent, the name field of the template will be set to a empty sequence.
1.存在する場合、サブジェクトフィールドは、テンプレートの名前フィールドにコピーされます。サブジェクトフィールドが存在しない場合は、テンプレートの名前フィールドが空のシーケンスに設定されます。
2. If present, the subjectAlt field is used as the content of a SubjectAltName extension in the certificate. If the subjectAlt field is absent, the subjectAltName extension is removed from the certificate template.
2.存在する場合、subjectAltフィールドは、証明書にsubjectAltName拡張の内容として使用されます。 subjectAltフィールドが存在しない場合は、subjectAltName拡張は、証明書テンプレートから削除されます。
Insert this section before the current Section 8.
現在の第8節の前に、このセクションを挿入します。
Certificates for servers used in the CMC protocol SHOULD conform to the profile defined in [RFC5280]. This document defines some additional items that MAY appear in CMC server certificates. Section 9.1 defines some additional values for the Extended Key Usage extension. Section 9.2 defines a new Subject Information Access value that allows for a CMC certificate to publish information on how to contact the services it provides.
CMCプロトコルで使用されるサーバの証明書は、[RFC5280]で定義されたプロファイルに適合すべきです。この文書では、CMCのサーバ証明書に表示されるかもしれないいくつかの追加項目を定義します。 9.1節は、拡張キー使用法の拡張のためにいくつかの追加の値を定義します。 9.2節では、それが提供するサービスへの連絡方法についての情報を公開するCMC証明書を可能にする新しい件名情報アクセス値を定義します。
Insert this section.
このセクションを挿入します。
The Extended Key Usage (EKU) extension is used to restrict the use of a certificate to specific applications. We define three different EKUs in this document. The ASN.1 to define these EKUs is:
拡張キー使用法(EKU)拡張は、特定のアプリケーションへの証明書の使用を制限するために使用されます。私たちは、この文書に記載されている三つの異なるのEKUを定義します。これらのEKUを定義するためのASN.1は、次のとおりです。
id-kp-cmcCA OBJECT IDENTIFIER ::= { id-kp 27 }
id-kp-cmcRA OBJECT IDENTIFIER ::= { id-kp 28 }
id-kp-cmcArchive OBJECT IDENTIFIER ::= { id-kp 29 }
The usage description for each of the EKUs is as follows:
以下の通りのEKUのそれぞれの使用について説明します。
CMC Certification Authorities are identified by the id-kp-cmcCA extended key usage. The certificate may be the same as or different than the CA certificate. If a different certificate is used, the certificates containing the id-kp-cmcCA extended key usage SHOULD have the same name as the certificate used for issuing the certificates. (Using a separate key pair for CMC protocol operations and for issuing certificates and CRLs decreases the number of operations for which the private key used to sign certificates and CRLs would be used.)
CMC証明機関は、ID-KP-cmcCAは拡張キー使用法によって識別されます。証明書は、CA証明書よりも同じでも異なっていてもよいです。異なる証明書を使用する場合、ID-KP-cmcCA拡張鍵使用を含む証明書は、証明書を発行するために使用される証明書と同じ名前を持つべきです。 (CMCプロトコル操作のためと証明書とCRLを発行するための別の鍵ペアを使用して証明書とCRLを署名するために使用される秘密鍵が使用されるであろうための操作の数を減少させます。)
CMC Registration Authorities are identified by the id-kp-cmcRA extended key usage. This usage is placed into RA certificates.
CMCの登録機関は、ID-KP-cmcRAは拡張キー使用法によって識別されます。この使用法は、RA証明書の中に置かれています。
CMC Archive Servers are identified by the id-kp-cmcArchive extended key usage. CMC Archive Servers and the associated protocol are to be defined in a future document.
CMCアーカイブサーバーは、ID-KP-cmcArchiveは拡張キー使用法によって識別されます。 CMCアーカイブサーバーおよび関連するプロトコルは将来の文書で定義されるべきです。
Insert this section.
このセクションを挿入します。
The subject information access extension indicates how to access information and services for the subject of the certificate. We define a new value for use in this extension, to identify the different locations that CMC services will be available. If this value is placed in a certificate, an appropriate extended key usage defined in Section 9.1 MUST be included in the certificate as well.
サブジェクト情報アクセス拡張は、証明書のサブジェクトのための情報やサービスにアクセスする方法を示します。私たちは、CMCサービスが利用できるようになり、異なる場所を特定するために、この拡張機能で使用するための新しい値を定義します。この値は、証明書内に配置されている場合は、セクション9.1で定義された適切な拡張鍵使用法は、同様に、証明書に含まれなければなりません。
The id-ad-cmc OID is used when the subject offers certification services using the CMC protocol. If the CMC services are available via HTTP or FTP, accessLocation MUST be a uniformResourceIdentifier. If the CMC services are available via electronic mail, accessLocation MUST be an rfc822Name. If CMC services are available using TCP/IP, the dNSName or iPAddress name forms MUST be used. Since the GeneralName data structure does not permit the inclusion of a port number, in the absence of other external configuration information, the value of 5318 should be used. (The port registration is in Section 3.2.) The semantics of other name forms of accessLocation (when accessMethod is id-ad-cmc) are not defined by this specification.
対象は、CMCプロトコルを使用して、証明書サービスを提供していたときに、ID-AD-CMC OIDが使用されています。 CMCサービスは、HTTPまたはFTP経由で利用可能な場合は、のaccessLocationはuniformResourceIdentifierでなければなりません。 CMCサービスは、電子メールを介して利用している場合、のaccessLocationはrfc822Nameでなければなりません。 CMCサービスは、TCP / IPを使用して利用可能な場合、またはIPアドレスのdNSName名の形式を使用しなければなりません。 GeneralNameデータ構造は、ポート番号を含めることを可能にしないので、他の外部設定情報が存在しない場合に、5318の値が使用されるべきです。 (ポート登録は3.2である。)のaccessLocationの他の名前形式のセマンティックス(accessMethodがid-ad-CMCである)この仕様で定義されていません。
The ASN.1 type for this extension is GeneralName (see Section 4.2.1.8 of [RFC5280]).
この拡張のためのASN.1タイプは、([RFC5280]のセクション4.2.1.8を参照)のGeneralNameです。
id-ad-cmc OBJECT IDENTIFIER ::= { id-ad 12 }
Add the following paragraphs to the end of Section 8.
第8章の最後に次の段落を追加します。
A number of controls such as the RA Identity Proof Witness control exist for an RA to either make assertions about or modify a certification request. Any upstream request processor, such as a CA, MUST verify that the RA is fully identified and authorized to make the assertion or modification it is claiming. If it is not identified or authorized, then any request MUST be rejected.
そのようなRAアイデンティティ証明証人コントロールとしてコントロールの数は、約アサーションを作るか、または認証要求を変更するかRAのために存在します。任意の上流の要求処理は、CAとして、RAが完全に識別され、それが主張されているアサーションまたは修正を行うことが許可されていることを確認しなければなりません。それが特定されたり、許可されていない場合は、すべての要求を拒絶しなければなりません。
CMC servers, both RAs and CAs, need to perform due diligence in checking the contents of a certification request. At an absolute minimum, all fields should be checked to ensure that the policies of the CA/RA are correctly enforced. While all fields need to be checked, special care should be taken with names, name forms, algorithm choices, and algorithm parameters.
