Internet Engineering Task Force (IETF) G. Huston
Request for Comments: 6481 R. Loomans
Category: Standards Track G. Michaelson
ISSN: 2070-1721 APNIC
February 2012
A Profile for Resource Certificate Repository Structure
Abstract
抽象
This document defines a profile for the structure of the Resource Public Key Infrastructure (RPKI) distributed repository. Each individual repository publication point is a directory that contains files that correspond to X.509/PKIX Resource Certificates, Certificate Revocation Lists and signed objects. This profile defines the object (file) naming scheme, the contents of repository publication points (directories), and a suggested internal structure of a local repository cache that is intended to facilitate synchronization across a distributed collection of repository publication points and to facilitate certification path construction.
この文書では、資源公開鍵インフラストラクチャ(RPKI)分散リポジトリの構造のためのプロファイルを定義します。個々のリポジトリ公開ポイントは、X.509 / PKIXリソース証明書、証明書失効リストと署名したオブジェクトに対応するファイルを含むディレクトリです。このプロファイルは、オブジェクト(ファイル)の名前付けスキーム、リポジトリ公開点の内容(ディレクトリ)、およびリポジトリ公開点の分散コレクションを横切って同期化を容易にし、証明書パスを容易にするために意図されているローカルリポジトリキャッシュの提案内部構造を定義します建設。
Status of This Memo
このメモのステータス
This is an Internet Standards Track document.
これは、インターネット標準化過程文書です。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.
このドキュメントはインターネットエンジニアリングタスクフォース(IETF)の製品です。これは、IETFコミュニティの総意を表しています。これは、公開レビューを受けており、インターネットエンジニアリング運営グループ(IESG)によって公表のために承認されています。インターネット標準の詳細については、RFC 5741のセクション2で利用可能です。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6481.
このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc6481で取得することができます。
Copyright Notice
著作権表示
Copyright (c) 2012 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2012 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント(http://trustee.ietf.org/license-info)に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。コードコンポーネントは、トラスト法規定のセクションで説明4.eおよび簡体BSDライセンスで説明したように、保証なしで提供されているよう簡体BSDライセンスのテキストを含める必要があり、この文書から抽出されました。
Table of Contents
目次
1. Introduction ....................................................3
1.1. Terminology ................................................3
2. RPKI Repository Publication Point Content and Structure .........4
2.1. Manifests ..................................................5
2.2. CA Repository Publication Points ...........................6
3. Resource Certificate Publication Repository Considerations ......8
4. Certificate Reissuance and Repositories ........................10
5. Synchronizing Repositories with a Local Cache ..................10
6. Security Considerations ........................................11
7. IANA Considerations ............................................12
7.1. Media Types ...............................................12
7.1.1. application/rpki-manifest ..........................12
7.1.2. application/rpki-roa ...............................13
7.2. RPKI Repository Name Scheme Registry ......................13
8. Acknowledgements ...............................................13
9. References .....................................................14
9.1. Normative References ......................................14
9.2. Informative References ....................................14
To validate attestations made in the context of the Resource Public Key Infrastructure (RPKI) [RFC6480], relying parties (RPs) need access to all the X.509/PKIX Resource Certificates, Certificate Revocation Lists (CRLs), and signed objects that collectively define the RPKI.
リソース公開鍵インフラストラクチャ(RPKI)[RFC6480]のコンテキストで作られたアテステーション、依拠当事者(RPS)を検証するには、すべてのX.509 / PKIXリソース証明書、証明書失効リスト(CRL)、へのアクセスを必要と総称してオブジェクトに署名しましたRPKIを定義します。
Each issuer of a certificate, CRL, or a signed object makes it available for download to RPs through the publication of the object in an RPKI repository.
証明書、CRL、または署名されたオブジェクトの各発行者はRPKIリポジトリ内のオブジェクトの公開を経てのRPにダウンロードできるようになります。
The repository system is a collection of all signed objects that MUST be globally accessible to all RPs. When certificates, CRLs and signed objects are created, they are uploaded to a repository publication point, from whence they can be downloaded for use by RPs.
リポジトリシステムは、すべてのRPにグローバルにアクセスする必要があるすべての署名オブジェクトのコレクションです。証明書、CRLに署名したオブジェクトが作成されると、彼らはそこから彼らはのRPで使用するためにダウンロードすることができ、リポジトリ出版ポイントにアップロードされています。
This profile defines the recommended object (file) naming scheme, the recommended contents of repository publication points (directories), and a suggested internal structure of a local repository cache that is intended to facilitate synchronization across a distributed collection of repository publication points and facilitate certification path construction.
このプロファイルは、推奨されるオブジェクト(ファイル)の名前付けスキーム、リポジトリ出版ポイント(ディレクトリ)、およびリポジトリ公開点の分散コレクションを横切って同期化を容易にし、認証を容易にするために意図されているローカルリポジトリキャッシュの提案内部構造の推奨内容を定義しますパス構築。
A resource certificate attests to a binding of an entity's public key to a set of IP address blocks and AS numbers. The subject of a resource certificate can demonstrate that it is the holder of the resources enumerated in the certificate by using its private key to generate a digital signature (that can be verified using the public key from the certificate).
リソース証明書は、IPアドレスブロックおよびAS番号のセットに、エンティティの公開鍵の結合を証明します。リソース証明書の主題は、(証明書から公開鍵を用いて検証することができる)は、デジタル署名を生成するために、その秘密鍵を用いて証明書に列挙されたリソースの所有者であることを実証することができます。
It is assumed that the reader is familiar with the terms and concepts described in "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile" [RFC5280], and "X.509 Extensions for IP Addresses and AS Identifiers" [RFC3779].
読者が「インターネットX.509公開鍵暗号基盤証明書と証明書失効リスト(CRL)プロフィール」[RFC5280]、および「IPアドレスとAS識別子のためのX.509拡張機能」で説明した用語と概念に精通していると仮定されます[RFC3779]。
In addition, the following terms are used in this document:
また、次の用語はこの文書で使用されています。
Repository Object (or Object): This refers to a terminal object in a repository publication point. A terminal object is conventionally implemented as a file in a publicly accessible directory, where the file is not a directory itself, although another form of object that has an analogous public appearance to a file is encompassed by this term.
