[要約] RFC 2559は、LDAPv2を使用したインターネットX.509公開鍵基盤の操作プロトコルに関する規格です。このRFCの目的は、公開鍵基盤の運用に関するプロトコルを定義し、LDAPv2を使用して公開鍵情報を管理するためのガイドラインを提供することです。
Network Working Group S. Boeyen
Request for Comments: 2559 Entrust
Updates: 1778 T. Howes
Category: Standards Track Netscape
P. Richard
Xcert
April 1999
Internet X.509 Public Key Infrastructure
Operational Protocols - LDAPv2
Status of this Memo
このメモの位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (1999). All Rights Reserved.
著作権(C)インターネット協会(1999)。全著作権所有。
The protocol described in this document is designed to satisfy some of the operational requirements within the Internet X.509 Public Key Infrastructure (IPKI). Specifically, this document addresses requirements to provide access to Public Key Infrastructure (PKI) repositories for the purposes of retrieving PKI information and managing that same information. The mechanism described in this document is based on the Lightweight Directory Access Protocol (LDAP) v2, defined in RFC 1777, defining a profile of that protocol for use within the IPKI and updates encodings for certificates and revocation lists from RFC 1778. Additional mechanisms addressing PKIX operational requirements are specified in separate documents.
この文書に記載されているプロトコルは、インターネットX.509公開鍵基盤(IPKI)内の運用要件の一部を満たすように設計されています。具体的には、この文書は、PKIの情報を取得し、その同じ情報を管理する目的のために公開鍵基盤(PKI)のリポジトリへのアクセスを提供するための要件に対応します。この文書で説明するメカニズムは、RFCから取り組む1778年追加のメカニズムを、証明書失効リストのIPKIとアップデートエンコーディング内で使用するためにそのプロトコルのプロファイルを定義し、RFC 1777で定義されたLDAP(Lightweight Directory Access Protocol)のV2に基づいており、 PKIX運用要件は、別の文書で指定されています。
The key words 'MUST', 'REQUIRED', 'SHOULD', 'RECOMMENDED', and 'MAY' in this document are to be interpreted as described in RFC 2119.
キーワード「MUST」、「REQUIRED」は、「推奨」SHOULD '、及び本書ではRFC 2119に記載されるように解釈されるべきである「MAY」。
This specification is part of a multi-part standard for development of a Public Key Infrastructure (PKI) for the Internet. This specification addresses requirements to provide retrieval of X.509 PKI information, including certificates and CRLs from a repository. This specification also addresses requirements to add, delete and modify PKI information in a repository. A profile based on the LDAP version 2 protocol is provided to satisfy these requirements.
この仕様は、インターネットのための公開鍵基盤(PKI)の開発のためのマルチパート規格の一部です。この仕様は、リポジトリからの証明書およびCRLを含むX.509 PKI情報の検索を提供するための要件に対処します。また、この仕様は、リポジトリにPKI情報を、追加、削除および変更するための要件に対応します。 LDAPバージョン2プロトコルに基づいてプロファイルは、これらの要件を満たすために提供されます。
The PKI components, as defined in PKIX Part 1, which are involved in PKIX operational protocol interactions include:
PKIX動作プロトコル相互作用に関与しているPKIXパート1で定義されているPKI成分は、次のとおりです。
- End Entities - Certification Authorities (CA) - Repository
- エンドエンティティ - 証明機関(CA) - リポジトリ
End entities and CAs using LDAPv2, retrieve PKI information from the repository using a subset of the LDAPv2 protocol.
LDAPv2を使用して、エンドエンティティとCAは、LDAPv2のプロトコルのサブセットを使用して、リポジトリからのPKI情報を取得します。
CAs populate the repository with PKI information using a subset of the LDAPv2 protocol.
CAは、LDAPv2のプロトコルのサブセットを使用したPKI情報をレポジトリに公開します。
The following sections examine the retrieval of PKI information from a repository and management of PKI information in a repository. A profile of the LDAPv2 protocol is defined for providing these services.
以下の節では、リポジトリ内のリポジトリとPKI情報の管理からPKI情報の検索を調べます。 LDAPv2プロトコルのプロファイルは、これらのサービスを提供するために定義されています。
Section 5 satisfies the requirement to retrieve PKI information (a certificate, CRL, or other information of interest) from an entry in the repository, where the retrieving entity (either an end entity or a CA) has knowledge of the name of the entry. This is termed "repository read".