CMCサーバー、RASおよびCAの両方が、認証要求の内容をチェックするにデューデリジェンスを実行する必要があります。絶対最低でも、すべてのフィールドがCA / RAのポリシーが正しく適用されていることを確認するためにチェックする必要があります。すべてのフィールドをチェックする必要がありますが、特別なケアは、名前、名前形式、アルゴリズムの選択、およびアルゴリズムパラメータで撮影しなければなりません。
3. Updates to - "Certificate Management over CMS (CMC): Transport Protocols"
3.更新 - 「CMSオーバー証明書の管理(CMC):トランスポートプロトコル」
Replace paragraph 3 in Section 5 with the following.
以下に第5節で段落3を交換してください。
CMC requires a registered port number to send and receive CMC messages over TCP. The title of this IP Protocol number is "pkix-cmc". The value of this TCP port is 5318.
CMCは、TCP上のCMCのメッセージを送受信するために登録されているポート番号が必要です。このIPプロトコル番号のタイトルは「PKIX-CMC」です。このTCPポートの値は5318です。
Prior to this update, CMC did not have a registered port number and used an externally configured port from the Private Port range. Client implementations MAY want to continue to allow for this to occur. Servers SHOULD change to use the new port. It is expected that HTTP will continue to be the primary transport method used by CMC installations.
このアップデートに先立ち、CMCは、登録されたポート番号を持ち、プライベートポートの範囲から外部に設定されたポートを使用しませんでした。クライアントの実装は、これが発生する可能にするために継続することをお勧めします。サーバは新しいポートを使用するように変更する必要があります。 HTTPがCMCのインストールで使用される主要な輸送方法であり続けることが期待されます。
Insert this new section before the current Section 6.
現在の第6節の前に、この新しいセクションを挿入します。
IANA has assigned a TCP port number in the Registered Port Number range for the use of CMC.
IANAは、CMCの使用のために登録されているポート番号の範囲にTCPポート番号を割り当てています。
Service name: pkix-cmc Port Number: 5318 Transport protocol: TCP Description: PKIX Certificate Management using CMS (CMC) Reference: RFC 6402 Assignee: iesg@ietf.org Contact: chair@ietf.org
サービス名:PKIX-CMCポート番号:5318トランスポートプロトコル:TCP説明:PKIX証明書管理CMS(CMC)のリファレンスを使用して:RFC 6402譲受人:iesg@ietf.orgお問い合わせ:chair@ietf.org
4. Updates to - "Certificate Management Message over CMS (CMC): Compliance Requirements"
4.アップデート - 「CMSオーバー認証管理メッセージ(CMC):コンプライアンス要件」
Add the following lines to the end of Table 1.
表1の最後に次の行を追加します。
The following table lists the name and level of support required for each control.
次の表は、各制御に必要な支援の名前とレベルを示しています。
+---------------------------+-----+------+-----+
| Control | EE | RA | CA |
+---------------------------+-----+------+-----+
| RA Identity Proof Witness | N/A | MUST | (2) |
| | | | |
| Response Body | (6) | (6) | N/A |
+---------------------------+-----+------+-----+
Addition to Table 1: CMC Control Attributes
表1に加え:CMCコントロール属性
The following note should be added.
以下の注意事項を追加する必要があります。
6. EE's SHOULD implement if designed to work with RAs and MUST implement if intended to be used in environments where RAs are used for identity validation or key generation. RAs SHOULD implement and validate responses for consistency.
RAで動作するように設計されており、RASが身元の確認や鍵の生成に使用されている環境で使用されることを意図した場合に実装しなければならない場合6. EEのは、実装する必要があります。 RAは一貫性のための応答を実装し、検証する必要があります。
This document contains a new IANA Considerations section to be added to [RFC5273] as part of this update.
この文書は、このアップデートの一部として、[RFC5273]に追加される新しいIANA Considerations部を含んでいます。
No changes are made to the existing security considerations of RFC 5273 and RFC 5274. The security considerations for RFC 5272 have been slightly modified (Section 2.12).
変更はRFC 5272のセキュリティ上の考慮事項は若干変更されたRFC 5273およびRFC 5274.の既存のセキュリティ上の考慮事項(2.12節)に行われません。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC5272] Schaad, J. and M. Myers, "Certificate Management over CMS (CMC)", RFC 5272, June 2008.
[RFC5272] Schaad、J.とM.マイヤーズ、 "CMSオーバー証明書の管理(CMC)"、RFC 5272、2008年6月。
[RFC5273] Schaad, J. and M. Myers, "Certificate Management over CMS (CMC): Transport Protocols", RFC 5273, June 2008.
[RFC5273] Schaad、J.とM.マイヤーズ、 "CMS(CMC)以上の証明書の管理:トランスポートプロトコル"、RFC 5273、2008年6月。
[RFC5274] Schaad, J. and M. Myers, "Certificate Management Messages over CMS (CMC): Compliance Requirements", RFC 5274, June 2008.
[RFC5274] Schaad、J.とM.マイヤーズ、 "CMS(CMC)以上の証明書管理メッセージ:コンプライアンス要件"、RFC 5274、2008年6月。
[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May 2008.
[RFC5280]クーパー、D.、Santesson、S.、ファレル、S.、Boeyen、S.、Housley氏、R.、およびW.ポーク、「インターネットX.509公開鍵暗号基盤証明書と証明書失効リスト(CRL)のプロフィール」、RFC 5280、2008年5月。
[CMS] Housley, R., "Cryptographic Message Syntax (CMS)", STD 70, RFC 5652, September 2009.
[CMS] Housley氏、R.、 "暗号メッセージ構文(CMS)"、STD 70、RFC 5652、2009年9月。
[RFC6403] Zieglar, L., Turner, S., and M. Peck, "Suite B Profile of Certificate Management over CMS", RFC 6403, November 2011.
[RFC6403]チーグラー、L.、ターナー、S.、およびM.ペック、 "CMSを超える証明書管理のスイートBプロファイル"、RFC 6403、2011年11月。
[RFC4211] Schaad, J., "Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF)", RFC 4211, September 2005.
[RFC4211] Schaad、J.、 "インターネットX.509公開鍵暗号基盤証明書要求メッセージ・フォーマット(CRMF)"、RFC 4211、2005年9月。
[RFC5912] Hoffman, P. and J. Schaad, "New ASN.1 Modules for the Public Key Infrastructure Using X.509 (PKIX)", RFC 5912, June 2010.
[RFC5912]ホフマン、P.およびJ. Schaad、RFC 5912、2010年6月 "公開鍵インフラストラクチャの使用X.509(PKIX)のための新しいASN.1モジュール"。
Appendix A. ASN.1 Modules
付録A. ASN.1モジュール
A.1. 1988 ASN.1 Module
A.1。 1988 ASN.1モジュール
This section contains the updated ASN.1 module for [RFC5272]. This module replaces the module in Appendix A of that document. Although a 2008 ASN.1 module is provided, this remains the normative module as per the policy of the PKIX working group.
このセクションでは、[RFC5272]の更新されたASN.1モジュールが含まれています。このモジュールは、その文書の付録Aにモジュールを置き換えます。 2008 ASN.1モジュールが設けられているが、これは、PKIXワーキンググループのポリシーに従って規範モジュールのまま。
EnrollmentMessageSyntax-2011-v88 { iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-enrollMsgSyntax-2011-88(76) }
EnrollmentMessageSyntax 2011-V88 {ISO(1)同定された組織(3)DOD(6)インターネット(1)セキュリティ(5)メカニズム(5)PKIX(7)ID-MOD(0)ID-MOD-enrollMsgSyntax-2011- 88(76)}
DEFINITIONS IMPLICIT TAGS ::=
BEGIN
-- EXPORTS All -- -- The types and values defined in this module are exported for use -- in the other ASN.1 modules. Other applications may use them for -- their own purposes.