リポジトリオブジェクト(またはオブジェクト):これは、リポジトリ出版ポイントに端末物体を指します。ファイルに類似公共外観を有する物体の別の形態は、この用語に包含されるが端子目的は、従来、ファイルは、ディレクトリ自体ではない公的にアクセス可能なディレクトリにファイルとして実装されます。
Repository Publication Point: This refers to a collection of Repository Objects that are published at a common publication point. This is conventionally implemented as a directory in a publicly accessible filesystem that is identified by a URI [RFC3986], although another form of local storage that has an analogous public appearance to a simple directory of files is also encompassed by this term.
リポジトリ出版ポイント:これは一般的な出版物の時点で公開されているリポジトリ・オブジェクトの集合を指します。ファイルの単純なディレクトリに類似公共外観を有するローカルストレージの他の形態もこの用語に包含されるが、これは、従来、URI [RFC3986]によって識別される公的にアクセス可能なファイルシステム内のディレクトリとして実現されます。
Repository Instance: This refers to a collection of one or more Repository Publication Points that share a common publication instance. This conventionally is implemented as a collection of filesystem directories that share a common URI prefix, where each directory is also identifiable by its own unique URI.
リポジトリ・インスタンス:これは一般的なパブリケーションインスタンスを共有する1つのまたは複数のリポジトリ公開点の集合を指します。これは、従来、各ディレクトリは独自のURIによっても識別可能である、共通のURI接頭辞を、共有ファイルシステムのディレクトリの集まりとして実装されています。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
この文書のキーワード "MUST"、 "MUST NOT"、 "REQUIRED"、、、、 "べきではない" "べきである" "ないもの" "ものとし"、 "推奨"、 "MAY"、および "OPTIONAL" はあります[RFC2119]に記載されているように解釈されます。
The RPKI does not require that a single repository instance contain all published RPKI objects. Instead, the RPKI repository system is comprised of multiple repository instances. Each individual repository instance is composed of one or more repository publication points. Each repository publication point is used by one or more entities referenced in RPKI certificates, as defined in the certificate's Subject Information Access (SIA) extension.
RPKIは、単一のリポジトリインスタンスはすべての公開RPKIのオブジェクトが含まれている必要はありません。代わりに、RPKIリポジトリシステムは、複数のリポジトリのインスタンスで構成されています。各個々のリポジトリインスタンスは、1つのまたは複数のリポジトリ出版点で構成されています。証明書のサブジェクト情報アクセス(SIA)拡張で定義されるように各リポジトリ出版点は、RPKI証明書で参照される1つの以上のエンティティによって使用されます。
This section describes the collection of objects (RPKI certificates, CRLs, manifests, and signed objects) held in repository publication points.
このセクションでは、リポジトリ出版ポイントに保持されているオブジェクトのコレクション(RPKI証明書、CRLに、マニフェスト、および署名されたオブジェクト)を記述する。
For every Certification Authority (CA) certificate in the RPKI, there is a corresponding repository publication point that is the authoritative publication point for all current certificates and CRLs issued by this CA. The certificate's SIA extension contains a URI [RFC3986] that references this repository publication point and identifies the repository access mechanisms. Additionally, a certificate's Authority Information Access (AIA) extension contains a URI that references the authoritative location for the CA certificate under which the given certificate was issued.
RPKI内のすべての認証局(CA)証明書の場合、このCAが発行するすべての現在の証明書とCRLの権威ある出版ポイントで対応するリポジトリ出版ポイントがあります証明書のSIA拡張はこのリポジトリ出版点を参照すると、リポジトリアクセスメカニズムを識別するURI [RFC3986]を含んでいます。また、証明書の機関情報アクセス(AIA)の拡張子は、指定された証明書が発行されたの下にCA証明書の権威ある場所を参照するURIが含まれています。
For example, if the subject of certificate A has issued certificates B and C, then the AIA extensions of certificates B and C both point to the publication point for the certificate A object, and the SIA extension of certificate A points to a repository publication point (directory) containing certificates B and C (see Figure 1).
例えば、証明書Aの主題は、証明書BとCを発行した場合、証明書BとCのAIA拡張証明書オブジェクト、およびリポジトリ出版ポイントに証明書A点のSIA拡張の出版点の両方の点(ディレクトリ)を含む証明書B及びC(図1参照)。
+--------+
+--------->| Cert A |<----+
| | AIA | |
| +--------- SIA | |
| | +--------+ |
| | |
| | +-------------------|------------------+
| | | | |
| +->| +--------+ | +--------+ |
| | | Cert B | | | Cert C | |
| | | CRLDP-------+ | | CRLDP-----+ |
+----------- AIA | | +----- AIA | | |
| | SIA------+ | | SIA------------+
| +--------+ | | +--------+ | | |
| | V V | |
| | +-----------------+ | |
| | | CRL issued by A | | |
| A's Repository| +-----------------+ | |
| Directory | | |
+---------------|----------------------+ |
| |
+----------------+ | +----------------+ |
| B's Repository |<-------+ | C's Repository |<--+
| Directory | | Directory |
+----------------+ +----------------+
Figure 1. Use of AIA and SIA Extensions in the RPKI
RPKIでAIAとSIA拡張の図1.利用
In Figure 1, certificates B and C are issued by CA A. Therefore, the AIA extensions of certificates B and C point to (certificate) A, and the SIA extension of certificate A points to the repository publication point of CA A's subordinate products, which includes certificates B and C, as well as the CRL issued by A. The CRL Distribution Points (CRLDP) extension in certificates B and C both point to the CRL issued by A.
図1では、証明書B及びCは、CA Aの下位製品のリポジトリ出版ポイントに(証明書)A、および証明書A点のSIA拡張にCA Aにより証明書BとC点のため、AIA拡張を発行しますこれA.によって発行されたCRLに証明書BおよびC、ならびにA.ザCRL配布ポイント(CRLDP)によって発行されたCRLの証明書B及びCにおける拡張の両方の点を含みます
In this distributed repository structure, an instance of a CA's repository publication point contains all published certificates issued by that CA, and the CRL issued by that CA. This repository also contains all published digitally signed objects that are verified by an end-entity (EE) certificate issued by this CA.