セクション5を満たす検索エンティティ(エンドエンティティまたはCAのいずれか)は、エントリの名前を知っているリポジトリ内のエントリからPKI情報(証明書、CRL、または関心のある他の情報)を取得するための要件。これは、「リポジトリの読み取り」と呼ばれています。
Section 6 satisfies the same requirement as 5 for the situation where the name of the entry is not known, but some other related information which may optionally be used as a filter against candidate entries in the repository, is known. This is termed "repository search".
セクション6は、エントリの名前は知られていない状況のために5と同様の要件を満たすが、必要に応じてリポジトリ内の候補エントリに対するフィルタとして使用することができるいくつかの他の関連情報が、知られています。これは、「リポジトリの検索」と呼ばれています。
Section 7 satisfies the requirement of CAs to add, delete and modify PKI information information (a certificate, CRL, or other information of interest)in the repository. This is termed "repository modify".
セクション7を満たすリポジトリにPKI情報情報(証明書、CRL、または関心のある他の情報)を、追加、削除および変更するCAの要件。これは、「リポジトリの変更」と呼ばれています。
The subset of LDAPv2 needed to support each of these functions is described below. Note that the repository search service is a superset of the repository read service in terms of the LDAPv2 functionality needed.
これらの各機能をサポートするために必要なのLDAPv2のサブセットを以下に説明します。リポジトリ検索サービスが必要なのLDAPv2機能面でのリポジトリ読みサービスのスーパーセットであることに注意してください。
Note that all tags are implicit by default in the ASN.1 definitions that follow.
すべてのタグが従うASN.1定義では、デフォルトで暗黙的であることに注意してください。
To retrieve information from an entry corresponding to the subject or issuer name of a certificate, requires a subset of the following three LDAP operations:
証明書のサブジェクトや発行者名に対応するエントリからの情報を取得するには、次の三つのLDAP操作のサブセットが必要です。
BindRequest (and BindResponse) SearchRequest (and SearchResponse) UnbindRequest
BindRequest(およびBindResponse)SearchRequest(およびSearchResponse)UnbindRequestを
The subset of each REQUIRED operation is given below.
各必要な操作のサブセットを以下に示します。
The full LDAP v2 Bind Request is defined in RFC 1777.
完全なLDAP v2のBIND要求は、RFC 1777で定義されています。
An application providing a LDAP repository read service MUST implement the following subset of this operation:
LDAPリポジトリの読み取りサービスを提供するアプリケーションは、この操作の次のサブセットを実装する必要があります。
BindRequest ::=
[APPLICATION 0] SEQUENCE {
version INTEGER (2),
name LDAPDN, -- MUST accept NULL LDAPDN
simpleauth [0] OCTET STRING -- MUST accept NULL simple
}
An application providing a LDAP repository read service MAY implement other aspects of the BindRequest as well.
LDAPリポジトリの読み取りサービスを提供するアプリケーションは、同様にBindRequestの他の側面を実施してもよいです。
Different services may have different security requirements. Some services may allow anonymous search, others may require authentication. Those services allowing anonymous search may choose only to allow search based on certain criteria and not others.
異なるサービスは、異なるセキュリティ要件を有することができます。一部のサービスは、他の人には、認証が必要な場合があり、匿名の検索を可能にすることができます。匿名検索を許可するこれらのサービスは、一定の基準ではなく、他に基づいて検索を可能にするためにのみ選択できます。
A LDAP repository read service SHOULD implement some level of anonymous search access. A LDAP repository read service MAY implement authenticated search access.
LDAPリポジトリの読み取りサービスは、匿名検索アクセスのいくつかのレベルを実装する必要があります。 LDAPリポジトリの読み取りサービスは、認証された検索アクセスを実施することができます。
The full LDAPv2 BindResponse is described in RFC 1777.
フルのLDAPv2 BindResponseは、RFC 1777に記述されています。
An application providing a LDAP repository read service MUST implement this entire protocol element, though only the following error codes may be returned from a Bind operation:
のみ以下のエラーコードは、バインド操作から返されてもよいがLDAPリポジトリ読み出しサービスを提供するアプリケーションは、この全体のプロトコル要素を実装する必要があります。
success (0),
operationsError (1),
protocolError (2),
authMethodNotSupported (7),
noSuchObject (32),
invalidDNSyntax (34),
inappropriateAuthentication (48),
invalidCredentials (49),
busy (51),
unavailable (52),
unwillingToPerform (53),
other (80)
The full LDAPv2 SearchRequest is defined in RFC 1777.