- すべてのエクスポート - - このモジュールで定義されたタイプと値が使用のためにエクスポートされる - 他のASN.1モジュールに。独自の目的 - 他のアプリケーションがためにそれらを使用することができます。
IMPORTS
輸入
-- PKIX Part 1 - Implicit From [RFC5280] GeneralName, CRLReason, ReasonFlags, GeneralNames FROM PKIX1Implicit88 {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-pkix1-implicit(19)}
- PKIXパート1 - [RFC5280]のGeneralName、CRLReason、ReasonFlags、PKIX1Implicit88 FROM GeneralNames {ISO(1)同定された組織(3)DOD(6)インターネット(1)セキュリティ(5)メカニズム(5)PKIXから暗黙(7 )ID-MOD(0)ID-pkix1-暗黙(19)}
-- PKIX Part 1 - Explicit From [RFC5280] AlgorithmIdentifier, Extension, Name, CertificateSerialNumber, id-ad, id-kp FROM PKIX1Explicit88 {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-pkix1-explicit(18)}
- PKIXパート1 - [RFC5280]のAlgorithmIdentifier、拡張、PKIX1Explicit88から名前、CertificateSerialNumber、ID-AD、ID-KP {ISO(1)同定された組織(3)DOD(6)インターネット(1)セキュリティからの明示的な(5 )機構(5)PKIX(7)ID-MOD(0)ID-pkix1-明示(18)}
-- Cryptographic Message Syntax FROM [CMS] ContentInfo, Attribute, IssuerAndSerialNumber FROM CryptographicMessageSyntax2004 { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) modules(0) cms-2004(24)}
- 暗号メッセージ構文PKCS [CMS] ContentInfo、属性、CryptographicMessageSyntax2004 FROM IssuerAndSerialNumber {ISO(1)部材本体(2)米国(840)RSADSI(113549)(1)からPKCS-9(9)SMIME(16)モジュール(0)CMS-2004(24)}
-- CRMF FROM [RFC4211] CertReqMsg, PKIPublicationInfo, CertTemplate FROM PKIXCRMF-2005 {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-crmf2005(36)};
- [RFC4211] CertReqMsg、PKIPublicationInfo、CertTemplateのPKIXCRMF-2005 FROM {ISO(1)同定された組織(3)DOD(6)インターネット(1)セキュリティ(5)メカニズム(5)PKIX(7)ID-MOD FROM CRMF (0)ID-MOD-crmf2005(36)}。
-- Global Types
-- UTF8String ::= [UNIVERSAL 12] IMPLICIT OCTET STRING
-- The content of this type conforms to RFC 3629.
id-pkix OBJECT IDENTIFIER ::= { iso(1) identified-organization(3)
dod(6) internet(1) security(5) mechanisms(5) pkix(7) }
id-cmc OBJECT IDENTIFIER ::= {id-pkix 7} -- CMC controls
id-cct OBJECT IDENTIFIER ::= {id-pkix 12} -- CMC content types
-- The following controls have the type OCTET STRING
- 次のコントロールは、タイプオクテット文字列を持っています
id-cmc-identityProof OBJECT IDENTIFIER ::= {id-cmc 3}
id-cmc-dataReturn OBJECT IDENTIFIER ::= {id-cmc 4}
id-cmc-regInfo OBJECT IDENTIFIER ::= {id-cmc 18}
id-cmc-responseInfo OBJECT IDENTIFIER ::= {id-cmc 19}
id-cmc-queryPending OBJECT IDENTIFIER ::= {id-cmc 21}
id-cmc-popLinkRandom OBJECT IDENTIFIER ::= {id-cmc 22}
id-cmc-popLinkWitness OBJECT IDENTIFIER ::= {id-cmc 23}
-- The following controls have the type UTF8String
- 次のコントロールはタイプUTF8Stringをを持っています
id-cmc-identification OBJECT IDENTIFIER ::= {id-cmc 2}
-- The following controls have the type INTEGER
- 次のコントロールは、タイプINTEGERを持っています
id-cmc-transactionId OBJECT IDENTIFIER ::= {id-cmc 5}
-- The following controls have the type OCTET STRING
- 次のコントロールは、タイプオクテット文字列を持っています
id-cmc-senderNonce OBJECT IDENTIFIER ::= {id-cmc 6}
id-cmc-recipientNonce OBJECT IDENTIFIER ::= {id-cmc 7}
-- This is the content type used for a request message -- in the protocol
- これは、要求メッセージのために使用されるコンテンツタイプである - プロトコルで
id-cct-PKIData OBJECT IDENTIFIER ::= { id-cct 2 }
PKIData ::= SEQUENCE {
controlSequence SEQUENCE SIZE(0..MAX) OF TaggedAttribute,
reqSequence SEQUENCE SIZE(0..MAX) OF TaggedRequest,
cmsSequence SEQUENCE SIZE(0..MAX) OF TaggedContentInfo,
otherMsgSequence SEQUENCE SIZE(0..MAX) OF OtherMsg
}
bodyIdMax INTEGER ::= 4294967295
BodyPartID ::= INTEGER(0..bodyIdMax)
TaggedAttribute ::= SEQUENCE {
bodyPartID BodyPartID,
attrType OBJECT IDENTIFIER,
attrValues SET OF AttributeValue
}
AttributeValue ::= ANY
TaggedRequest ::= CHOICE {
tcr [0] TaggedCertificationRequest,
crm [1] CertReqMsg,
orm [2] SEQUENCE {
bodyPartID BodyPartID,
requestMessageType OBJECT IDENTIFIER,
requestMessageValue ANY DEFINED BY requestMessageType
}
}
TaggedCertificationRequest ::= SEQUENCE {
bodyPartID BodyPartID,
certificationRequest CertificationRequest
}
CertificationRequest ::= SEQUENCE {
certificationRequestInfo SEQUENCE {
version INTEGER,
subject Name,
subjectPublicKeyInfo SEQUENCE {
algorithm AlgorithmIdentifier,
subjectPublicKey BIT STRING },
attributes [0] IMPLICIT SET OF Attribute },
signatureAlgorithm AlgorithmIdentifier,
signature BIT STRING
}
TaggedContentInfo ::= SEQUENCE {
bodyPartID BodyPartID,
contentInfo ContentInfo
}
OtherMsg ::= SEQUENCE {
bodyPartID BodyPartID,
otherMsgType OBJECT IDENTIFIER,
otherMsgValue ANY DEFINED BY otherMsgType }
-- This defines the response message in the protocol
id-cct-PKIResponse OBJECT IDENTIFIER ::= { id-cct 3 }
ResponseBody ::= PKIResponse
PKIResponse ::= SEQUENCE {
controlSequence SEQUENCE SIZE(0..MAX) OF TaggedAttribute,
cmsSequence SEQUENCE SIZE(0..MAX) OF TaggedContentInfo,
otherMsgSequence SEQUENCE SIZE(0..MAX) OF OtherMsg
}
}
-- Used to return status state in a response
- 応答のステータス状態を返すために使用
id-cmc-statusInfo OBJECT IDENTIFIER ::= {id-cmc 1}
CMCStatusInfo ::= SEQUENCE {
cMCStatus CMCStatus,
bodyList SEQUENCE SIZE (1..MAX) OF BodyPartID,
statusString UTF8String OPTIONAL,
otherInfo CHOICE {
failInfo CMCFailInfo,
pendInfo PendInfo } OPTIONAL
}
PendInfo ::= SEQUENCE {
pendToken OCTET STRING,
pendTime GeneralizedTime
}
CMCStatus ::= INTEGER {
success (0),
failed (2),
pending (3),
noSupport (4),
confirmRequired (5),
popRequired (6),
partial (7)
}
-- Note: -- The spelling of unsupportedExt is corrected in this version. -- In RFC 2797, it was unsuportedExt.
