[要約] RFC 3039は、インターネットX.509公開鍵基盤の資格付き証明書プロファイルに関する規格です。このRFCの目的は、資格付き証明書の要件とプロファイルを定義し、信頼性とセキュリティを向上させることです。

Network Working Group                                       S. Santesson
Request for Comments: 3039                                      AddTrust
Category: Standards Track                                        W. Polk
                                                                    NIST
                                                               P. Barzin
                                                                  SECUDE
                                                              M. Nystrom
                                                            RSA Security
                                                            January 2001
        

Internet X.509 Public Key Infrastructure Qualified Certificates Profile

インターネットX.509公開キーインフラストラクチャ資格のある証明書プロファイル

Status of this Memo

本文書の位置付け

This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.

このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。

Copyright Notice

著作権表示

Copyright (C) The Internet Society (2001). All Rights Reserved.

Copyright(c)The Internet Society(2001)。無断転載を禁じます。

Abstract

概要

This document forms a certificate profile for Qualified Certificates, based on RFC 2459, for use in the Internet. The term Qualified Certificate is used to describe a certificate with a certain qualified status within applicable governing law. Further, Qualified Certificates are issued exclusively to physical persons.

このドキュメントは、インターネットで使用するために、RFC 2459に基づいて、適格な証明書の証明書プロファイルを形成します。用語は、適用される統治法の中で特定の適格なステータスを持つ証明書を記述するために使用されます。さらに、資格のある証明書は物理的な人だけに発行されます。

The goal of this document is to define a general syntax independent of local legal requirements. The profile is however designed to allow further profiling in order to meet specific local needs.

このドキュメントの目標は、現地の法的要件とは無関係に一般的な構文を定義することです。ただし、このプロファイルは、特定のローカルニーズを満たすためにさらにプロファイリングできるように設計されています。

It is important to note that the profile does not define any legal requirements for Qualified Certificates.

プロファイルは、資格のある証明書の法的要件を定義していないことに注意することが重要です。

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119.

「必須」、「そうしない」、「必須」、「必要」、「「しない」、「そうでない」、「そうではない」、「そうでない」、「推奨」、「5月」、および「オプション」は、RFC 2119に記載されているとおりに解釈されます。

Table of Contents

目次

   1  Introduction ................................................    2
   2  Requirements and Assumptions ................................    3
   2.1  Properties ................................................    4
   2.2  Statement of Purpose ......................................    5
   2.3  Policy Issues .............................................    5
   2.4  Uniqueness of names .......................................    5
   3  Certificate and Certificate Extensions Profile ..............    6
   3.1  Basic Certificate Fields ..................................    6
   3.1.1  Issuer ..................................................    6
   3.1.2  Subject .................................................    6
   3.2  Certificate Extensions ....................................    9
   3.2.1  Subject Directory Attributes ............................    9
   3.2.2  Certificate Policies ....................................   10
   3.2.3  Key Usage ...............................................   10
   3.2.4  Biometric Information ...................................   11
   3.2.5  Qualified Certificate Statements ........................   12
   4  Security Considerations .....................................   14
   5  References ..................................................   15
   6  Intellectual Property Rights ................................   16
   A  ASN.1 definitions ...........................................   17
   A.1  1988 ASN.1 Module .........................................   17
   A.2  1993 ASN.1 Module .........................................   19
   B  A Note on Attributes ........................................   24
   C.  Example Certificate ........................................   24
   C.1  ASN.1 Structure ...........................................   25
   C.1.1 Extensions ...............................................   25
   C.1.2 The certificate ..........................................   27
   C.2  ASN.1 Dump ................................................   29
   C.3  DER-encoding ..............................................   32
   C.4  CA's public key ...........................................   33
   Authors' Addresses .............................................   34
   Full Copyright Statement .......................................   35
        

1 Introduction

1はじめに

This specification is one part of a family of standards for the X.509 Public Key Infrastructure (PKI) for the Internet. It is based on RFC 2459, which defines underlying certificate formats and semantics needed for a full implementation of this standard.

この仕様は、インターネット用のX.509公開キーインフラストラクチャ(PKI)の基準ファミリーの一部です。これは、この標準の完全な実装に必要な基礎となる証明書形式とセマンティクスを定義するRFC 2459に基づいています。

The standard profiles the format for a specific type of certificates named Qualified Certificates. The term Qualified Certificates and the assumptions that affects the scope of this document are discussed in Section 2.

標準は、適格な証明書という名前の特定のタイプの証明書の形式をプロファイルします。このドキュメントの範囲に影響する資格のある証明書と仮定については、セクション2で説明します。

Section 3 defines requirements on information content in Qualified Certificates. This profile addresses two fields in the basic certificate as well as five certificate extensions. The certificate fields are the subject and issuer fields. The certificate extensions are subject directory attributes, certificate policies, key usage, a private extension for storage of biometric data and a private extension for storage of statements related to Qualified Certificates. The private extensions are presented in the 1993 Abstract Syntax Notation One (ASN.1), but in conformance with RFC 2459 the 1988 ASN.1 module in Appendix A contains all normative definitions (the 1993 module in Appendix A is informative).