この分散リポジトリ構造では、CAのリポジトリ公開ポイントのインスタンスは、そのCAによって発行されているCAによって発行されたすべての出版された証明書、およびCRLが含まれていますこのリポジトリにはまた、このCAによって発行されたエンドエンティティ(EE)証明書によって検証されているすべての公開デジタル署名されたオブジェクトが含まれています
Every repository publication point MUST contain a manifest [RFC6486]. The manifest contains a list of the names of all objects, as well as the hash value of each object's contents that are currently published by a CA or an EE.
すべてのリポジトリ出版ポイントマニフェスト[RFC6486]を含まなければなりません。マニフェストは、すべてのオブジェクトの名前のリストだけでなく、現在CAまたはEEで公開されている各オブジェクトの内容のハッシュ値が含まれています。
An authority MAY perform a number of object operations on a publication repository within the scope of a repository change before issuing a single manifest that covers all the operations within the scope of this change. Repository operators SHOULD implement some form of directory management regime function on the repository to ensure that RPs who are performing retrieval operations on the repository are not exposed to intermediate states during changes to the repository and the associated manifest. (It is noted that if no such access regime is in place, then RPs MAY be exposed to intermediate repository states where the manifest and the repository contents may not be precisely aligned. Specific cases and actions in such a situation of misalignment of the manifest and the repository contents are considered in [RFC6486].)
当局は、この変化の範囲内でのすべての操作をカバーする単一のマニフェストを発行する前に、リポジトリ変化の範囲内で出版リポジトリにオブジェクトの操作の数を実行することができます。リポジトリオペレータは、リポジトリ上で検索操作を実行しているRPがリポジトリと関連マニフェストへの変更時に中間状態にさらされないことを確実にするために、リポジトリにディレクトリ管理体制の機能のいくつかのフォームを実装する必要があります。 (そのようなアクセス・レジームが定位置にない場合、次いで、RPがマニフェストとリポジトリの内容を正確に整列されないことがあり、中間リポジトリ状態にさらされてもよいことに留意されたい。マニフェストのずれのような状況で特定のケースとアクションとリポジトリの内容は、[RFC6486]に考慮されます。)
A CA certificate has two accessMethod elements specified in its SIA field. The id-ad-caRepository accessMethod element has an associated accessLocation element that points to the repository publication point of the certificates issued by this CA, as specified in [RFC6487]. The id-ad-rpkiManifest accessMethod element has an associated accessLocation element that points to the manifest object, as an object URI (as distinct to a directory URI), that is associated with this CA.
CA証明書は、そのSIAフィールドで指定された2つのたaccessMethod要素を持っています。 ID-AD-caRepositoryたaccessMethod要素は[RFC6487]で指定されるように、このCAによって発行された証明書のリポジトリ出版ポイントを指す関連のaccessLocation要素を有します。 ID-AD-rpkiManifestたaccessMethod要素(ディレクトリURIに異なるように)オブジェクトURIとして、マニフェストオブジェクトを指す関連のaccessLocation要素を有し、それは、このCAに関連付けられています
A CA's publication repository contains the current (non-expired and non-revoked) certificates issued by this CA, the most recent CRL issued by this CA, the current manifest, and all other current signed objects that can be verified using an EE certificate [RFC6487] issued by this CA.
CAの出版物リポジトリは、[このCAが発行する証明書は、このCAによって発行された最新のCRL、現在のマニフェスト、およびEE証明書を使用して検証することができる他のすべての現在の署名のオブジェクト(期限切れでないと失効していない)現在が含まれていますRFC6487]このCAによって発行されました
The CA's manifest contains the names of this collection of objects, together with the hash value of each object's contents, with the single exception of the manifest itself.
CAのマニフェストは、マニフェスト自体の唯一の例外で、一緒に各オブジェクトの内容のハッシュ値と、オブジェクトのコレクションの名前が含まれています。
The RPKI design requires that a CA be uniquely associated with a single key pair. Thus, the administrative entity that is a CA performs key rollover by generating a new CA certificate with a new subject name, as well as a new key pair [RFC6489]. (The reason for the new subject name is that in the context of the RPKI, the subject names in all certificates issued by a CA are intended to be unique, and because the RPKI key rollover procedure creates a new instance of a CA with the new key, the name constraint implies the need for a new subject name for the CA with the new key.) In such cases, the entity SHOULD continue to use the same repository publication point for both CA instances during the key rollover, ensuring that the value of the AIA extension in indirect subordinate objects that refer to the certificates issued by this CA remain valid across the key rollover, and that the reissuance of subordinate certificates in a key rollover is limited to the collection of immediate subordinate products of this CA [RFC6489]. In such cases, the repository publication point will contain the CRL, manifest and subordinate certificates of both CA instances. (It is feasible for the entity to use distinct repository publication points for the old and new CA keys, but, in such a case, very careful coordination would be required with subordinate CAs and EEs to ensure that the AIA pointers in the indirect subordinate levels of the RPKI hierarchy are correctly aligned to the subordinate products of the new CA.)
RPKIのデザインは、CAが一意に単一の鍵ペアに関連付けされている必要があります。したがって、CAで管理エンティティは、新しいサブジェクト名を使用して新しいCA証明書、ならびに新しい鍵ペア[RFC6489]を生成することによって、キーロールオーバーを行います。 (新しいサブジェクト名の理由は、RPKIの文脈では、CAによって発行されたすべての証明書中のサブジェクト名が一意であることが意図されていることである、とRPKIキーロールオーバープロシージャは、新しいとCAの新しいインスタンスを作成しますので、キーは、名前制約は新しいキーを使用してCAの新しいサブジェクト名の必要性を意味している。)このような場合には、エンティティは、その値を保証する、キーロールオーバ時の両方CAインスタンスの同じリポジトリ出版ポイントを使用し続けなければなりませんこのCAが発行した証明書を参照して間接的に下位のオブジェクトでAIA拡張のキーロールオーバー渡って有効なまま、キーロールオーバーで下位証明書の再発行は、このCAの直接の下位製品のコレクションに制限されていること[RFC6489] 。このような場合、リポジトリ出版点は、両方のCAインスタンスのCRL、マニフェストと下位証明書を含むであろう。エンティティは、古いものと新しいCAキーの個別のリポジトリ公開ポイントを使用するために(それは実現可能であるが、このような場合には、非常に慎重な調整が間接的下位レベルのAIAポインタことを保証するために、下位CAとのEEで必要とされるであろうRPKI階層の正しく新しいCAの下位製品に整列されています)
The following paragraphs provide guidelines for naming objects in a CA's repository publication point:
次の段落では、CAのリポジトリの公開ポイントでオブジェクトを命名するためのガイドラインを提供します。
CRL: When a CA issues a new CRL, it replaces the previous CRL (issued under the same CA key pair) in the repository publication point. CAs MUST NOT continue to publish previous CRLs in the repository publication point. Thus, it MUST replace (overwrite) previous CRLs signed by the same CA (instance). A non-normative guideline for naming such objects is that the file name chosen for the CRL in the repository be a value derived from the public key of the CA. One such method of generating a CRL publication name is described in Section 2.1 of [RFC4387]; convert the 160-bit hash of a CA's public key value into a 27-character string using a modified form of Base64 encoding, with an additional modification as proposed in Section 5, table 2, of [RFC4648]. The filename extension of ".crl" MUST be used to denote the file as a CRL. Each ".crl" file contains exactly one CRL encoded in DER format.