- 注: - unsupportedExtのスペルが、このバージョンで修正されています。 - RFC 2797では、それがunsuportedExtでした。
CMCFailInfo ::= INTEGER {
badAlg (0),
badMessageCheck (1),
badRequest (2),
badTime (3),
badCertId (4),
unsupportedExt (5),
mustArchiveKeys (6),
badIdentity (7),
popRequired (8),
popFailed (9),
noKeyReuse (10),
internalCAError (11),
tryLater (12),
authDataFail (13)
}
-- Used for RAs to add extensions to certification requests
id-cmc-addExtensions OBJECT IDENTIFIER ::= {id-cmc 8}
AddExtensions ::= SEQUENCE {
pkiDataReference BodyPartID,
certReferences SEQUENCE OF BodyPartID,
extensions SEQUENCE OF Extension
}
id-cmc-encryptedPOP OBJECT IDENTIFIER ::= {id-cmc 9}
id-cmc-decryptedPOP OBJECT IDENTIFIER ::= {id-cmc 10}
EncryptedPOP ::= SEQUENCE {
request TaggedRequest,
cms ContentInfo,
thePOPAlgID AlgorithmIdentifier,
witnessAlgID AlgorithmIdentifier,
witness OCTET STRING
}
DecryptedPOP ::= SEQUENCE {
bodyPartID BodyPartID,
thePOPAlgID AlgorithmIdentifier,
thePOP OCTET STRING
}
id-cmc-lraPOPWitness OBJECT IDENTIFIER ::= {id-cmc 11}
LraPopWitness ::= SEQUENCE {
pkiDataBodyid BodyPartID,
bodyIds SEQUENCE OF BodyPartID
}
--
id-cmc-getCert OBJECT IDENTIFIER ::= {id-cmc 15}
GetCert ::= SEQUENCE {
issuerName GeneralName,
serialNumber INTEGER }
id-cmc-getCRL OBJECT IDENTIFIER ::= {id-cmc 16}
GetCRL ::= SEQUENCE {
issuerName Name,
cRLName GeneralName OPTIONAL,
time GeneralizedTime OPTIONAL,
reasons ReasonFlags OPTIONAL }
id-cmc-revokeRequest OBJECT IDENTIFIER ::= {id-cmc 17}
RevokeRequest ::= SEQUENCE {
issuerName Name,
serialNumber INTEGER,
reason CRLReason,
invalidityDate GeneralizedTime OPTIONAL,
passphrase OCTET STRING OPTIONAL,
comment UTF8String OPTIONAL }
id-cmc-confirmCertAcceptance OBJECT IDENTIFIER ::= {id-cmc 24}
CMCCertId ::= IssuerAndSerialNumber
-- The following is used to request V3 extensions be added to a -- certificate
- 証明書 - 次はに追加することがV3拡張を要求するために使用されます
id-ExtensionReq OBJECT IDENTIFIER ::= {iso(1) member-body(2)
us(840) rsadsi(113549) pkcs(1) pkcs-9(9) 14}
ExtensionReq ::= SEQUENCE SIZE (1..MAX) OF Extension
-- The following exists to allow Diffie-Hellman Certification -- Request Messages to be well-formed
- 以下はのDiffie-Hellman認証を可能にするために存在している - 整形するメッセージを求めます
id-alg-noSignature OBJECT IDENTIFIER ::= {id-pkix id-alg(6) 2}
NoSignatureValue ::= OCTET STRING
-- Unauthenticated attribute to carry removable data. -- This could be used in an update of "CMC Extensions: Server -- Side Key Generation and Key Escrow" (February 2005) and in -- other documents.
- 認証されていない属性は、リムーバブルデータを運ぶために。 (2005年2月)とに - 他の文書: - - これが「サイドキー生成およびキーエスクローサーバーCMC拡張機能」の更新に使用することができます。
id-aa OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840)
rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2)}
id-aa-cmc-unsignedData OBJECT IDENTIFIER ::= {id-aa 34}
CMCUnsignedData ::= SEQUENCE {
bodyPartPath BodyPartPath,
identifier OBJECT IDENTIFIER,
content ANY DEFINED BY identifier
}
-- Replaces CMC Status Info --
- CMCステータス情報を置き換えます -
id-cmc-statusInfoV2 OBJECT IDENTIFIER ::= {id-cmc 25}
CMCStatusInfoV2 ::= SEQUENCE {
cMCStatus CMCStatus,
bodyList SEQUENCE SIZE (1..MAX) OF
BodyPartReference,
statusString UTF8String OPTIONAL,
otherInfo CHOICE {
failInfo CMCFailInfo,
pendInfo PendInfo,
extendedFailInfo SEQUENCE {
failInfoOID OBJECT IDENTIFIER,
failInfoValue AttributeValue
}
} OPTIONAL
}
BodyPartReference ::= CHOICE {
bodyPartID BodyPartID,
bodyPartPath BodyPartPath
}
BodyPartPath ::= SEQUENCE SIZE (1..MAX) OF BodyPartID
-- Allow for distribution of trust anchors --
- トラストアンカーの配布を許可 -
id-cmc-trustedAnchors OBJECT IDENTIFIER ::= {id-cmc 26}
PublishTrustAnchors ::= SEQUENCE {
seqNumber INTEGER,
hashAlgorithm AlgorithmIdentifier,
anchorHashes SEQUENCE OF OCTET STRING
}
id-cmc-authData OBJECT IDENTIFIER ::= {id-cmc 27}
AuthPublish ::= BodyPartID
-- These two items use BodyPartList
id-cmc-batchRequests OBJECT IDENTIFIER ::= {id-cmc 28}
id-cmc-batchResponses OBJECT IDENTIFIER ::= {id-cmc 29}
BodyPartList ::= SEQUENCE SIZE (1..MAX) OF BodyPartID
--
id-cmc-publishCert OBJECT IDENTIFIER ::= {id-cmc 30}
CMCPublicationInfo ::= SEQUENCE {
hashAlg AlgorithmIdentifier,
certHashes SEQUENCE OF OCTET STRING,
pubInfo PKIPublicationInfo
}
id-cmc-modCertTemplate OBJECT IDENTIFIER ::= {id-cmc 31}
ModCertTemplate ::= SEQUENCE {
pkiDataReference BodyPartPath,
certReferences BodyPartList,
replace BOOLEAN DEFAULT TRUE,
certTemplate CertTemplate
}
-- Inform follow-on servers that one or more controls have already -- been processed
- 後続の1以上のコントロールが既に持っているサーバに通知 - 処理されて
id-cmc-controlProcessed OBJECT IDENTIFIER ::= {id-cmc 32}
ControlsProcessed ::= SEQUENCE {
bodyList SEQUENCE SIZE(1..MAX) OF BodyPartReference
}
-- Identity Proof control w/ algorithm agility
- アイデンティティ証明制御のw /アルゴリズムの俊敏性
id-cmc-identityProofV2 OBJECT IDENTIFIER ::= { id-cmc 34 }
IdentifyProofV2 ::= SEQUENCE {
proofAlgID AlgorithmIdentifier,
macAlgId AlgorithmIdentifier,
witness OCTET STRING
}
id-cmc-popLinkWitnessV2 OBJECT IDENTIFIER ::= { id-cmc 33 }
PopLinkWitnessV2 ::= SEQUENCE {
keyGenAlgorithm AlgorithmIdentifier,
macAlgorithm AlgorithmIdentifier,
witness OCTET STRING
}
--
--
id-cmc-raIdentityWitness OBJECT IDENTIFIER ::= {id-cmc 35}
-- -- Allow for an End-Entity to request a change in name. -- This item is added to RegControlSet in CRMF. --
- - エンドエンティティは、名前の変更を要求することを許可。 - この項目はCRMFにRegControlSetに追加されます。 -
id-cmc-changeSubjectName OBJECT IDENTIFIER ::= {id-cmc 36}
ChangeSubjectName ::= SEQUENCE {
subject Name OPTIONAL,
subjectAlt GeneralNames OPTIONAL
}
-- (WITH COMPONENTS {..., subject PRESENT} |
-- WITH COMPONENTS {..., subjectAlt PRESENT} )
-- -- Embedded response from a third party for processing --
- - 処理のために、第三者からの応答を組み込み -
id-cmc-responseBody OBJECT IDENTIFIER ::= {id-cmc 37}
-- -- Key purpose identifiers are in the Extended Key Usage extension --
- - 主要な目的識別子は、拡張キー使用法の拡張機能であります -
id-kp-cmcCA OBJECT IDENTIFIER ::= { id-kp 27 }
id-kp-cmcRA OBJECT IDENTIFIER ::= { id-kp 28 }
id-kp-cmcArchive OBJECT IDENTIFIER ::= { id-kp 28 }
-- -- Subject Information Access identifier --
- - 件名情報アクセス識別子 -
id-ad-cmc OBJECT IDENTIFIER ::= { id-ad 12 }
END
終わり
A.2. 2008 ASN.1 Module
A.2。 2008 ASN.1モジュール
An updated 2008 ASN.1 module has been provided as part of this update. The module contains those changes that were done to update the current ASN.1 standards (done for [RFC5912]) as well as changes made for this document.