セクション3では、資格のある証明書の情報コンテンツに関する要件を定義します。このプロファイルは、基本証明書の2つのフィールドと5つの証明書拡張機能に対応しています。証明書フィールドは、主題および発行者フィールドです。証明書拡張は、サブジェクトディレクトリ属性、証明書ポリシー、主要な使用法、生体認証データの保存のためのプライベート拡張機能、および適格な証明書に関連するステートメントの保存のためのプライベート拡張機能です。プライベートエクステンションは、1993年の要約構文表記1(ASN.1)に表示されますが、RFC 2459に準拠して、付録Aの1988 ASN.1モジュールにはすべての規範的定義が含まれています(付録Aの1993年モジュールには有益です)。

In Section 4, some security considerations are discussed in order to clarify the security context in which Qualified Certificates are assumed to be utilized. Section 5 contains the references.

セクション4では、資格のある証明書が利用されると想定されるセキュリティコンテキストを明確にするために、いくつかのセキュリティに関する考慮事項について説明します。セクション5には参照が含まれています。

Appendix A contains all relevant ASN.1 [X.680] structures that are not already defined in RFC 2459. Appendix B contains a note on attributes. Appendix C contains an example certificate. Appendix D contains authors' addresses and Appendix E contains the IETF Copyright Statement.

付録Aには、RFC 2459でまだ定義されていないすべての関連するASN.1 [X.680]構造が含まれています。付録Bには、属性に関するメモが含まれています。付録Cには、例の証明書が含まれています。付録Dには著者の住所が含まれており、付録EにはIETF著作権ステートメントが含まれています。

It should be noted that this specification does not define the specific semantics of Qualified Certificates, and does not define the policies that should be used with them. That is, this document defines what information should go into Qualified Certificates, but not what that information means. A system that uses Qualified Certificates must define its own semantics for the information in Qualified Certificates. It is expected that laws and corporate policies will make these definitions.

この仕様は、適格な証明書の特定のセマンティクスを定義せず、それらとともに使用すべきポリシーを定義しないことに注意する必要があります。つまり、このドキュメントでは、どの情報が適格な証明書に入金されるべきかを定義しますが、その情報の意味は定義されていません。適格な証明書を使用するシステムは、資格のある証明書の情報の独自のセマンティクスを定義する必要があります。法律と企業ポリシーがこれらの定義を行うことが期待されています。

2 Requirements and Assumptions

2つの要件と仮定

The term "Qualified Certificate" has been used by the European Commission to describe a certain type of certificates with specific relevance for European legislation. This specification is intended to support this class of certificates, but its scope is not limited to this application.

「資格のある証明書」という用語は、欧州委員会によって使用されており、欧州の法律に特定の関連性を持つ特定のタイプの証明書を説明しています。この仕様は、このクラスの証明書をサポートすることを目的としていますが、その範囲はこのアプリケーションに限定されません。

Within this standard the term "Qualified Certificate" is used more generally, describing the format for a certificate whose primary purpose is identifying a person with high level of assurance in public non-repudiation services. The actual mechanisms that will decide whether a certificate should or should not be considered to be a "Qualified Certificate" in regard to any legislation are outside the scope of this standard.

この標準では、「適格証明書」という用語はより一般的に使用され、公共の非repudiationサービスで高いレベルの保証を持つ人を特定する主な目的がある証明書の形式を説明します。証明書が「資格のある証明書」と見なされるべきかどうかを決定すべきかどうかを決定する実際のメカニズムは、この基準の範囲外です。

Harmonization in the field of Qualified Certificates is essential within several aspects that fall outside the scope of RFC 2459. The most important aspects that affect the scope of this specification are:

適格な証明書の分野での調和は、RFC 2459の範囲外にあるいくつかの側面で不可欠です。この仕様の範囲に影響する最も重要な側面は次のとおりです。

- Definition of names and identity information in order to identify the associated subject in a uniform way.

- 関連する主題を均一な方法で識別するための名前と身元情報の定義。

- Definition of information which identifies the CA and the jurisdiction under which the CA operates when issuing a particular certificate.

- 特定の証明書を発行するときにCAとCAが動作する管轄権を特定する情報の定義。

- Definition of key usage extension usage for Qualified Certificates.

- 適格な証明書の主要な使用法拡張使用法の定義。

- Definition of information structure for storage of biometric information.

- 生体認証情報の保存のための情報構造の定義。

- Definition of a standardized way to store predefined statements with relevance for Qualified Certificates.

- 適格な証明書に関連性を持つ事前定義されたステートメントを保存する標準化された方法の定義。

- Requirements for critical extensions.

- 重要な拡張機能の要件。

2.1 Properties
2.1 プロパティ

A Qualified Certificate as defined in this standard is assumed to have the following properties:

この標準で定義されている資格のある証明書は、次のプロパティを持っていると想定されています。

- The certificate is issued by a CA that makes a public statement that the certificate serves the purpose of a Qualified Certificate, as discussed in Section 2.2

- 証明書は、セクション2.2で説明したように、証明書が適格な証明書の目的を果たすという公式声明を作成するCAによって発行されます。

- The certificate indicates a certificate policy consistent with liabilities, practices and procedures undertaken by the CA, as discussed in 2.3

- 証明書は、2.3で説明したように、CAが行った負債、慣行、および手順と一致する証明書ポリシーを示しています。

- The certificate is issued to a natural person (living human being).

- 証明書は自然人(生きている人間)に発行されます。

- The certificate contains an identity based on a pseudonym or a real name of the subject.

- 証明書には、仮名または主題の本名に基づくIDが含まれています。

2.2 Statement of Purpose
2.2 目的説明書

For a certificate to serve the purpose of being a Qualified Certificate, this profile assumes that the CA will have to include in the certificate information that explicitly defines this intent.