フルのLDAPv2 SearchRequestは、RFC 1777で定義されています。
An application providing a LDAP repository read service MUST implement the following subset of the SearchRequest.
LDAPリポジトリ読んサービスを提供するアプリケーションはSearchRequestの以下のサブセットを実装しなければなりません。
SearchRequest ::=
[APPLICATION 3] SEQUENCE {
baseObject LDAPDN,
scope ENUMERATED {
baseObject (0),
},
derefAliases ENUMERATED {
neverDerefAliases (0),
},
sizeLimit INTEGER (0),
timeLimit INTEGER (0),
attrsOnly BOOLEAN, -- FALSE only
filter Filter,
attributes SEQUENCE OF AttributeType
}
Filter ::=
CHOICE {
present [7] AttributeType, -- "objectclass" only
}
This subset of the LDAPv2 SearchRequest allows the LDAPv2 "read" operation: a base object search with a filter testing for the existence of the objectClass attribute.
objectClass属性の存在のためのフィルタテストとベースオブジェクト検索:のLDAPv2 SearchRequestのこのサブセットは、LDAPv2の「読み取り」動作が可能になります。
An application providing a LDAP repository read service MAY implement other aspects of the SearchRequest as well.
LDAPリポジトリの読み取りサービスを提供するアプリケーションは、同様にSearchRequestの他の側面を実施してもよいです。
The full LDAPv2 SearchResponse is defined in RFC 1777.
フルのLDAPv2 SearchResponseは、RFC 1777で定義されています。
An application providing a LDAP repository read service over LDAPv2 MUST implement the full SearchResponse.
LDAPリポジトリを提供するアプリケーションは、完全なSearchResponseを実装しなければならないのLDAPv2を介してサービスをお読みください。
Note that in the case of multivalued attributes such as userCertificate a SearchResponse containing this attribute will include all values, assuming the requester has sufficient access permissions. The application/relying party may need to select an appropriate value to be used. Also note that retrieval of a certificate from a named entry does not guarantee that the certificate will include that same Distinguished Name (DN) and in some cases the subject DN in the certificate may be NULL.
userCertificateなど多値属性の場合、この属性を含むSearchResponseは、リクエスタが十分なアクセス権を持っていると仮定すると、すべての値が含まれることに留意されたいです。アプリケーション/証明書利用者は、使用する適切な値を選択する必要があります。また、名前のエントリからの証明書の取得証明書が証明書に同一の識別名(DN)といくつかのケースでは、被験体DNがNULLであり得ることを含んでなることを保証するものではありません。
The full LDAPv2 UnbindRequest is defined in RFC 1777.
フルのLDAPv2 UnbindRequestをはRFC 1777で定義されています。
An application providing a LDAP repository read service MUST implement the full UnbindRequest.
LDAPリポジトリの読み取りサービスを提供するアプリケーションは、完全なUnbindRequestをを実装しなければなりません。
To search, using arbitrary criteria, for an entry in a repository containing a certificate, CRL, or other information of interest, requires a subset of the following three LDAP operations:
任意の基準を使用して、検索するために、証明書、CRL、または関心のある他の情報を含むリポジトリ内のエントリのために、以下の三つのLDAP操作のサブセットを必要とします。
BindRequest (and BindResponse) SearchRequest (and SearchResponse) UnbindRequest
BindRequest(およびBindResponse)SearchRequest(およびSearchResponse)UnbindRequestを
The subset of each operation REQUIRED is given below.
必要とされる各オペレーションのサブセットを以下に示します。
The BindRequest and BindResponse subsets needed are the same as those described in Section 5.1.
必要に応じてBindRequestとBindResponseサブセットは、セクション5.1で説明したものと同じです。
The full LDAP v2 Bind Request is defined in RFC 1777.
完全なLDAP v2のBIND要求は、RFC 1777で定義されています。
The full LDAPv2 SearchRequest is defined in RFC 1777.
フルのLDAPv2 SearchRequestは、RFC 1777で定義されています。
An application providing a LDAP repository search service MUST implement the following subset of the SearchRequest protocol unit.