更新済み2008 ASN.1モジュールは、このアップデートの一部として提供されています。モジュールは、この文書のために作られたもの([RFC5912]のために行われる)現在のASN.1規格を更新するために行われた変更と同様の変更を含んでいます。
EnrollmentMessageSyntax-2011-v08
{iso(1) identified-organization(3) dod(6) internet(1)
security(5) mechanisms(5) pkix(7) id-mod(0)
id-mod-enrollMsgSyntax-2011-08(76)}
DEFINITIONS IMPLICIT TAGS ::=
BEGIN
EXPORTS ALL;
IMPORTS
AttributeSet{}, Extension{}, EXTENSION, ATTRIBUTE FROM PKIX-CommonTypes-2009 {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-pkixCommon-02(57)}
属性セット{}、拡張{}、EXTENSION、PKIX-CommonTypes-2009から属性{ISO(1)同定された組織(3)DOD(6)インターネット(1)セキュリティ(5)メカニズム(5)PKIX(7)ID- MOD(0)ID-MOD-pkixCommon-02(57)}
AlgorithmIdentifier{}, DIGEST-ALGORITHM, KEY-WRAP, KEY-DERIVATION, MAC-ALGORITHM, SIGNATURE-ALGORITHM, PUBLIC-KEY FROM AlgorithmInformation-2009 {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-algorithmInformation-02(58)}
AlgorithmIdentifier {}、DIGESTアルゴリズム、KEY-WRAP、KEY-DERIVATION、MACアルゴリズム、署名アルゴリズム、公開鍵AlgorithmInformation-2009 FROM {ISO(1)同定された組織(3)DOD(6)インターネット(1)セキュリティ(5)メカニズム(5)PKIX(7)ID-MOD(0)ID-MOD-algorithmInformation-02(58)}
CertificateSerialNumber, GeneralName, CRLReason, ReasonFlags, CertExtensions, GeneralNames FROM PKIX1Implicit-2009 {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-pkix1-implicit-02(59)}
CertificateSerialNumber、のGeneralName、PKIX1Implicit-2009 FROM CRLReason、ReasonFlags、CertExtensions、GeneralNames {ISO(1)同定された組織(3)DOD(6)インターネット(1)セキュリティ(5)メカニズム(5)PKIX(7)ID-MOD( 0)ID-MOD-pkix1-暗黙-02(59)}
Name, id-pkix, PublicKeyAlgorithms, SignatureAlgorithms, id-ad, id-kp FROM PKIX1Explicit-2009 {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-pkix1-explicit-02(51)}
名前、ID-PKIX、PublicKeyAlgorithms、SignatureAlgorithms、ID-AD、PKIX1Explicit-2009からID-KP {ISO(1)同定された組織(3)DOD(6)インターネット(1)セキュリティ(5)メカニズム(5)PKIX( 7)ID-MOD(0)ID-MOD-pkix1-明示-02(51)}
ContentInfo, IssuerAndSerialNumber, CONTENT-TYPE FROM CryptographicMessageSyntax-2010 { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) modules(0) id-mod-cms-2009(58) }
ContentInfo、IssuerAndSerialNumber、暗号メッセージ構文-2010 {ISO(1)メンバー本体からコンテンツ・タイプ(2)米国(840)RSADSI(113549)PKCS(1)PKCS-9(9)SMIME(16)モジュール(0)ID- MOD-CMS-2009(58)}
CertReqMsg, PKIPublicationInfo, CertTemplate FROM PKIXCRMF-2009 {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-crmf2005-02(55)}
CertReqMsg、PKIPublicationInfo、CertTemplateのPKIXCRMF-2009 FROM {ISO(1)同定された組織(3)DOD(6)インターネット(1)セキュリティ(5)メカニズム(5)PKIX(7)ID-MOD(0)ID-mod- crmf2005-02(55)}
mda-sha1 FROM PKIXAlgs-2009 { iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-pkix1-algorithms2008-02(56)}
PKIXALGS-2009 {ISO(1)同定された組織(3)DOD(6)インターネット(1)セキュリティ(5)メカニズム(5)PKIX(7)ID-MOD(0)ID-MOD-pkix1- FROM MDA-SHA1 algorithms2008-02(56)}
kda-PBKDF2, maca-hMAC-SHA1 FROM CryptographicMessageSyntaxAlgorithms-2009 { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) modules(0) id-mod-cmsalg-2001-02(37) }
kDaの-PBKDF2、マカ-HMAC-SHA1 CryptographicMessageSyntaxAlgorithms-2009 FROM {ISO(1)部材本体(2)米国(840)RSADSI(113549)PKCS(1)PKCS-9(9)SMIME(16)モジュール(0) ID-MOD-CMSALG-2001-02(37)}
mda-sha256 FROM PKIX1-PSS-OAEP-Algorithms-2009 { iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) id-mod(0) id-mod-pkix1-rsa-pkalgs-02(54) } ;
PKIX1-PSS-OAEP-アルゴリズム-2009 FROM MDA-SHA256 {ISO(1)同定された組織(3)DOD(6)インターネット(1)セキュリティ(5)メカニズム(5)PKIX(7)ID-MOD(0) ID-MOD-pkix1-RSA-pkalgs-02(54)}。
-- CMS content types defined in this document
- この文書で定義されたCMSコンテンツタイプ
CMC-ContentTypes CONTENT-TYPE ::= { ct-PKIData | ct-PKIResponse, ... }
-- Signature Algorithms defined in this document
- この文書で定義された署名アルゴリズム
SignatureAlgs SIGNATURE-ALGORITHM ::= { sa-noSignature }
-- CMS Unsigned Attributes
- CMS署名属性
CMC-UnsignedAtts ATTRIBUTE ::= { aa-cmc-unsignedData }
-- --
ーー ーー
id-cmc OBJECT IDENTIFIER ::= {id-pkix 7} -- CMC controls
id-cct OBJECT IDENTIFIER ::= {id-pkix 12} -- CMC content types
-- This is the content type for a request message in the protocol
- これはプロトコルのリクエストメッセージのコンテンツタイプであります
ct-PKIData CONTENT-TYPE ::=
{ TYPE PKIData IDENTIFIED BY id-cct-PKIData }
id-cct-PKIData OBJECT IDENTIFIER ::= { id-cct 2 }
PKIData ::= SEQUENCE {
controlSequence SEQUENCE SIZE(0..MAX) OF TaggedAttribute,
reqSequence SEQUENCE SIZE(0..MAX) OF TaggedRequest,
cmsSequence SEQUENCE SIZE(0..MAX) OF TaggedContentInfo,
otherMsgSequence SEQUENCE SIZE(0..MAX) OF OtherMsg
}
BodyPartID ::= INTEGER(0..4294967295)
TaggedAttribute ::= SEQUENCE {
bodyPartID BodyPartID,
attrType CMC-CONTROL.&id({Cmc-Control-Set}),
attrValues SET OF CMC-CONTROL.