資格のある証明書であることを目的とする証明書の場合、このプロファイルは、CAがこの意図を明示的に定義する証明書情報に含める必要があると想定しています。

The function of this information is thus to assist any concerned entity in evaluating the risk associated with creating or accepting signatures that are based on a Qualified Certificate.

したがって、この情報の機能は、適格な証明書に基づいた署名の作成または受け入れに関連するリスクを評価する際に関係するエンティティを支援することです。

This profile defines two complementary ways to include this information:

このプロファイルは、この情報を含める2つの補完的な方法を定義します。

- As information defined by a certificate policy included in the certificate policies extension, and

- 証明書ポリシー拡張に含まれる証明書ポリシーで定義された情報として、および

- As a statement included in the Qualified Certificates Statements extension.

- 適格な証明書のステートメント拡張に含まれるステートメントとして。

2.3 Policy Issues
2.3 ポリシーの問題

Certain policy aspects define the context in which this profile is to be understood and used. It is however outside the scope of this profile to specify any policies or legal aspects that will govern services that issue or utilize certificates according to this profile.

特定のポリシーの側面は、このプロファイルが理解され使用されるコンテキストを定義します。ただし、このプロファイルの範囲外では、このプロファイルに従って証明書を発行または利用するサービスを管理するポリシーまたは法的側面を指定することができます。

It is however assumed that the issuing CA will undertake to follow a publicly available certificate policy that is consistent with its liabilities, practices and procedures.

ただし、発行CAは、その負債、慣行、および手順と一致する公的に利用可能な証明書ポリシーに従うことを引き受けると想定されています。

2.4 Uniqueness of names
2.4 名前の独自性

Distinguished name is originally defined in X.501 [X.501] as a representation of a directory name, defined as a construct that identifies a particular object from among the set of all objects. An object can be assigned a distinguished name without being represented by an entry in the Directory, but this name is then the name its object entry could have had if it were represented in the Directory. In the context of qualified certificates, a distinguished name denotes a set of attribute values [X.501] which forms a name that is unambiguous within a certain domain that forms either a real or a virtual DIT (Directory Information Tree)[X.501]. In the case of subject names the domain is assumed to be at least the issuing domain of the CA. The distinguished name MUST be unique for each subject entity certified by the one CA as defined by the issuer name field, during the whole life time of the CA.

Distinguished Nameは、もともとx.501 [x.501]で、すべてのオブジェクトのセットの中から特定のオブジェクトを識別する構造として定義されたディレクトリ名の表現として定義されています。オブジェクトは、ディレクトリのエントリで表されることなく著名な名前を割り当てることができますが、この名前は、ディレクトリに表された場合にオブジェクトエントリが持つことができる名前です。適格な証明書のコンテキストでは、著名な名前は、実際のDITまたは仮想DIT(ディレクトリ情報ツリー)を形成する特定のドメイン内で明確な名前を形成する属性値[x.501]のセットを示します[x.501]。主題名の場合、ドメインは少なくともCAの発行ドメインであると想定されています。著名な名前は、発行者名フィールドで定義された1つのCAによって認定された各科目エンティティに対して、CAの一生の間に一意でなければなりません。

3 Certificate and Certificate Extensions Profile

3証明書および証明書拡張プロファイル

This section defines a profile for Qualified Certificates. The profile is based on the Internet certificate profile RFC 2459 which in turn is based on the X.509 version 3 format. For full implementation of this section implementers are REQUIRED to consult the underlying formats and semantics defined in RFC 2459.

このセクションでは、適格な証明書のプロファイルを定義します。プロファイルは、インターネット証明書プロファイルRFC 2459に基づいており、X.509バージョン3形式に基づいています。このセクションの完全な実装については、RFC 2459で定義されている基礎となる形式とセマンティクスを参照する必要があります。

ASN.1 definitions relevant for this section that are not supplied by RFC 2459 are supplied in Appendix A.

ASN.1 RFC 2459によって提供されていないこのセクションに関連する定義は、付録Aに提供されています。

3.1 Basic Certificate Fields
3.1 基本的な証明書フィールド

This specification provides additional details regarding the contents of two fields in the basic certificate. These fields are the issuer and subject fields.

この仕様は、基本証明書の2つのフィールドの内容に関する追加の詳細を提供します。これらのフィールドは、発行者および主題フィールドです。

3.1.1 Issuer
3.1.1 発行者

The issuer field SHALL identify the organization responsible for issuing the certificate. The name SHOULD be an officially registered name of the organization.

発行者フィールドは、証明書の発行を担当する組織を特定するものとします。名前は、組織の正式に登録された名前である必要があります。

The identity of the issuer SHALL be specified using an appropriate subset of the following attributes:

発行者の身元は、次の属性の適切なサブセットを使用して指定されなければなりません。

         domainComponent;
         countryName;
         stateOrProvinceName;
         organizationName;
         localityName; and
         serialNumber.
        

Additional attributes MAY be present but they SHOULD NOT be necessary to identify the issuing organization.

追加の属性が存在する場合がありますが、発行組織を特定するために必要はありません。

Attributes present in the issuer field SHOULD be consistent with the laws under which the issuer operates.

発行者フィールドに存在する属性は、発行者が運営する法律と一致する必要があります。

A relying party MAY have to consult associated certificate policies and/or the issuer's CPS, in order to determine the semantics of name fields and the laws under which the issuer operates.