LDAPリポジトリ検索サービスを提供するアプリケーションはSearchRequestプロトコルユニットの次のサブセットを実装しなければなりません。
SearchRequest ::=
[APPLICATION 3] SEQUENCE {
baseObject LDAPDN,
scope ENUMERATED {
baseObject (0),
singleLevel (1),
wholeSubtree (2)
},
derefAliases ENUMERATED {
neverDerefAliases (0),
},
sizeLimit INTEGER (0 .. maxInt),
timeLimit INTEGER (0 .. maxInt),
attrsOnly BOOLEAN, -- FALSE only
filter Filter,
attributes SEQUENCE OF AttributeType
}
All aspects of the SearchRequest MUST be supported, except for the following:
SearchRequestのすべての側面は、以下を除き、サポートされなければなりません:
- Only the neverDerefAliases value of derefAliases needs to be supported
- derefAliasesだけneverDerefAliases値をサポートする必要があります
- Only the FALSE value for attrsOnly needs to be supported
- attrsOnlyにのみFALSE値がサポートされる必要が
This subset provides a more general search capability. It is a superset of the SearchRequest subset defined in Section 5.2.1. The elements added to this service are:
このサブセットは、より一般的な検索機能を提供します。これは、5.2.1項で定義されているSearchRequestサブセットのスーパーセットです。このサービスに追加された要素は、以下のとおりです。
- singleLevel and wholeSubtree scope needs to be supported
- singleLevelとwholeSubtree範囲をサポートする必要があります
- sizeLimit is included
- SIZELIMITは含まれています
- timeLimit is included
- TIMELIMITは含まれています
- Enhanced filter capability
- 強化されたフィルタ機能
An application providing a LDAP repository search service MAY implement other aspects of the SearchRequest as well.
LDAPリポジトリ検索サービスを提供するアプリケーションは、同様にSearchRequestの他の側面を実施してもよいです。
The full LDAPv2 SearchResponse is defined in RFC 1777.
フルのLDAPv2 SearchResponseは、RFC 1777で定義されています。
An application providing a LDAP repository search service over LDAPv2 MUST implement the full SearchResponse.
LDAPv2のオーバーLDAPリポジトリ検索サービスを提供するアプリケーションは、完全なSearchResponseを実装しなければなりません。
An application providing a LDAP repository search service MUST implement the full UnbindRequest.
LDAPリポジトリ検索サービスを提供するアプリケーションは、完全なUnbindRequestをを実装しなければなりません。
To add, delete and modify PKI information in a repository requires a subset of the following LDAP operations:
リポジトリ内のPKI情報を追加、削除および変更するには、次のLDAP操作のサブセットが必要です。
BindRequest (and BindResponse) ModifyRequest (and ModifyResponse) AddRequest (and AddResponse) DelRequest (and DelResponse UnbindRequest
BindRequest(及びBindResponse)ModifyRequest(及びModifyResponse)AddRequest(及びAddResponse)DelRequest(及びDelResponse UnbindRequestを
The subset of each operation REQUIRED is given below.
必要とされる各オペレーションのサブセットを以下に示します。
The full LDAP v2 Bind Request is defined in RFC 1777.
完全なLDAP v2のBIND要求は、RFC 1777で定義されています。
An application providing a LDAP repository modify service MUST implement the following subset of this operation:
この操作の次のサブセットを実装しなければならないサービスを変更LDAPリポジトリを提供するアプリケーション:
BindRequest ::=
[APPLICATION 0] SEQUENCE {
version INTEGER (2),
name LDAPDN,
simpleauth [0] OCTET STRING
}
A LDAP repository modify service MUST implement authenticated access.
LDAPリポジトリは、サービスが認証されたアクセスを実装しなければならない変更します。
The BindResponse subsets needed are the same as those described in Section 5.1.2.
必要なBindResponseサブセットは、5.1.2項で説明したものと同じです。
The full LDAPv2 ModifyRequest is defined in RFC 1777.
フルのLDAPv2 ModifyRequestは、RFC 1777で定義されています。
An application providing a LDAP repository modify service MUST implement the following subset of the ModifyRequest protocol unit.