&Type({Cmc-Control-Set}{@attrType})
}
Cmc-Control-Set CMC-CONTROL ::= {
cmc-identityProof | cmc-dataReturn | cmc-regInfo |
cmc-responseInfo | cmc-queryPending | cmc-popLinkRandom |
cmc-popLinkWitness | cmc-identification | cmc-transactionId |
cmc-senderNonce | cmc-recipientNonce | cmc-statusInfo |
cmc-addExtensions | cmc-encryptedPOP | cmc-decryptedPOP |
cmc-lraPOPWitness | cmc-getCert | cmc-getCRL |
cmc-revokeRequest | cmc-confirmCertAcceptance |
cmc-statusInfoV2 | cmc-trustedAnchors | cmc-authData |
cmc-batchRequests | cmc-batchResponses | cmc-publishCert |
cmc-modCertTemplate | cmc-controlProcessed |
cmc-identityProofV2 | cmc-popLinkWitnessV2, ...,
cmc-raIdentityWitness | cmc-responseBody }
OTHER-REQUEST ::= TYPE-IDENTIFIER
-- We do not define any other requests in this document. -- Examples might be attribute certification requests.
- 私たちは、この文書内の他の要求を定義していません。 - 例としては、属性証明書の要求であるかもしれません。
OtherRequests OTHER-REQUEST ::= {...}
TaggedRequest ::= CHOICE {
tcr [0] TaggedCertificationRequest,
crm [1] CertReqMsg,
orm [2] SEQUENCE {
bodyPartID BodyPartID,
requestMessageType OTHER-REQUEST.&id({OtherRequests}),
requestMessageValue OTHER-REQUEST.&Type({OtherRequests}
{@.requestMessageType})
}
}
TaggedCertificationRequest ::= SEQUENCE {
bodyPartID BodyPartID,
certificationRequest CertificationRequest
}
AttributeList ATTRIBUTE ::= {at-extension-req, ...,
at-cmc-changeSubjectName}
CertificationRequest ::= SEQUENCE {
certificationRequestInfo SEQUENCE {
version INTEGER,
subject Name,
subjectPublicKeyInfo SEQUENCE {
algorithm AlgorithmIdentifier{PUBLIC-KEY,
{PublicKeyAlgorithms}},
subjectPublicKey BIT STRING
},
attributes [0] IMPLICIT SET OF
AttributeSet{{AttributeList}}
},
signatureAlgorithm AlgorithmIdentifier
{SIGNATURE-ALGORITHM,
{SignatureAlgorithms}},
signature BIT STRING
}
TaggedContentInfo ::= SEQUENCE {
bodyPartID BodyPartID,
contentInfo ContentInfo
}
OTHER-MSG ::= TYPE-IDENTIFIER
-- No other messages currently defined
- 現在定義されている他のメッセージはありません
OtherMsgSet OTHER-MSG ::= {...}
OtherMsg ::= SEQUENCE {
bodyPartID BodyPartID,
otherMsgType OTHER-MSG.&id({OtherMsgSet}),
otherMsgValue OTHER-MSG.&Type({OtherMsgSet}{@otherMsgType}) }
-- This defines the response message in the protocol
- これはプロトコルに応答メッセージを定義します
ct-PKIResponse CONTENT-TYPE ::=
{ TYPE PKIResponse IDENTIFIED BY id-cct-PKIResponse }
id-cct-PKIResponse OBJECT IDENTIFIER ::= { id-cct 3 }
ResponseBody ::= PKIResponse
PKIResponse ::= SEQUENCE {
controlSequence SEQUENCE SIZE(0..MAX) OF TaggedAttribute,
cmsSequence SEQUENCE SIZE(0..MAX) OF TaggedContentInfo,
otherMsgSequence SEQUENCE SIZE(0..MAX) OF OtherMsg
}
CMC-CONTROL ::= TYPE-IDENTIFIER
-- The following controls have the type OCTET STRING
- 次のコントロールは、タイプオクテット文字列を持っています
cmc-identityProof CMC-CONTROL ::=
{ OCTET STRING IDENTIFIED BY id-cmc-identityProof }
id-cmc-identityProof OBJECT IDENTIFIER ::= {id-cmc 3}
cmc-dataReturn CMC-CONTROL ::=
{ OCTET STRING IDENTIFIED BY id-cmc-dataReturn }
id-cmc-dataReturn OBJECT IDENTIFIER ::= {id-cmc 4}
cmc-regInfo CMC-CONTROL ::=
{ OCTET STRING IDENTIFIED BY id-cmc-regInfo }
id-cmc-regInfo OBJECT IDENTIFIER ::= {id-cmc 18}
cmc-responseInfo CMC-CONTROL ::=
{ OCTET STRING IDENTIFIED BY id-cmc-responseInfo }
id-cmc-responseInfo OBJECT IDENTIFIER ::= {id-cmc 19}
cmc-queryPending CMC-CONTROL ::=
{ OCTET STRING IDENTIFIED BY id-cmc-queryPending }
id-cmc-queryPending OBJECT IDENTIFIER ::= {id-cmc 21}
cmc-popLinkRandom CMC-CONTROL ::=
{ OCTET STRING IDENTIFIED BY id-cmc-popLinkRandom }
id-cmc-popLinkRandom OBJECT IDENTIFIER ::= {id-cmc 22} cmc-popLinkWitness CMC-CONTROL ::=
{ OCTET STRING IDENTIFIED BY id-cmc-popLinkWitness }
id-cmc-popLinkWitness OBJECT IDENTIFIER ::= {id-cmc 23}
-- The following controls have the type UTF8String
- 次のコントロールはタイプUTF8Stringをを持っています
cmc-identification CMC-CONTROL ::=
{ UTF8String IDENTIFIED BY id-cmc-identification }
id-cmc-identification OBJECT IDENTIFIER ::= {id-cmc 2}
-- The following controls have the type INTEGER
- 次のコントロールは、タイプINTEGERを持っています
cmc-transactionId CMC-CONTROL ::=
{ INTEGER IDENTIFIED BY id-cmc-transactionId }
id-cmc-transactionId OBJECT IDENTIFIER ::= {id-cmc 5}
-- The following controls have the type OCTET STRING
- 次のコントロールは、タイプオクテット文字列を持っています
cmc-senderNonce CMC-CONTROL ::=