頼る当事者は、名前フィールドのセマンティクスと発行者が運営する法律のセマンティクスを決定するために、関連する証明書ポリシーおよび/または発行者のCPSに相談する必要がある場合があります。

3.1.2 Subject
3.1.2 主題

The subject field of a certificate compliant with this profile SHALL contain a distinguished name of the subject (see 2.4 for definition of distinguished name).

このプロファイルに準拠した証明書の件名フィールドには、識別の著名な名前が含まれているものとします(著名な名前の定義については2.4を参照)。

The subject field SHALL contain an appropriate subset of the following attributes:

サブジェクトフィールドには、次の属性の適切なサブセットが含まれている必要があります。

      countryName;
      commonName;
      surname;
      givenName;
      pseudonym;
      serialNumber;
      organizationName;
      organizationalUnitName;
      stateOrProvinceName
      localityName and
      postalAddress.
        

Other attributes may be present but MUST NOT be necessary to distinguish the subject name from other subject names within the issuer domain.

他の属性が存在する場合がありますが、被験者名を発行者ドメイン内の他のサブジェクト名と区別するために必要ではありません。

Of these attributes, the subject field SHALL include at least one of the following:

これらの属性のうち、サブジェクトフィールドには、少なくとも1つを含むものとします。

Choice I: commonName Choice II: givenName Choice III: pseudonym

選択肢I:CommonName選択II:与えられた名前の選択III:仮名

The countryName attribute value specifies a general context in which other attributes are to be understood. The country attribute does not necessarily indicate the subject's country of citizenship or country of residence, nor does it have to indicate the country of issuance.

CountryName属性値は、他の属性を理解する一般的なコンテキストを指定します。国の属性は、被験者の市民権または居住国を必ずしも示しているわけではなく、発行国を示す必要もありません。

Note: Many X.500 implementations require the presence of countryName in the DIT. In cases where the subject name, as specified in the subject field, specifies a public X.500 directory entry, the countryName attribute SHOULD always be present.

注:多くのX.500の実装では、DITにカントリー名が存在する必要があります。サブジェクト名フィールドで指定されているように、件名がpublic x.500ディレクトリエントリを指定する場合、CountryName属性は常に存在する必要があります。

The commonName attribute value SHALL, when present, contain a name of the subject. This MAY be in the subject's preferred presentation format, or a format preferred by the CA, or some other format. Pseudonyms, nicknames and names with spelling other than defined by the registered name MAY be used. To understand the nature of the name presented in commonName, complying applications MAY have to examine present values of the givenName and surname attributes, or the pseudonym attribute.

CommonName属性値には、存在する場合、サブジェクトの名前が含まれます。これは、被験者の優先プレゼンテーション形式、またはCAが推奨する形式、またはその他の形式である場合があります。登録名で定義されている以外のスペルを伴う仮名、ニックネーム、名前を使用することができます。CommonNameで提示されている名前の性質を理解するには、アプリケーションを順守する必要がある場合があります。

Note: Many client implementations presuppose the presence of the commonName attribute value in the subject field and use this value to display the subject's name regardless of present givenName, surname or pseudonym attribute values.

注:多くのクライアントの実装は、サブジェクトフィールドのCommonName属性値の存在を前提としており、現在の与えられた名、姓、または仮名属性値に関係なく、この値を使用してサブジェクトの名前を表示します。

The surname and givenName attribute types SHALL, if present, contain the registered name of the subject, in accordance with the laws under which the CA prepares the certificate. These attributes SHALL be used in the subject field if the commonName attribute is not present. In cases where the subject only has a single name registered, the givenName attribute SHALL be used and the surname attribute SHALL be omitted.

姓と与えられた属性タイプは、存在する場合、CAが証明書を準備する法律に従って、主題の登録名を含めるものとします。CommonName属性が存在しない場合、これらの属性はサブジェクトフィールドで使用されます。被験者が単一の名前のみが登録されている場合、与えられた名属性を使用し、姓属性を省略するものとします。

The pseudonym attribute type SHALL, if present, contain a pseudonym of the subject. Use of the pseudonym attribute MUST NOT be combined with use of any of the attributes surname and/or givenName.

仮名属性タイプは、存在する場合、主題の仮名を含めるものとします。仮名属性の使用は、姓の属性および/または与えられた属性の使用と組み合わさないでください。

The serialNumber attribute type SHALL, when present, be used to differentiate between names where the subject field would otherwise be identical. This attribute has no defined semantics beyond ensuring uniqueness of subject names. It MAY contain a number or code assigned by the CA or an identifier assigned by a government or civil authority. It is the CA's responsibility to ensure that the serialNumber is sufficient to resolve any subject name collisions.

SerialNumber属性タイプは、存在する場合、サブジェクトフィールドが同一になる名前を区別するために使用するものとします。この属性には、サブジェクト名の一意性を確保する以上の定義されたセマンティクスはありません。CAによって割り当てられた番号またはコードが含まれている場合、または政府または公務員によって割り当てられた識別子が含まれます。SerialNumberがサブジェクト名の衝突を解決するのに十分であることを保証することはCAの責任です。

The organizationName and the organizationalUnitName attribute types SHALL, when present, be used to store the name and relevant information of an organization with which the subject is associated. The type of association between the organization and the subject is beyond the scope of this document.

OrganizationNameおよびOrganizationalUnitname属性タイプは、存在する場合、主題が関連付けられている組織の名前と関連情報を保存するために使用するものとします。組織と主題との間の関連性のタイプは、このドキュメントの範囲を超えています。

The postalAddress, the stateOrProvinceName and the localityName attribute types SHALL, when present, be used to store address and geographical information with which the subject is associated. If an organizationName value also is present then the postalAddress, stateOrProvinceName and localityName attribute values SHALL be associated with the specified organization. The type of association between the postalAddress, stateOrProvinceName and the localityName and either the subject or the organizationName is beyond the scope of this document.