CRLは:CAは新しいCRLを発行すると、それはリポジトリ出版時点で(同じCA鍵ペアに基づき発行された)前のCRLを置き換えます。 CAは、リポジトリの出版時点で、前のCRLを公開し続けてはなりません。したがって、同じCA(インスタンス)によって署名された(上書き)以前のCRLを交換する必要があります。そのようなオブジェクトに名前を付けるための非規範的なガイドラインは、リポジトリ内のCRLのために選択したファイル名は、CAの公開鍵から得られた値であることですCRL公開名を生成する1つのそのような方法は、[RFC4387]のセクション2.1に記載されています。 [RFC4648]のセクション5で提案されているように、追加の修正、テーブル2と、Base64エンコーディングの変形形態を使用して、27文字の文字列にCAの公開鍵値の160ビットのハッシュを変換します。 「の.crl」のファイル名の拡張子は、CRLとしてファイルを表すために使用しなければなりません。各「の.crl」ファイルはDER形式でエンコードされた正確に一つのCRLが含まれています。
Manifest: When a new instance of a manifest is published, it MUST replace the previous manifest to avoid confusion. CAs MUST NOT continue to publish previous CA manifests in the repository publication point. A non-normative guideline for naming such objects is that the filename chosen for the manifest in the publication repository be a value derived from the public key part of the entity's key pair, using the algorithm described for CRLs above for generation of filenames. The filename extension of ".mft" MUST be used to denote the object as a manifest.
マニフェスト:マニフェストの新しいインスタンスが公開されると、それは混乱を避けるために、以前のマニフェストを交換する必要があります。 CAは、以前のCAは、リポジトリの公開ポイントに現れる公開し続けてはなりません。そのようなオブジェクトに名前を付けるための非規範的な指針は、出版物リポジトリにマニフェストのために選択されたファイル名がファイル名を生成するための上記CRLを説明したアルゴリズムを使用して、エンティティの鍵ペアの公開鍵部分から得られた値であることです。 「.mft」のファイル名の拡張子は、マニフェストのようなオブジェクトを示すために使用されなければなりません。
Certificates: Within the RPKI framework, it is possible that a CA MAY issue a series of certificates to the same subject name, the same subject public key, and the same resource collection. However, a relying party requires access only to the most recently published certificate in such a series. Thus, such a series of certificates SHOULD share the same filename. This ensures that each successive issued certificate in such a series effectively overwrites the previous instance of the certificate. It is feasible to use different filenames, but this imposes a burden on the validating user. A non-normative guideline for naming such objects is for the CA to adopt a (local) policy requiring a subject to use a unique key pair for each unique instance of a certificate series issued to the same subject, thereby allowing the CA to use a file name generation scheme based on the subject's public key, e.g., using the algorithm described above for CRLs above. Published certificates MUST use a filename extension of ".cer" to denote the object as a certificate. Each ".cer" file contains exactly one certificate encoded in DER format.
証明書:RPKIの枠組みの中で、それはCAが同じサブジェクト名、同じサブジェクトの公開鍵、および同じリソースコレクションに一連の証明書を発行する可能性があります。しかし、証明書利用者は、このようなシリーズで唯一、最近発表された証明書にアクセスする必要があります。このように、証明書のような一連の同じファイル名を共有する必要があります。これは、系列内の各連続発行された証明書が有効証明書の以前のインスタンスを上書きすることを保証します。異なるファイル名を使用することが可能であるが、これは検証し、ユーザに負担を強います。 CAは、それによってCAを使用することができ、同一の対象に発行された証明書のシリーズの各一意のインスタンスに一意の鍵ペアを使用する被験者が必要(ローカル)ポリシーを採用するため、このようなオブジェクトに名前を付けるための非規範的な指針であります上記のCRLについて上記のアルゴリズムを用いて被験者の公開鍵、例えばに基づいてファイル名の生成方式。公開された証明書は、証明書などのオブジェクトを表すために「.cerファイル」のファイル名の拡張子を使用しなければなりません。各「.cerの」ファイルはDER形式でエンコードされた正確に一つの証明書が含まれています。
Signed Objects: RPKI signed objects [RFC6488] are published in the repository publication point referenced by the SIA of the CA certificate that issued the EE certificate used to validate the digital signature of the signed object (and are directly referenced by the SIA of that EE certificate). A general non-normative guideline for naming such RPKI signed objects is for the filename of such objects to be derived from the associated EE certificate's public key, applying the algorithm described above. Published RPKI signed objects MUST NOT use the filename extensions ".crl", ".mft", or ".cer".
署名されたオブジェクト:RPKIオブジェクト[RFC6488]を署名したが、署名されたオブジェクトのデジタル署名を検証するために使用される(直接そのEEのSIAによって参照されるEE証明書を発行したCA証明書のSIAによって参照リポジトリ刊行点で公開されています証明書)。このようなオブジェクトのファイル名は、上記のアルゴリズムを適用し、関連するEE証明書の公開鍵から導出されるため、このようなRPKI署名されたオブジェクトに名前を付けるための一般的な非規範的な指針です。 RPKIが署名した公開オブジェクトは、ファイル名の拡張子「の.crl」、「.mft」、または「.cerの」を使用してはなりません。
One form of signed object defined at the time of publication of this document is a Route Origination Authorization (ROA) [RFC6482]. Published ROAs MUST use a filename extension of ".roa" to denote the object as a ROA.