{ OCTET STRING IDENTIFIED BY id-cmc-senderNonce }
id-cmc-senderNonce OBJECT IDENTIFIER ::= {id-cmc 6}
cmc-recipientNonce CMC-CONTROL ::=
{ OCTET STRING IDENTIFIED BY id-cmc-recipientNonce }
id-cmc-recipientNonce OBJECT IDENTIFIER ::= {id-cmc 7}
-- Used to return status in a response
- 応答のステータスを返すために使用
cmc-statusInfo CMC-CONTROL ::=
{ CMCStatusInfo IDENTIFIED BY id-cmc-statusInfo }
id-cmc-statusInfo OBJECT IDENTIFIER ::= {id-cmc 1}
CMCStatusInfo ::= SEQUENCE {
cMCStatus CMCStatus,
bodyList SEQUENCE SIZE (1..MAX) OF BodyPartID,
statusString UTF8String OPTIONAL,
otherInfo CHOICE {
failInfo CMCFailInfo,
pendInfo PendInfo
} OPTIONAL
}
PendInfo ::= SEQUENCE {
pendToken OCTET STRING,
pendTime GeneralizedTime
}
CMCStatus ::= INTEGER {
success (0),
failed (2),
pending (3),
noSupport (4),
confirmRequired (5),
popRequired (6),
partial (7)
}
CMCFailInfo ::= INTEGER {
badAlg (0),
badMessageCheck (1),
badRequest (2),
badTime (3),
badCertId (4),
unsuportedExt (5),
mustArchiveKeys (6),
badIdentity (7),
popRequired (8),
popFailed (9),
noKeyReuse (10),
internalCAError (11),
tryLater (12),
authDataFail (13)
}
-- Used for RAs to add extensions to certification requests
- 認証要求に拡張子を追加するためのRAのために使用されます
cmc-addExtensions CMC-CONTROL ::=
{ AddExtensions IDENTIFIED BY id-cmc-addExtensions }
id-cmc-addExtensions OBJECT IDENTIFIER ::= {id-cmc 8}
AddExtensions ::= SEQUENCE {
pkiDataReference BodyPartID,
certReferences SEQUENCE OF BodyPartID,
extensions SEQUENCE OF Extension{{CertExtensions}}
}
cmc-encryptedPOP CMC-CONTROL ::=
{ EncryptedPOP IDENTIFIED BY id-cmc-encryptedPOP }
cmc-decryptedPOP CMC-CONTROL ::=
{ DecryptedPOP IDENTIFIED BY id-cmc-decryptedPOP }
id-cmc-encryptedPOP OBJECT IDENTIFIER ::= {id-cmc 9}
id-cmc-decryptedPOP OBJECT IDENTIFIER ::= {id-cmc 10}
EncryptedPOP ::= SEQUENCE {
request TaggedRequest,
cms ContentInfo,
thePOPAlgID AlgorithmIdentifier{MAC-ALGORITHM, {POPAlgs}},
witnessAlgID AlgorithmIdentifier{DIGEST-ALGORITHM,
{WitnessAlgs}},
witness OCTET STRING
}
POPAlgs MAC-ALGORITHM ::= {maca-hMAC-SHA1, ...}
WitnessAlgs DIGEST-ALGORITHM ::= {mda-sha1, ...}
DecryptedPOP ::= SEQUENCE {
bodyPartID BodyPartID,
thePOPAlgID AlgorithmIdentifier{MAC-ALGORITHM, {POPAlgs}},
thePOP OCTET STRING
}
cmc-lraPOPWitness CMC-CONTROL ::=
{ LraPopWitness IDENTIFIED BY id-cmc-lraPOPWitness }
id-cmc-lraPOPWitness OBJECT IDENTIFIER ::= {id-cmc 11}
LraPopWitness ::= SEQUENCE {
pkiDataBodyid BodyPartID,
bodyIds SEQUENCE OF BodyPartID
}
--
--
cmc-getCert CMC-CONTROL ::=
{ GetCert IDENTIFIED BY id-cmc-getCert }
id-cmc-getCert OBJECT IDENTIFIER ::= {id-cmc 15}
GetCert ::= SEQUENCE {
issuerName GeneralName,
serialNumber INTEGER }
cmc-getCRL CMC-CONTROL ::=
{ GetCRL IDENTIFIED BY id-cmc-getCRL }
id-cmc-getCRL OBJECT IDENTIFIER ::= {id-cmc 16}
GetCRL ::= SEQUENCE {
issuerName Name,
cRLName GeneralName OPTIONAL,
time GeneralizedTime OPTIONAL,
reasons ReasonFlags OPTIONAL }
cmc-revokeRequest CMC-CONTROL ::=
{ RevokeRequest IDENTIFIED BY id-cmc-revokeRequest}
id-cmc-revokeRequest OBJECT IDENTIFIER ::= {id-cmc 17}
RevokeRequest ::= SEQUENCE {
issuerName Name,
serialNumber INTEGER,
reason CRLReason,
invalidityDate GeneralizedTime OPTIONAL,
passphrase OCTET STRING OPTIONAL,
comment UTF8String OPTIONAL }
cmc-confirmCertAcceptance CMC-CONTROL ::=
{ CMCCertId IDENTIFIED BY id-cmc-confirmCertAcceptance }
id-cmc-confirmCertAcceptance OBJECT IDENTIFIER ::= {id-cmc 24}
CMCCertId ::= IssuerAndSerialNumber
-- The following is used to request V3 extensions be added -- to a certificate
- 証明書 - V3の拡張子を追加することを要求するために使用され、次の
at-extension-req ATTRIBUTE ::=
{ TYPE ExtensionReq IDENTIFIED BY id-ExtensionReq }
id-ExtensionReq OBJECT IDENTIFIER ::= {iso(1) member-body(2) us(840)
rsadsi(113549) pkcs(1) pkcs-9(9) 14}
ExtensionReq ::= SEQUENCE SIZE (1..MAX) OF
Extension{{CertExtensions}}
-- The following allows Diffie-Hellman Certification Request -- Messages to be well-formed
- 以下はのDiffie-Hellman証明書要求を許可する - メッセージ整形します
sa-noSignature SIGNATURE-ALGORITHM ::= {
IDENTIFIER id-alg-noSignature
VALUE NoSignatureValue
PARAMS TYPE NULL ARE required
HASHES { mda-sha1 }
}
id-alg-noSignature OBJECT IDENTIFIER ::= {id-pkix id-alg(6) 2}
NoSignatureValue ::= OCTET STRING
-- Unauthenticated attribute to carry removable data.