LDAPリポジトリを提供するアプリケーションは、サービスがModifyRequestプロトコル部の次のサブセットを実装しなければならない変更します。
ModifyRequest ::=
[APPLICATION 6] SEQUENCE {
object LDAPDN,
modification SEQUENCE OF SEQUENCE {
operation ENUMERATED {
add (0),
delete (1)
},
modification SEQUENCE {
type AttributeType,
values SET OF
AttributeValue
}
}
}
All aspects of the ModifyRequest MUST be supported, except for the following:
ModifyRequestのすべての側面は、以下を除き、サポートされなければなりません:
- Only the add and delete values of operation need to be supported
- 動作のみの追加と削除の値がサポートされる必要があります
The full LDAPv2 ModifyResponse is defined in RFC 1777.
フルのLDAPv2 ModifyResponseは、RFC 1777で定義されています。
An application providing a LDAP repository modify service MUST implement the full ModifyResponse.
LDAPリポジトリは、サービスを変更提供するアプリケーションは、完全なModifyResponseを実装しなければなりません。
The full LDAPv2 AddRequest is defined in RFC 1777.
フルのLDAPv2 AddRequestは、RFC 1777で定義されています。
An application providing a LDAP repository modify service MUST implement the full AddRequest.
LDAPリポジトリは、サービスを変更提供するアプリケーションは、完全なAddRequestを実装しなければなりません。
The full LDAPv2 AddResponse is defined in RFC 1777.
フルのLDAPv2 AddResponseは、RFC 1777で定義されています。
An application providing a LDAP repository modify service MUST implement the full AddResponse.
LDAPリポジトリ変更サービスを提供するアプリケーションは、完全なAddResponseを実装しなければなりません。
The full LDAPv2 DelRequest is defined in RFC 1777.
フルのLDAPv2 DelRequestは、RFC 1777で定義されています。
An application providing a LDAP repository modify service MUST implement the full DelRequest.
LDAPリポジトリは、サービスを変更提供するアプリケーションは、完全なDelRequestを実装しなければなりません。
The full LDAPv2 DelResponse is defined in RFC 1777.
フルのLDAPv2 DelResponseは、RFC 1777で定義されています。
An application providing a LDAP repository modify service MUST implement the full DelResponse.
LDAPリポジトリは、サービスを変更提供するアプリケーションは、完全なDelResponseを実装しなければなりません。
An application providing a LDAP repository modify service MUST implement the full UnbindRequest.
LDAPリポジトリフルUnbindRequestをを実装しなければならないサービスを変更を提供するアプリケーション。
When conveyed in LDAP requests and results, attributes defined in X.500 are to be encoded using string representations defined in RFC 1778, The String Representation of Standard Attribute Syntaxes. These string encodings were based on the attribute definitions from X.500(1988). Thus, the string representations of the PKI information elements are for version 1 certificates and version 1 revocation lists. Since this specification uses version 3 certificates and version 2 revocation lists, as defined in X.509(1997), the RFC 1778 string encoding of these attributes is inappropriate.
LDAP要求と結果に搬送する場合、X.500で定義された属性は、RFC 1778で定義された文字列表現を使用してエンコードされる、標準の文字列表現は、構文属性。これらの文字列のエンコーディングは、X.500(1988)からの属性定義に基づいていました。したがって、PKI情報要素の文字列表現は、バージョン1の証明書およびバージョン1失効リストのためのものです。この仕様は、バージョン3つの証明書およびバージョン2つの失効リストを使用するためX.509(1997)で定義されるように、これらの属性のRFC 1778文字列エンコーディングは不適切です。
For this reason, these attributes MUST be encoded using a syntax similar to the syntax "Undefined" from section 2.1 of RFC 1778: values of these attributes are encoded as if they were values of type "OCTET STRING", with the string value of the encoding being the DER-encoding of the value itself. For example, when writing a userCertificate to the repository, the CA generates a DER-encoding of the certificate and uses that encoding as the value of the userCertificate attribute in the LDAP Modify request.This encoding style is consistent with the encoding scheme proposed for LDAPv3, which is now being defined within the IETF.