本文書の発行時に定義され署名されたオブジェクトの一の形態は、ルート発信許可(ROA)[RFC6482]です。公開された資産収益率は、ROAなどのオブジェクトを表すために「.roa」のファイル名の拡張子を使用しなければなりません。
Each issuer MAY publish its issued certificates and CRL in any repository. However, there are a number of considerations that guide the choice of a suitable repository publication structure:
各発行者は、任意のリポジトリにその発行された証明書とCRLを公開してもよい(MAY)。しかしながら、適切なリポジトリ公開構造の選択を導く考慮事項がいくつかあります:
* The publication repository SHOULD be hosted on a highly available service and high-capacity publication platform.
*出版物リポジトリは、高可用性サービスおよび高容量の出版プラットフォーム上でホストする必要があります。
* The publication repository MUST be available using rsync [RFC5781] [RSYNC]. Support of additional retrieval mechanisms is the choice of the repository operator. The supported retrieval mechanisms MUST be consistent with the accessMethod element value(s) specified in the SIA of the associated CA or EE certificate.
*出版物リポジトリは、rsyncの[RFC5781] [RSYNC]を使用して利用可能でなければなりません。追加の検索メカニズムのサポートは、リポジトリのオペレータの選択です。サポートされている検索メカニズムは、関連するCAあるいはEE証明書のSIAで指定されたaccessMethod要素値(S)と一致していなければなりません。
* Each CA repository publication point SHOULD contain the products of this CA, including those objects that can be verified by EE certificates that have been issued by this CA. The signed products of related CA's that are operated by the same entity MAY share this CA repository publication point. Aside from subdirectories, any other objects SHOULD NOT be placed in a repository publication point.
*各CAリポジトリ公開ポイントは、このCAによって発行されたEE証明書によって確認することができ、それらのオブジェクトを含め、このCAの製品が含まれているべきです同じエンティティによって運営され、関連するCAの署名の製品は、このCAリポジトリ公開ポイントを共有することがあります。別にサブディレクトリから、任意の他のオブジェクトは、リポジトリ出版ポイントに配置されるべきではありません。
Any such subdirectory SHOULD be the repository publication point of a CA or EE certificate that is contained in the CA directory. These considerations also apply recursively to subdirectories of these directories. Detection of content that is not a CA product has the potential to cause confusion to RPs, and in such a case RPs should exercise caution not to invalidate the valid CA products found at the CA's repository publication point.
任意のこのようなサブディレクトリには、CAのディレクトリに含まれるCA証明書あるいはEEのリポジトリ出版点であるべきです。これらの考慮はまた、これらのディレクトリのサブディレクトリに再帰的に適用されます。 CA製品ではありませんコンテンツの検出は、RPのに混乱を引き起こす可能性があり、そのような場合にはRPがCAのリポジトリの公開時点で見つかった有効なCA製品を無効にしないように注意が必要です。
* Signed objects are published in the location indicated by the SIA field of the EE certificate used to verify the signature of each object. Signed objects are published in the repository publication point of the CA certificate that issued the EE certificate. The SIA extension of the EE certificate references this object rather than the repository publication directory [RFC6487].
*署名付きオブジェクトは、各オブジェクトの署名を検証するために使用されるEE証明書のSIAフィールドによって示される位置に掲載されています。署名されたオブジェクトは、EE証明書を発行したCA証明書のリポジトリの公開ポイントに公開されています。 EE証明書参照。このオブジェクトではなくリポジトリ公開ディレクトリ[RFC6487]のSIA拡張。
* Section 2.1 states that repository operators SHOULD implement some form of directory management regime function on the repository to ensure that RPs who are performing retrieval operations on the repository are not exposed to intermediate states during changes to the repository and the associated manifest. Notwithstanding the following commentary, RPs SHOULD NOT assume that a consistent repository and manifest state are assured, and they SHOULD organize their retrieval operations accordingly (see Section 5).
リポジトリオペレータは、リポジトリ上で検索操作を実行しているRPがリポジトリと関連マニフェストへの変更時に中間状態にさらされないことを確実にするために、リポジトリにディレクトリ管理体制の機能のいくつかのフォームを実装する必要* 2.1節状態。以下の解説にもかかわらず、RPは一貫リポジトリとマニフェスト状態が保証されているものとはならず、それらは(セクション5を参照)に応じて、それらの検索操作を整理すべきです。
The manner in which a repository operator can implement a directory update regime that mitigates the risk of the manifest and directory contents being inconsistent, to some extent, is dependent on the operational characteristics of the filesystem that hosts the repository, so the following comments are non-normative in terms of any implicit guidelines for repository operators.
リポジトリオペレータマニフェストおよびディレクトリの内容が矛盾しているのリスクを軽減するディレクトリ更新レジームを実装することができる方法は、ある程度まで、リポジトリをホストファイルシステムの動作特性に依存しているので、以下のコメントは非リポジトリ事業者のための任意の暗黙のガイドラインの面で-normative。
A commonly used technique to avoid exposure to inconsistent retrieval states during updates to a large directory is to batch a set of changes to be made, create a working copy of the directory's contents, and then perform the batch of changes to the local copy of the directory. On completion, rename the filesystem symbolic link of the repository directory name to point to this working copy of the directory. The old repository directory contents can be purged at a slightly later time. However, it is noted that the outcomes of this technique in terms of ensuring the integrity of client synchronization functions performed over the directory depend on the interaction between the supported access mechanisms and the local filesystem behavior. It is probable that this technique will not remove all possibilities for RPs to see inconsistent states between the manifest and the repository. Because a repository has the potential to be in an partially updated state, it cannot be guaranteed to be internally self consistent all the time.