PostalAddress、Stateorprovincename、およびLocalityName属性タイプは、存在する場合、被験者が関連付けられている住所と地理的情報を保存するために使用するものとします。組織名が存在する場合、郵便配置、stateorprovincename、およびlocalityName属性値は、指定された組織に関連付けられます。PostalAddress、Stateorprovincename、およびLocalityNameとの間の関連性のタイプ、および主題または組織名のいずれかは、このドキュメントの範囲を超えています。

Compliant implementations SHALL be able to interpret the attributes named in this section.

準拠の実装は、このセクションで指定された属性を解釈できるものとします。

3.2 Certificate Extensions
3.2 証明書延長

This specification provides additional details regarding the contents of five certificate extensions. These extensions are the subject directory attributes, certificate policies, key usage, private extension for biometric information and private extension for Qualified Certificate statements.

この仕様は、5つの証明書拡張機能の内容に関する追加の詳細を提供します。これらの拡張機能は、サブジェクトディレクトリ属性、証明書ポリシー、主要な使用法、生体認証情報のプライベート拡張機能、および資格のある証明書声明のプライベートエクステンションです。

3.2.1 Subject Directory Attributes
3.2.1 サブジェクトディレクトリ属性

The subjectDirectoryAttributes extension MAY contain additional attributes, associated with the subject, as complement to present information in the subject field and the subject alternative name extension.

subjectDirectoryAttributes拡張には、サブジェクトフィールドと対象の代替名拡張を提示することを補完するために、主題に関連付けられた追加の属性を含めることができます。

Attributes suitable for storage in this extension are attributes, which are not part of the subject's distinguished name, but which MAY still be useful for other purposes (e.g., authorization).

この拡張機能のストレージに適した属性は、被験者の著名な名前の一部ではなく、他の目的(承認など)に役立つ可能性がある属性です。

This extension MUST NOT be marked critical.

この拡張機能は、クリティカルとマークされてはなりません。

Compliant implementations SHALL be able to interpret the following attributes:

準拠の実装は、次の属性を解釈できるものとします。

      title;
      dateOfBirth;
      placeOfBirth;
      gender;
      countryOfCitizenship; and
      countryOfResidence.
        

Other attributes MAY be included according to local definitions.

ローカルの定義に従って、他の属性が含まれる場合があります。

The title attribute type SHALL, when present, be used to store a designated position or function of the subject within the organization specified by present organizational attributes in the subject field. The association between the title, the subject and the organization is beyond the scope of this document.

タイトル属性タイプは、存在する場合、主題分野の現在の組織属性によって指定された組織内の主題の指定された位置または機能を保存するために使用するものとします。タイトル、主題、および組織との関連は、このドキュメントの範囲を超えています。

The dateOfBirth attribute SHALL, when present, contain the value of the date of birth of the subject. The manner in which the date of birth is associated with the subject is outside the scope of this document.

dateofbirth属性は、存在する場合、被験者の生年月日の価値を含めるものとします。生年月日が被験者に関連付けられている方法は、このドキュメントの範囲外です。

The placeOfBirth attribute SHALL, when present, contain the value of the place of birth of the subject. The manner in which the place of birth is associated with the subject is outside the scope of this document.

PlaceOfBirth属性は、存在する場合、被験者の出生場所の価値を含めるものとします。出生地が被験者に関連付けられている方法は、この文書の範囲外です。

The gender attribute SHALL, when present, contain the value of the gender of the subject. For females the value "F" (or "f") and for males the value "M" (or "m") have to be used. The manner in which the gender is associated with the subject is outside the scope of this document.

性別属性は、存在する場合、被験者の性別の価値を含めるものとします。女性の場合、値「f」(または「f」)と男性の値「m」(または「m」)を使用する必要があります。性別が被験者に関連付けられる方法は、このドキュメントの範囲外です。

The countryOfCitizenship attribute SHALL, when present, contain the identifier of at least one of the subject's claimed countries of citizenship at the time that the certificate was issued. If the subject is a citizen of more than one country, more than one country MAY be present. Determination of citizenship is a matter of law and is outside the scope of this document.

Countryofcitizenship属性は、存在する場合、証明書が発行された時点で、被験者の主張された国の少なくとも1つの国の識別子を含むものとします。被験者が複数の国の市民である場合、複数の国が存在する可能性があります。市民権の決定は法律の問題であり、この文書の範囲外です。

The countryOfResidence attribute SHALL, when present, contain the value of at least one country in which the subject is resident. If the subject is a resident of more than one country, more than one country MAY be present. Determination of residence is a matter of law and is outside the scope of this document.

CountryofResidence属性は、存在する場合、被験者が居住者である少なくとも1つの国の価値を含めるものとします。被験者が複数の国の居住者である場合、複数の国が存在する可能性があります。居住の決定は法律の問題であり、この文書の範囲外です。

3.2.2 Certificate Policies
3.2.2 証明書ポリシー

The certificate policies extension SHALL contain the identifier of at least one certificate policy which reflects the practices and procedures undertaken by the CA. The certificate policy extension MAY be marked critical.