この理由のため、これらの属性は、RFC 1778のセクション2.1から構文「未定義」と同様の構文を使用して符号化されなければならない:彼らは「オクテット文字列」型の値であるかのようにこれらの属性の値は、文字列値と、符号化されます符号化は、値自体のDER符号化です。リポジトリへのuserCertificateを書き込む場合、例えば、CAは証明書のDER符号化を生成し、LDAP変更request.ThisエンコードスタイルでuserCertificate属性の値として、その符号化を使用LDAPv3のために提案された符号化スキームと一致しています現在、IETF内で定義されています。
Note that certificates and revocation lists will be transferred using this mechanism rather than the string encodings in RFC 1778 and client systems which do not understand this encoding may experience problems with these attributes.
証明書失効リストは、このメカニズムではなく、これらの属性に問題が発生する可能性があり、このエンコーディングを理解していないRFC 1778で文字列のエンコーディングとクライアントシステムを使用して転送されることに注意してください。
An application providing a LDAP repository read service, LDAP repository search service, or LDAP repository modify service MUST support LDAPv2 transport over TCP, as defined in Section 3.1 of RFC 1777.
LDAPリポジトリを提供するアプリケーションは、RFC 1777のセクション3.1で定義されたサービスは、TCP上のLDAPv2輸送をサポートしなければならない変更サービス、LDAPリポジトリ検索サービス、またはLDAPリポジトリをお読みください。
An application providing a LDAP repository read service, LDAP repository search service, or LDAP repository modify service MAY support LDAPv2 transport over other reliable transports as well.
LDAPリポジトリを提供するアプリケーションサービスは、他の信頼性の高いトランスポート上でのLDAPv2輸送をサポートするかもしれ変更サービス、LDAPリポジトリ検索サービス、またはLDAPリポジトリをお読みください。
Since the elements of information which are key to the PKI service (certificates and CRLs) are both digitally signed pieces of information, additional integrity service is NOT REQUIRED. As neither information element need be kept secret and anonymous access to such information, for retrieval purposes is generally acceptable, privacy service is NOT REQUIRED for information retrieval requests.
PKIサービス(証明書とCRL)の鍵となる情報要素は情報の両方のデジタル署名された部分であるので、追加の完全性サービスが必要とされません。どちらの情報要素は、検索の目的のために、このような情報の秘密と匿名アクセスを保持する必要があるとして、一般的に許容され、プライバシーサービスは、情報検索の要求は必要ありません。
CAs have additional requirements, including modification of PKI information. Simple authentication alone is not sufficient for these purposes. It is RECOMMENDED that some stronger means of authentication and/or (if simple authentication is used) some means of protecting the privacy of the password is used, (e.g. accept modifications only via physically secure networks, use IPsec, use SSH or TLS or SSL tunnel). Without such authentication, it is possible that a denial-of-service attack could occur where the attacker replaces valid certificates with bogus ones.
CAは、PKI情報の変更を含め、追加の要件があります。単独の簡易認証は、これらの目的のためには十分ではありません。例えば物理的にのみ安全なネットワークを経由して変更を受け入れる(、パスワードのプライバシーを保護するためのいくつかの手段が使用されている(簡易認証が使用されている場合)、いくつかの強力な認証の手段および/またはことを推奨IPsecを使用し、SSHまたはTLSまたはSSLを使用していますトンネル)。こうした認証なしでは、攻撃者が偽のもので有効な証明書を置き換えどこサービス拒否攻撃が発生する可能性があります。
For the LDAP repository modify service, profiled in section 7, there are some specific security considerations with respect to access control. These controls apply to a repository which is under the same management control as the CA. Organizations operating directories are NOT REQUIRED to provide external CAs access permission to their directories.
LDAPリポジトリはセクション7でプロファイルサービスを、修正するために、アクセス制御に関して、いくつかの特定のセキュリティの考慮事項があります。これらのコントロールは、CAと同じ管理制御下にあるリポジトリに適用されますディレクトリを操作する組織は、そのディレクトリに外部のCAのアクセス許可を提供する必要はありません。
The CA MUST have access control permissions allowing it to:
CAは、それを許可するアクセス制御権を持っている必要があります。
For CA entries: - add, modify and delete all PKI attributes for its own directory entry; - add, modify and delete all values of these attributes.
CAエントリの場合: - すべてのPKIは、独自のディレクトリエントリの属性を追加、変更、削除。 - これらの属性のすべての値を追加、変更、削除。
For CRL distribution point entries (if used): - create, modify and delete entries of object class cRLDistributionPoint immediately subordinate to its own entry; - add, modify and delete all attributes, and all values of these attributes for these entries.