大規模なディレクトリへの更新時に矛盾検索状態への露出を避けるために一般的に使用される技術は、バッチに行われる変更のセットで、ディレクトリの内容の作業コピーを作成し、その後のローカルコピーに変更のバッチを実行しますディレクトリ。完了すると、ディレクトリのこの作業コピーを指すように、リポジトリのディレクトリ名のファイルシステムのシンボリックリンクの名前を変更します。古いリポジトリのディレクトリの内容は、少し後の時点でパージすることができます。しかし、ディレクトリ上で実行クライアントの同期機能の整合性を確保するという点で、この技術の成果は、サポートされるアクセスメカニズムとローカルファイルシステムの動作の間の相互作用に依存していることが注目されます。 RPは、マニフェストとリポジトリの間で一貫性のない状態を見るためには、この技術は、あらゆる可能性を削除しない可能性が高いです。リポジトリは、部分的に更新された状態になる可能性があるので、すべての時間を内部的に自己整合するように保証することはできません。
If a CA certificate is reissued, e.g., due to changes in the set of resources contained in the number resource extensions, it should not be necessary to reissue all certificates issued under it. Because these certificates contain AIA extensions that point to the publication point for the CA certificate, a CA SHOULD use a name for its repository publication point that persists across certificate reissuance events. That is, reissued CA certificates SHOULD use the same repository publication point as previously issued CA certificates having the same subject and subject public key, such that certificate reissuance SHOULD intentionally overwrite the previously issued certificate within the repository publication point.
CA証明書が再発行されている場合は、例えば、数リソースの拡張機能に含まれるリソースのセットの変化に起因する、それに基づいて発行されたすべての証明書を再発行する必要はありません。これらの証明書は、CA証明書の出版にポイントAIA拡張が含まれているため、CAは、証明書の再発行、イベント全体で存続そのリポジトリ出版ポイントの名前を使用する必要があります。つまり、CA証明書が証明書の再発行を意図的リポジトリ出版ポイント内の以前に発行された証明書を上書きするように、同じ被写体と対象の公開鍵を有する以前に発行したCA証明書と同じリポジトリ出版ポイントを使用すべきである再発行されます。
It is noted in Section 2.2 that when a CA performs a key rollover, the entity SHOULD use a name for its repository publication point that persists across key rollover. In such cases, the repository publication point will contain the CRLs and manifests of both CA instances as a transient state in the key rollover procedure. The RPKI key rollover procedure [RFC6489] requires that the subordinate products of the old CA be overwritten in the common repository publication point by subordinate products issued by the new CA.
CAキーロールオーバーを行う場合、エンティティは、キーロールオーバ横切っ持続そのリポジトリ出版ポイントの名前を使用することを2.2節に留意されたいです。このような場合、リポジトリ出版点は、キーロールオーバー手順の過渡状態の両方CAインスタンスのCRLとマニフェストを含むであろう。 RPKIキーロールオーバー手順[RFC6489]は、古いCAの下位製品は新しいCAによって発行された下位製品で共通リポジトリ公開ポイントに上書きされている必要があります
It is possible to perform the validation-related task of certificate path construction using the retrieval of individual certificates, and certificate revocation lists using online retrieval of individual certificates, sets of candidate certificates and certificate revocation lists based on the AIA, SIA, and CRLDP certificate fields. This is NOT recommended in circumstances where speed and efficiency are relevant considerations.
個々の証明書の取得を使用して証明書パス構築の検証に関連するタスクを実行することが可能であり、個々の証明書、候補証明書と証明書失効リストのセットのオンライン検索を使用して証明書失効リストはAIA、SIA、及びCRLDP証明書に基づいてフィールド。これは、スピードと効率が関連配慮されている状況で推奨されていません。
To enable efficient validation of RPKI certificates, CRLs, and signed objects, it is recommended that each relying party maintain a local repository containing a synchronized copy of all valid certificates, current certificate revocation lists, and all related signed objects.
RPKI証明書、CRLを、署名されたオブジェクトの効率的な検証を可能にするためには、各証明書利用者は、すべての有効な証明書、現在の証明書失効リスト、およびすべての関連署名オブジェクトの同期コピーを含むローカルリポジトリを維持することをお勧めします。
The general approach to repository synchronization is one of a "top-down" walk of the distributed repository structure. This commences with the collection of locally selected trust anchor material corresponding to the local choice of Trust Anchors, which can be used to load the initial set of self-signed resource certificate(s) that form the "seed" of this process [RFC6490]. The process then populates the local repository cache with all valid certificates that have been issued by these issuers. This procedure can be recursively applied to each of these subordinate certificates. Such a repository traversal process SHOULD support a locally configured maximal chain length from the initial trust anchors. If this is not done, then there might be a SIA pointer loop, or other degenerate forms of the logical RPKI hierarchy, that would cause an RP to malfunction when performing a repository synchronization operation with the RP's local RPKI cache.
リポジトリ同期の一般的なアプローチは、分散リポジトリ構造の「トップダウン」徒歩の一つです。これは、このプロセスの「種」を形成する自己署名リソース証明書(複数可)の初期セットをロードするために使用することができるトラストアンカーの局所的な選択に対応する局所的に選択されたトラストアンカー材料の収集[RFC6490]で始まります。このプロセスは、これらの発行体によって発行されたすべての有効な証明書を持つローカルリポジトリキャッシュに移入されます。この手順は、再帰的にこれらの下位証明書のそれぞれに適用することができます。そのようなリポジトリ横断プロセスは、最初のトラストアンカーからローカルに設定された最大の鎖長をサポートしなければなりません。これが行われていない場合は、RPのローカルRPKIキャッシュとリポジトリの同期操作を実行するときにRPが誤動作する原因となるSIAポインタのループ、または論理RPKI階層の他の縮退フォームを、あるかもしれません。
RPs SHOULD ensure that this local synchronization uses the retrieved manifests [RFC6486] to ensure that they are synchronizing against a current, consistent state of each repository publication point. It is noted in Section 3 that when the repository publication point contents are updated, a repository operator cannot assure RPs that the manifest contents and the repository contents will be precisely aligned at all times. RPs SHOULD use a retrieval algorithm that takes this potential for transient inconsistency into account. For the RP to mitigate this situation, possible algorithms include performing the synchronization across the repository twice in succession, or performing a manifest retrieval both before and after the synchronization of the directory contents, and repeating the synchronization function if the second copy of the manifest differs from the first.