- 認証されていない属性は、リムーバブルデータを運ぶために。
id-aa OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840)
rsadsi(113549) pkcs(1) pkcs-9(9) smime(16) id-aa(2)}
aa-cmc-unsignedData ATTRIBUTE ::=
{ TYPE CMCUnsignedData IDENTIFIED BY id-aa-cmc-unsignedData }
id-aa-cmc-unsignedData OBJECT IDENTIFIER ::= {id-aa 34}
CMCUnsignedData ::= SEQUENCE {
bodyPartPath BodyPartPath,
identifier TYPE-IDENTIFIER.&id,
content TYPE-IDENTIFIER.&Type
}
-- Replaces CMC Status Info --
- CMCステータス情報を置き換えます -
cmc-statusInfoV2 CMC-CONTROL ::=
{ CMCStatusInfoV2 IDENTIFIED BY id-cmc-statusInfoV2 }
id-cmc-statusInfoV2 OBJECT IDENTIFIER ::= {id-cmc 25}
EXTENDED-FAILURE-INFO ::= TYPE-IDENTIFIER
ExtendedFailures EXTENDED-FAILURE-INFO ::= {...}
CMCStatusInfoV2 ::= SEQUENCE {
cMCStatus CMCStatus,
bodyList SEQUENCE SIZE (1..MAX) OF
BodyPartReference,
statusString UTF8String OPTIONAL,
otherInfo CHOICE {
failInfo CMCFailInfo,
pendInfo PendInfo,
extendedFailInfo [1] SEQUENCE {
failInfoOID TYPE-IDENTIFIER.&id
({ExtendedFailures}),
failInfoValue TYPE-IDENTIFIER.&Type
({ExtendedFailures}
{@.failInfoOID})
}
} OPTIONAL
}
BodyPartReference ::= CHOICE {
bodyPartID BodyPartID,
bodyPartPath BodyPartPath
}
BodyPartPath ::= SEQUENCE SIZE (1..MAX) OF BodyPartID
-- Allow for distribution of trust anchors --
- トラストアンカーの配布を許可 -
cmc-trustedAnchors CMC-CONTROL ::=
{ PublishTrustAnchors IDENTIFIED BY id-cmc-trustedAnchors }
id-cmc-trustedAnchors OBJECT IDENTIFIER ::= {id-cmc 26}
PublishTrustAnchors ::= SEQUENCE {
seqNumber INTEGER,
hashAlgorithm AlgorithmIdentifier{DIGEST-ALGORITHM,
{HashAlgorithms}},
anchorHashes SEQUENCE OF OCTET STRING
}
HashAlgorithms DIGEST-ALGORITHM ::= {
mda-sha1 | mda-sha256, ...
}
cmc-authData CMC-CONTROL ::=
{ AuthPublish IDENTIFIED BY id-cmc-authData }
id-cmc-authData OBJECT IDENTIFIER ::= {id-cmc 27}
AuthPublish ::= BodyPartID
-- These two items use BodyPartList
- これらの2つの項目がBodyPartListを使用します
cmc-batchRequests CMC-CONTROL ::=
{ BodyPartList IDENTIFIED BY id-cmc-batchRequests }
id-cmc-batchRequests OBJECT IDENTIFIER ::= {id-cmc 28}
cmc-batchResponses CMC-CONTROL ::=
{ BodyPartList IDENTIFIED BY id-cmc-batchResponses }
id-cmc-batchResponses OBJECT IDENTIFIER ::= {id-cmc 29}
BodyPartList ::= SEQUENCE SIZE (1..MAX) OF BodyPartID
cmc-publishCert CMC-CONTROL ::=
{ CMCPublicationInfo IDENTIFIED BY id-cmc-publishCert }
id-cmc-publishCert OBJECT IDENTIFIER ::= {id-cmc 30}
CMCPublicationInfo ::= SEQUENCE {
hashAlg AlgorithmIdentifier{DIGEST-ALGORITHM,
{HashAlgorithms}},
certHashes SEQUENCE OF OCTET STRING,
pubInfo PKIPublicationInfo
} cmc-modCertTemplate CMC-CONTROL ::=
{ ModCertTemplate IDENTIFIED BY id-cmc-modCertTemplate }
id-cmc-modCertTemplate OBJECT IDENTIFIER ::= {id-cmc 31}
ModCertTemplate ::= SEQUENCE {
pkiDataReference BodyPartPath,
certReferences BodyPartList,
replace BOOLEAN DEFAULT TRUE,
certTemplate CertTemplate
}
-- Inform follow-on servers that one or more controls have -- already been processed
- すでに処理されて - 一つ以上のコントロールがしている後続のサーバに通知
cmc-controlProcessed CMC-CONTROL ::=
{ ControlsProcessed IDENTIFIED BY id-cmc-controlProcessed }
id-cmc-controlProcessed OBJECT IDENTIFIER ::= {id-cmc 32}
ControlsProcessed ::= SEQUENCE {
bodyList SEQUENCE SIZE(1..MAX) OF BodyPartReference
}
-- Identity Proof control w/ algorithm agility
- アイデンティティ証明制御のw /アルゴリズムの俊敏性
cmc-identityProofV2 CMC-CONTROL ::=
{ IdentityProofV2 IDENTIFIED BY id-cmc-identityProofV2 }
id-cmc-identityProofV2 OBJECT IDENTIFIER ::= { id-cmc 33 }
IdentityProofV2 ::= SEQUENCE {
proofAlgID AlgorithmIdentifier{DIGEST-ALGORITHM,
{WitnessAlgs}},
macAlgId AlgorithmIdentifier{MAC-ALGORITHM, {POPAlgs}},
witness OCTET STRING
}
cmc-popLinkWitnessV2 CMC-CONTROL ::=
{ PopLinkWitnessV2 IDENTIFIED BY id-cmc-popLinkWitnessV2 }
id-cmc-popLinkWitnessV2 OBJECT IDENTIFIER ::= { id-cmc 34 }
PopLinkWitnessV2 ::= SEQUENCE {
keyGenAlgorithm AlgorithmIdentifier{KEY-DERIVATION,
{KeyDevAlgs}},
macAlgorithm AlgorithmIdentifier{MAC-ALGORITHM, {POPAlgs}},
witness OCTET STRING
}
KeyDevAlgs KEY-DERIVATION ::= {kda-PBKDF2, ...} cmc-raIdentityWitness CMC-CONTROL ::=
{ BodyPartPath IDENTIFIED BY id-cmc-raIdentityWitness }
id-cmc-raIdentityWitness OBJECT IDENTIFIER ::= {id-cmc 35}
--
-- Allow for an End-Entity to request a change in name.
-- This item is added to RegControlSet in CRMF.
--
at-cmc-changeSubjectName ATTRIBUTE ::=
{ TYPE ChangeSubjectName IDENTIFIED BY id-cmc-changeSubjectName }
id-cmc-changeSubjectName OBJECT IDENTIFIER ::= {id-cmc 36}
ChangeSubjectName ::= SEQUENCE {
subject Name OPTIONAL,
subjectAlt GeneralNames OPTIONAL
}
(WITH COMPONENTS {..., subject PRESENT} |
WITH COMPONENTS {..., subjectAlt PRESENT} )
-- -- Embedded response from a third party for processing --
- - 処理のために、第三者からの応答を組み込み -
cmc-responseBody CMC-CONTROL ::= {
BodyPartPath IDENTIFIED BY id-cmc-responseBody
}
id-cmc-responseBody OBJECT IDENTIFIER ::= {id-cmc 37}
-- -- Key purpose identifiers are in the Extended Key Usage extension --
- - 主要な目的識別子は、拡張キー使用法の拡張機能であります -
id-kp-cmcCA OBJECT IDENTIFIER ::= { id-kp 27 }
id-kp-cmcRA OBJECT IDENTIFIER ::= { id-kp 28 }
id-kp-cmcArchive OBJECT IDENTIFIER ::= { id-kp 29 }
-- -- Subject Information Access identifier --
- - 件名情報アクセス識別子 -
id-ad-cmc OBJECT IDENTIFIER ::= { id-ad 12 }
END
終わり
Author's Address
著者のアドレス
Jim Schaad Soaring Hawk Consulting
ジムSchaad高騰ホークコンサルティング
EMail: jimsch@augustcellars.com
メールアドレス:jimsch@augustcellars.com