CRL配布ポイントのエントリ(使用している場合)の場合: - オブジェクトクラスの作成、変更および削除のエントリはすぐに自身のエントリに従属cRLDistributionPoint。 - 追加、変更およびすべての属性を削除し、これらのエントリにこれらの属性のすべての値。
For subscriber (end-entity) entries: - add, modify and delete the attribute userCertificate and all values of that attribute, issued by this CA to/from these entries.
加入者(エンドエンティティ)エントリの場合: - 、追加、変更、削除、属性のuserCertificateとその属性のすべての値、これらのエントリから/にこのCAによって発行されました。
The CA is the ONLY entity with these permissions.
CAは、これらの権限を持つ唯一の存在です。
An application providing LDAP repository read, LDAP repository search, or LDAP repository modify service as defined in this specification is NOT REQUIRED to implement any additional security features other than those described herein, however an implementation SHOULD do so.
LDAPリポジトリ読み取り、LDAPリポジトリ検索、またはLDAPリポジトリこの仕様で定義されているサービスを変更を提供するアプリケーションは、しかし、実装はそうするべきである、本明細書に記載したもの以外の任意の追加のセキュリティ機能を実装する必要はありません。
[1] Yeong, Y., Howes, T. and S. Kille, "Lightweight Directory Access Protocol", RFC 1777, March 1995.
[1]永、Y.、ハウズ、T.およびS. Kille、 "軽量のディレクトリアクセスプロトコル"、RFC 1777、1995年3月。
[2] Howes, T., Kille, S., Yeong, W. and C. Robbins, "The String Representation of Standard Attribute Syntaxes", RFC 1778, March 1995.
[2]ハウズ、T.、Kille、S.、永、W.とC.ロビンスを、RFC 1778、1995年3月 "標準属性構文の文字列表現を"。
[3] Bradner, S., "Key Words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[3]ブラドナーのは、S.は、BCP 14、RFC 2119、1997年3月の "RFCsにおける使用のためのレベルを示すために"。
Sharon Boeyen Entrust Technologies Limited 750 Heron Road Ottawa, Ontario Canada K1V 1A7
シャロンBoeyenエントラスト・テクノロジーズ・リミテッド750ヘロンロードオタワ、オンタリオカナダK1V 1A7
EMail: sharon.boeyen@entrust.com
メールアドレス:sharon.boeyen@entrust.com
Tim Howes Netscape Communications Corp. 501 E. Middlefield Rd. Mountain View, CA 94043 USA
ティムハウズネットスケープ・コミュニケーションズ・コーポレーション501 E.ミドルRdを。マウンテンビュー、CA 94043 USA
EMail: howes@netscape.com
メールアドレス:howes@netscape.com
Patrick Richard Xcert Software Inc. Suite 1001, 701 W. Georgia Street P.O. Box 10145 Pacific Centre Vancouver, B.C. Canada V7Y 1C6
パトリック・リチャードXcertソフトウェア株式会社スイート1001、701 W.ジョージアストリート私書箱ボックス10145パシフィックセンターバンクーバー、紀元前カナダV7Y 1C6
EMail: patr@xcert.com
メールアドレス:patr@xcert.com
Copyright (C) The Internet Society (1999). All Rights Reserved.
著作権(C)インターネット協会(1999)。全著作権所有。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
この文書とその翻訳は、コピーして他の人に提供し、それ以外についてはコメントまたは派生物は、いかなる種類の制限もなく、全体的にまたは部分的に、準備コピーし、公表して配布することができることを説明したり、その実装を支援することができます、上記の著作権表示とこの段落は、すべてのそのようなコピーや派生物に含まれていることを条件とします。しかし、この文書自体は著作権のための手順はで定義されている場合には、インターネット標準を開発するために必要なものを除き、インターネットソサエティもしくは他のインターネット関連団体に著作権情報や参照を取り除くなど、どのような方法で変更されないかもしれませんインターネット標準化プロセスが続く、または英語以外の言語に翻訳するために、必要に応じなければなりません。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上記の制限は永久で、インターネット学会やその後継者や譲渡者によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とインターネットソサエティおよびインターネットエンジニアリングタスクフォースはすべての保証を否認し、明示または黙示、その情報の利用がない任意の保証を含むがこれらに限定されない「として、」上に設けられています特定の目的への権利または商品性または適合性の黙示の保証を侵害します。