RPは、このローカル同期は、それらが各リポジトリ出版点の現在の、一貫性のある状態に対して同期していることを保証するために、検索マニフェスト[RFC6486]を使用することを保証すべきです。リポジトリ出版点の内容が更新されるとき、リポジトリオペレータマニフェストコンテンツ、リポジトリの内容を正確に常に整列されることRPを保証できないこと項3に留意されたいです。 RPは、アカウントへの一過矛盾のために、この可能性をとる検索アルゴリズムを使用すべきです。この状況を緩和するRPため、可能なアルゴリズムは、2回連続してリポジトリを横切って同期を実行する、またはディレクトリの内容の同期の前と後の両方マニフェスト検索を行い、マニフェスト異なるの第2のコピー場合は同期機能を繰り返す含みます最初から。
Repositories are not assumed to be integrity-protected databases, and repository retrieval operations might be vulnerable to various forms of "man-in-the-middle" attacks. Corruption of retrieved objects is detectable by a relying party through the validation of the signature associated with each retrieved object. Replacement of newer instances of an object with an older instance of the same object is detectable through the use of manifests. Insertion of revoked, deleted certificates is detected through the retrieval and processing of CRLs at scheduled intervals. However, even the use of manifests and CRLs will not allow a relying party to detect all forms of substitution attacks based on older (but not expired) valid objects.
リポジトリには、整合性で保護されたデータベースであると想定されていない、とリポジトリの検索操作は、「のman-in-the-middle」攻撃の様々な形に脆弱かもしれません。取得されたオブジェクトの破損は、各検索されたオブジェクトに関連付けられた署名の検証を依拠当事者によって検出可能です。同じオブジェクトの古いインスタンスとオブジェクトの新しいインスタンスの置換は、マニフェストの使用を介して検出可能です。取り消され、削除された証明書の挿入は、スケジュールされた間隔でのCRLの検索及び処理を介して検出されます。しかし、マニフェストとCRLのにも使用することは、証明書利用者が古い(ただし、有効期限が切れていない)、有効なオブジェクトに基づいて、置換攻撃の全ての形態を検出することはできません。
Confidentiality is not provided by the repository or by the signed objects published in the repository. Data that is subject to controlled access should not be included in signed objects in the repository unless there is some specified mechanism used to ensure the confidentiality of the data contained in the signed object.
機密性は、リポジトリまたはリポジトリで公開され署名オブジェクトによって提供されていません。署名されたオブジェクトに含まれるデータの機密性を確保するために使用されるいくつかの指定されたメカニズムが存在しない限り、アクセス制御の対象となるデータは、リポジトリ内の署名されたオブジェクトに含まれるべきではありません。
IANA has registered the following two media types:
IANAは、次の2つのメディアタイプを登録しています:
application/rpki-manifest application/rpki-roa
アプリケーション/ RPKI-アプリケーションマニフェスト/ RPKI-ROA
This document also uses the .cer and .crl file extensions from the application/pkix-cert and application/pkix-crl media registries defined in [RFC2585].
この文書はまた、[RFC2585]で定義されたアプリケーション/ PKIX-CERTやアプリケーション/ PKIX-CRLメディアレジストリから.CERとの.crlファイル拡張子を使用しています。
MIME media type name: application MIME subtype name: rpki-manifest Required parameters: None Optional parameters: None Encoding considerations: binary Security considerations: Carries an RPKI Manifest [RFC6486] Interoperability considerations: None Published specification: This document Applications that use this media type: Any MIME-complaint transport Additional information: Magic number(s): None File extension(s): .mft Macintosh File Type Code(s): Person & email address to contact for further information: Geoff Huston <gih@apnic.net> Intended usage: COMMON Author/Change controller: Geoff Huston <gih@apnic.net>
MIMEメディアタイプ名:application MIMEサブタイプ名:RPKI-マニフェストに必要なパラメータ:なしオプションのパラメータ:なしエンコードの考慮事項:バイナリセキュリティの考慮事項:なし公開仕様::このメディアタイプを使用するこのドキュメントアプリケーションRPKIマニフェスト[RFC6486]の相互運用性の考慮を運びます:任意のMIME-苦情輸送追加情報:マジックナンバー(S):なしファイルの拡張子(S):Macintoshのファイルタイプコード(S).mft:人とEメールアドレスは、詳細のために連絡する:ジェフ・ヒューストン<gih@apnic.net >意図している用法:COMMON著者/変更コントローラ:ジェフ・ヒューストン<gih@apnic.net>
MIME media type name: application MIME subtype name: rpki-roa Required parameters: None Optional parameters: None Encoding considerations: binary Security considerations: Carries an RPKI ROA [RFC6482] Interoperability considerations: None Published specification: This document Applications that use this media type: Any MIME-complaint transport Additional information: Magic number(s): None File extension(s): .roa Macintosh File Type Code(s): Person & email address to contact for further information: Geoff Huston <gih@apnic.net> Intended usage: COMMON Author/Change controller: Geoff Huston <gih@apnic.net>
MIMEメディアタイプ名:application MIMEサブタイプ名:RPKI-ROA必要なパラメータ:なしオプションのパラメータ:なしエンコードの考慮事項:バイナリセキュリティの考慮事項:なし公開仕様::このメディアタイプを使用するこのドキュメントアプリケーションRPKI ROA [RFC6482]の相互運用性の考慮を運びます:任意のMIME-苦情輸送追加情報:マジックナンバー(S):なしファイルの拡張子(S):Macintoshのファイルタイプコード(S).roa:人とEメールアドレスは、詳細のために連絡する:ジェフ・ヒューストン<gih@apnic.net >意図している用法:COMMON著者/変更コントローラ:ジェフ・ヒューストン<gih@apnic.net>
IANA has created the "RPKI Repository Name Scheme" registry. The registry contains three-letter filename extensions for RPKI repository objects. The registry's contents are managed by IETF Review [RFC5226]. The initial contents of this registry are the following:
IANAは「RPKIリポジトリ名スキーム」レジストリを作成しました。レジストリは、RPKIリポジトリオブジェクトの3文字のファイル名の拡張子が含まれています。レジストリの内容は、IETFレビュー[RFC5226]によって管理されています。このレジストリの初期の内容は次のとおりです。
Filename extension RPKI Object Reference .cer Certificate [RFC6481] .crl Certificate Revocation List [RFC6481] .mft Manifest [RFC6481] .roa Route Origination Authorization [RFC6481]
証明書失効リスト[RFC6481] .mftマニフェスト[RFC6481] .roaルートオリジネーション認証[RFC6481]の.crl証明書[RFC6481] .cerのファイル名の拡張子RPKIのオブジェクト参照
This document has benefitted from helpful review comments and input from Stephen Kent, Matt Lepenski, Michael Elkins, Russ Housley, and Sean Turner.