証明書ポリシー拡張には、CAが行う慣行と手順を反映する少なくとも1つの証明書ポリシーの識別子が含まれているものとします。証明書のポリシー拡張は重要であるとマークされる場合があります。

Information provided by the issuer stating the purpose of the certificate as discussed in Section 2.2 SHOULD be evident through indicated policies.

セクション2.2で説明した証明書の目的を記載した発行者が提供する情報は、指定されたポリシーを通じて明らかにする必要があります。

The certificate policies extension SHOULD include all policy information needed for validation of the certificate. If policy information is included in the QCStatements extension (see 3.2.5), then this information SHOULD also be defined by indicated policies.

証明書のポリシー拡張には、証明書の検証に必要なすべてのポリシー情報を含める必要があります。ポリシー情報がQCStatements拡張機能に含まれている場合(3.2.5を参照)、この情報は指定されたポリシーによっても定義する必要があります。

Certificate policies MAY be combined with any qualifier defined in RFC 2459.

証明書ポリシーは、RFC 2459で定義されている任意の予選者と組み合わせることができます。

3.2.3 Key Usage
3.2.3 重要な使用法

The key usage extension SHALL be present. If the key usage nonRepudiation bit is asserted then it SHOULD NOT be combined with any other key usage , i.e., if set, the key usage non-repudiation SHOULD be set exclusively.

主要な使用法拡張機能が存在するものとします。主要な使用法の非表現ビットが主張されている場合、他の重要な使用法と組み合わせることはできません。つまり、設定されている場合、キー使用法の非repudiationを独占的に設定する必要があります。

The key usage extension MAY be marked critical.

主要な使用法拡張機能は重要である場合があります。

3.2.4 Biometric Information
3.2.4 生体認証情報

This section defines an extension for storage of biometric information. Biometric information is stored in the form of a hash of a biometric template.

このセクションでは、生体認証情報の保存に関する拡張機能を定義します。生体認証情報は、生体認証テンプレートのハッシュの形で保存されます。

The purpose of this extension is to provide means for authentication of biometric information. The biometric information that corresponds to the stored hash is not stored in this extension, but the extension MAY include an URI pointing to a location where this information can be obtained. If included, this URI does not imply that this is the only way to access this information.

この拡張機能の目的は、生体認証情報の認証手段を提供することです。保存されたハッシュに対応する生体認証情報は、この拡張機能に保存されていませんが、拡張機能には、この情報を取得できる場所を指すURIが含まれる場合があります。含まれている場合、このURIは、これがこの情報にアクセスする唯一の方法であることを意味するものではありません。

It is RECOMMENDED that biometric information in this extension is limited to information types suitable for human verification, i.e., where the decision of whether the information is an accurate representation of the subject is naturally performed by a person. This implies a usage where the biometric information is represented by, for example, a graphical image displayed to the relying party, which MAY be used by the relying party to enhance identification of the subject.

この拡張の生体認証情報は、人間の検証に適した情報タイプに限定されることをお勧めします。つまり、情報が主題の正確な表現であるかどうかの決定は、人によって自然に実行されます。これは、生体認証情報が、頼りになる当事者に表示されるグラフィカルな画像によって表される使用法を意味します。

This extension MUST NOT be marked critical.

この拡張機能は、クリティカルとマークされてはなりません。

      biometricInfo  EXTENSION ::= {
          SYNTAX             BiometricSyntax
          IDENTIFIED BY      id-pe-biometricInfo }
        
      id-pe-biometricInfo OBJECT IDENTIFIER  ::= {id-pe 2}
        
      BiometricSyntax ::= SEQUENCE OF BiometricData
        
      BiometricData ::= SEQUENCE {
          typeOfBiometricData  TypeOfBiometricData,
          hashAlgorithm        AlgorithmIdentifier,
          biometricDataHash    OCTET STRING,
          sourceDataUri        IA5String OPTIONAL }
        
      TypeOfBiometricData ::= CHOICE {
          predefinedBiometricType    PredefinedBiometricType,
          biometricDataID            OBJECT IDENTIFIER }
        
      PredefinedBiometricType ::= INTEGER { picture(0),
          handwritten-signature(1)} (picture|handwritten-signature,...)
        

The predefined biometric type picture, when present, SHALL identify that the source picture is in the form of a displayable graphical image of the subject. The hash of the graphical image SHALL only be calculated over the image data excluding any labels defining the image type.

事前に定義された生体認証型の画像は、存在する場合、ソース画像が被験者の表示可能なグラフィカルな画像の形であることを特定するものとします。グラフィカル画像のハッシュは、画像タイプを定義するラベルを除く画像データに対してのみ計算されます。

The predefined biometric type handwritten-signature, when present, SHALL identify that the source data is in the form of a displayable graphical image of the subject's handwritten signature. The hash of the graphical image SHALL only be calculated over the image data excluding any labels defining the image type.

事前定義された生体認証型手書きの署名は、存在する場合、ソースデータが被験者の手書き署名の表示可能なグラフィカルな画像の形であることを特定するものとします。グラフィカル画像のハッシュは、画像タイプを定義するラベルを除く画像データに対してのみ計算されます。

3.2.5 Qualified Certificate Statements
3.2.5 資格のある証明書声明

This section defines an extension for inclusion of defined statements related to Qualified Certificates.

このセクションでは、適格な証明書に関連する定義されたステートメントを含めるための拡張機能を定義します。

A typical statement suitable for inclusion in this extension MAY be a statement by the issuer that the certificate is issued as a Qualified Certificate in accordance with a particular legal system (as discussed in Section 2.2).