この文書では、スティーブン・ケント、マット・Lepenski、マイケル・エルキンズ、ラスHousley、およびショーンターナーから役に立つレビューコメントや入力から恩恵を受けています。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC6482] Lepinski, M., Kent, S., and D. Kong, "A Profile for Route Origin Authorizations (ROAs)", RFC 6482, February 2012.
[RFC6482] Lepinski、M.、ケント、S.、およびD.コング、 "ルート起源権限のプロファイル(資産収益率)"、RFC 6482、2012年2月。
[RFC6486] Austein, R., Huston, G., Kent, S., and M. Lepinski, "Manifests for the Resource Public Key Infrastructure (RPKI)", RFC 6486, February 2012.
[RFC6486] Austeinと、R.、ヒューストン、G.、ケント、S.、およびM. Lepinski、 "リソース公開鍵インフラストラクチャのためのマニフェスト(RPKI)"、RFC 6486、2012年2月。
[RFC6487] Huston, G., Michaelson, G., and R. Loomans, "A Profile for X.509 PKIX Resource Certificates", RFC 6487, February 2012.
[RFC6487]ヒューストン、G.、マイケルソン、G.、およびR. Loomans、 "X.509 PKIXリソース証明書のプロファイル"、RFC 6487、2012年2月。
[RFC6488] Lepinski, M., Chi, A., and S. Kent, "Signed Object Template for the Resource Public Key Infrastructure (RPKI)", RFC 6488, February 2012.
[RFC6488] Lepinski、M.、チー、A.、およびS.ケントは、RFC 6488、2012年2月 "リソースの公開鍵インフラストラクチャ(RPKI)のためのオブジェクト・テンプレートを署名"。
[RSYNC] rsync web pages, <http://rsync.samba.org/>.
[RSYNC] rsyncのWebページ、<http://rsync.samba.org/>。
[RFC2585] Housley, R. and P. Hoffman, "Internet X.509 Public Key Infrastructure Operational Protocols: FTP and HTTP", RFC 2585, May 1999.
[RFC2585] Housley氏、R.とP.ホフマン、 "インターネットX.509公開鍵基盤運用プロトコル:FTPやHTTP"、RFC 2585、1999年5月。
[RFC3779] Lynn, C., Kent, S., and K. Seo, "X.509 Extensions for IP Addresses and AS Identifiers", RFC 3779, June 2004.
[RFC3779]リン、C.、ケント、S.、およびK.ソ、 "IPアドレスとAS識別子のためのX.509拡張機能"、RFC 3779、2004年6月。
[RFC3986] Berners-Lee, T., Fielding, R., and L. Masinter, "Uniform Resource Identifier (URI): Generic Syntax", STD 66, RFC 3986, January 2005.
[RFC3986]バーナーズ - リー、T.、フィールディング、R.、およびL. Masinter、 "ユニフォームリソース識別子(URI):汎用構文"、STD 66、RFC 3986、2005年1月。
[RFC4387] Gutmann, P., Ed., "Internet X.509 Public Key Infrastructure Operational Protocols: Certificate Store Access via HTTP", RFC 4387, February 2006.
[RFC4387] Gutmann氏、P.、エド、 "インターネットX.509公開鍵基盤運用プロトコル:HTTP経由で証明書ストアへのアクセス"、RFC 4387、2006年2月。
[RFC4648] Josefsson, S., "The Base16, Base32, and Base64 Data Encodings", RFC 4648, October 2006.
[RFC4648] Josefsson氏、S.、 "Base16、Base32、およびBase64でデータエンコーディング"、RFC 4648、2006年10月。
[RFC5226] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 5226, May 2008.
[RFC5226] Narten氏、T.とH. Alvestrand、 "RFCsにIANA問題部に書くためのガイドライン"、BCP 26、RFC 5226、2008年5月。
[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May 2008.
[RFC5280]クーパー、D.、Santesson、S.、ファレル、S.、Boeyen、S.、Housley氏、R.、およびW.ポーク、「インターネットX.509公開鍵暗号基盤証明書と証明書失効リスト(CRL)のプロフィール」、RFC 5280、2008年5月。
[RFC5781] Weiler, S., Ward, D., and R. Housley, "The rsync URI Scheme", RFC 5781, February 2010.
[RFC5781]ワイラー、S.、ウォード、D.、およびR. Housley氏、 "rsyncのURIスキーム"、RFC 5781、2010年2月。
[RFC6480] Lepinski, M. and S. Kent, "An Infrastructure to Support Secure Internet Routing", RFC 6480, February 2012.
[RFC6480] Lepinski、M.とS.ケント、 "安全なインターネットルーティングをサポートするインフラストラクチャ"、RFC 6480、2012年2月。
[RFC6489] Huston, G., Michaelson, G., and S. Kent, "Certification Authority (CA) Key Rollover in the Resource Public Key Infrastructure (RPKI)", BCP 174, RFC 6489, February 2012.
[RFC6489]ヒューストン、G.、マイケルソン、G.、およびS.ケント、 "リソース公開鍵インフラストラクチャにおける認証局(CA)キーロールオーバー(RPKI)"、BCP 174、RFC 6489、2012年2月。
[RFC6490] Huston, G., Weiler, S., Michaelson, G., and S. Kent, "Resource Public Key Infrastructure (RPKI) Trust Anchor Locator", RFC 6490, February 2012.
[RFC6490]ヒューストン、G.、ワイラー、S.、マイケルソン、G.、およびS.ケント、 "リソースの公開鍵インフラストラクチャ(RPKI)トラストアンカーロケータ"、RFC 6490、2012年2月。
Authors' Addresses
著者のアドレス
Geoff Huston APNIC
ジェフ・ヒューストンAPNIC
EMail: gih@apnic.net URI: http://www.apnic.net
電子メール:gih@apnic.net URI:http://www.apnic.net
Robert Loomans APNIC
ロバートLoomans APNIC
EMail: robertl@apnic.net URI: http://www.apnic.net
電子メール:robertl@apnic.net URI:http://www.apnic.net
George Michaelson APNIC
ジョージ・マイケルソンAPNIC
EMail: ggm@apnic.net URI: http://www.apnic.net
電子メール:ggm@apnic.net URI:http://www.apnic.net