この延長に含めるのに適した典型的な声明は、特定の法制度に従って証明書が適格な証明書として発行されるという発行者による声明である可能性があります(セクション2.2で説明しているように)。

Other statements suitable for inclusion in this extension MAY be statements related to the applicable legal jurisdiction within which the certificate is issued. As an example this MAY include a maximum reliance limit for the certificate indicating restrictions on CA's liability.

この延長に含めるのに適したその他の声明は、証明書が発行された該当する法的管轄権に関連する声明である場合があります。例として、これには、CAの責任に対する制限を示す証明書の最大信頼制限が含まれる場合があります。

Each statement SHALL include an object identifier for the statement and MAY also include optional qualifying data contained in the statementInfo parameter.

各ステートメントには、ステートメントのオブジェクト識別子が含まれ、StatementInfoパラメーターに含まれるオプションの適格なデータも含めることができます。

If the statementInfo parameter is included then the object identifier of the statement SHALL define the syntax and SHOULD define the semantics of this parameter. If the object identifier does not define the semantics, a relying party may have to consult a relevant certificate policy or CPS to determine the exact semantics.

StatementInfoパラメーターが含まれている場合、ステートメントのオブジェクト識別子は構文を定義し、このパラメーターのセマンティクスを定義する必要があります。オブジェクト識別子がセマンティクスを定義していない場合、頼る当事者は、正確なセマンティクスを決定するために、関連する証明書ポリシーまたはCPSを参照する必要がある場合があります。

This extension may be critical or non-critical. If the extension is critical, this means that all statements included in the extension are regarded as critical.

この拡張機能は重要または非クリティカルな場合があります。拡張機能が重要な場合、これは拡張に含まれるすべてのステートメントが重要と見なされることを意味します。

      qcStatements  EXTENSION ::= {
          SYNTAX             QCStatements
          IDENTIFIED BY      id-pe-qcStatements }
        
      id-pe-qcStatements     OBJECT IDENTIFIER ::= { id-pe 3 }
            QCStatements ::= SEQUENCE OF QCStatement
        
      QCStatement ::= SEQUENCE {
          statementId   QC-STATEMENT.&Id({SupportedStatements}),
          statementInfo QC-STATEMENT.&Type
          ({SupportedStatements}{@statementId}) OPTIONAL }
        
      SupportedStatements QC-STATEMENT ::= { qcStatement-1,...}
        
3.2.5.1 Predefined Statements
3.2.5.1 事前定義されたステートメント

This profile includes one predefined object identifier (id-qcs-pkixQCSyntax-v1), identifying conformance with syntax and semantics defined in this profile. This Qualified Certificate profile is referred to as version 1.

このプロファイルには、1つの定義済みオブジェクト識別子(ID-QCS-PKIXQCSYNTAX-V1)が含まれ、このプロファイルで定義されている構文とセマンティクスとの適合性を識別します。この資格のある証明書プロファイルは、バージョン1と呼ばれます。

      qcStatement-1 QC-STATEMENT ::= { SYNTAX SemanticsInformation
          IDENTIFIED BY id-qcs-pkixQCSyntax-v1 }
      --  This statement identifies conformance with syntax and
      --  semantics defined in this Qualified Certificate profile
      --  (Version 1). The SemanticsInformation may optionally contain
      --  additional semantics information as specified.
        
      SemanticsInformation ::= SEQUENCE {
          semanticsIdentifier        OBJECT IDENTIFIER   OPTIONAL,
          nameRegistrationAuthorities NameRegistrationAuthorities
                                                          OPTIONAL }
          (WITH COMPONENTS {..., semanticsIdentifier PRESENT}|
           WITH COMPONENTS {..., nameRegistrationAuthorities PRESENT})
        
      NameRegistrationAuthorities ::=  SEQUENCE SIZE (1..MAX) OF
          GeneralName
        

The SementicsInformation component identified by id-qcs-pkixQCSyntax-v1 MAY contain a semantics identifier and MAY identify one or more name registration authorities.

ID-QCS-PKIXQCSYNTAX-V1によって識別されるsementicsInformationコンポーネントには、セマンティクス識別子が含まれている場合があり、1つ以上の名前登録機関を識別できます。

The semanticsIdentifier component, if present, SHALL contain an OID, defining semantics for attributes and names in basic certificate fields and certificate extensions. The OID may define semantics for all, or for a subgroup of all present attributes and/or names.

Semanticsidentifierコンポーネントは、存在する場合、oidを含むものとし、基本的な証明書フィールドと証明書拡張の属性と名前のセマンティクスを定義します。OIDは、すべての属性および/または名前のサブグループのセマンティクスを定義する場合があります。

The NameRegistrationAuthorities component, if present, SHALL contain a name of one or more name registration authorities, responsible for registration of attributes or names associated with the subject. The association between an identified name registration authority and present attributes MAY be defined by a semantics identifier OID, by a certificate policy (or CPS) or some other implicit factors.

NamereGistrationAuthoritiesコンポーネントは、存在する場合、1つ以上の名前登録当局の名前を含めるものとし、属性または主題に関連する名前の登録を担当します。識別された名前登録機関と現在の属性との関連は、セマンティクス識別子OID、証明書ポリシー(またはCPS)またはその他の暗黙の要因によって定義される場合があります。

If a value of type SemanticsInformation is present in a QCStatement then at least one of the fields semanticsIdentifier and nameRegistrationAuthorities must be present, as indicated.

タイプのセマンティクス情報の値がQCStatementに存在する場合、示されているように、少なくとも1つのフィールドSemanticsidentifierとNameregistrationAuthoritiesが存在する必要があります。

4 Security Considerations

4つのセキュリティ上の考慮事項

The legal value of a digital signature that is validated with a Qualified Certificate will be highly dependent upon the policy governing the use of the associated private key. Both the private key holder as well as the relying party should make sure that the private key is used only with the consent of the legitimate key holder.

資格のある証明書で検証されたデジタル署名の法的価値は、関連する秘密鍵の使用を管理するポリシーに大きく依存します。プライベートキーホルダーと頼る当事者の両方が、秘密鍵が正当なキー保有者の同意を得てのみ使用されることを確認する必要があります。

Since the public keys are for public use with legal implications for involved parties, certain conditions should exist before CAs issue certificates as Qualified Certificates. The associated private keys must be unique for the subject, and must be maintained under the subject's sole control. That is, a CA should not issue a qualified certificate if the means to use the private key is not protected against unintended usage. This implies that the CA have some knowledge about the subject's cryptographic module.

パブリックキーは、関係者に法的影響を伴う公共の使用のためのものであるため、CASの証明書を適格な証明書として発行する前に特定の条件が存在するはずです。関連するプライベートキーは、被験者にとってユニークでなければならず、被験者の唯一のコントロールの下で維持する必要があります。つまり、秘密鍵を使用する手段が意図しない使用法から保護されていない場合、CAは資格のある証明書を発行してはなりません。これは、CAが被験者の暗号化モジュールについてある程度の知識を持っていることを意味します。

The CA must further verify that the public key contained in the certificate is legitimately representing the subject.

CAは、証明書に含まれる公開鍵が主題を正当に表していることをさらに確認する必要があります。

CAs should not issue CA certificates with policy mapping extensions indicating acceptance of another CA's policy unless these conditions are met.

CASは、これらの条件が満たされない限り、別のCAのポリシーの受け入れを示すポリシーマッピング拡張機能でCA証明書を発行する必要はありません。

Combining the nonRepudiation bit in the keyUsage certificate extension with other keyUsage bits may have security implications and this specification therefore recommends against such practices.

KeyUSAGE証明書の拡張機能と他のKeyUSAGEビットとの非表現ビットを組み合わせると、セキュリティに影響がある可能性があり、したがって、この仕様はそのような慣行に対して推奨されます。

The ability to compare two qualified certificates to determine if they represent the same physical entity is dependent on the semantics of the subjects' names. The semantics of a particular attribute may be different for different issuers. Comparing names without knowledge of the semantics of names in these particular certificates may provide misleading results.

2つの適格な証明書を比較して、同じ物理エンティティを表すかどうかを判断する能力は、被験者の名前のセマンティクスに依存します。特定の属性のセマンティクスは、発行者によって異なる場合があります。これらの特定の証明書の名前のセマンティクスの知識のない名前を比較すると、誤解を招く結果が得られる場合があります。

This specification is a profile of RFC 2459. The security considerations section of that document applies to this specification as well.

この仕様はRFC 2459のプロファイルです。そのドキュメントのセキュリティ上の考慮事項セクションは、この仕様にも適用されます。

5 References

5つの参照

[RFC 2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC 2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。

[RFC 2247] Kille, S., Wahl, M., Grimstad, A., Huber, R. and S. Sataluri, "Using Domains in LDAP/X.500 Distinguished Names", RFC 2247, January 1998.

[RFC 2247] Kille、S.、Wahl、M.、Grimstad、A.、Huber、R。、およびS. Sataluri、「LDAP/X.500著名な名前のドメインを使用」、RFC 2247、1998年1月。

[RFC 2459] Housley, R., Ford, W., Polk, W. and D. Solo, "Internet X.509 Public Key Infrastructure: Certificate and CRL Profile", RFC 2459, January 1999.

[RFC 2459] Housley、R.、Ford、W.、Polk、W。and D. Solo、「インターネットX.509公開キーインフラストラクチャ:証明書とCRLプロファイル」、RFC 2459、1999年1月。

[RFC 2985] Nystrom, M. and B. Kaliski, "PKCS #9: Selected Object Classes and Attribute Types Version 2.0", RFC 2985, November 2000.

[RFC 2985] Nystrom、M。およびB. Kaliski、「PKCS#9:選択されたオブジェクトクラスと属性タイプバージョン2.0」、RFC 2985、2000年11月。

[X.501] ITU-T Recommendation X.501: Information Technology - Open Systems Interconnection - The Directory: Models, June 1993.

[X.501] ITU -Tの推奨X.501:情報技術 - オープンシステムの相互接続 - ディレクトリ:モデル、1993年6月。

[X.509] ITU-T Recommendation X.509: Information Technology - Open Systems Interconnection - The Directory: Authentication Framework, June 1997.

[X.509] ITU -Tの推奨X.509:情報技術 - オープンシステムの相互接続 - ディレクトリ:認証フレームワーク、1997年6月。

[X.520] ITU-T Recommendation X.520: Information Technology - Open Systems Interconnection - The Directory: Selected Attribute Types, June 1993.

[X.520] ITU -T推奨X.520:情報技術 - オープンシステムの相互接続 - ディレクトリ:選択された属性タイプ、1993年6月。

[X.680] ITU-T Recommendation X.680: Information Technology - Abstract Syntax Notation One, 1997.

[X.680] ITU -Tの推奨X.680:情報技術 - 抽象的構文表記1、1997。

[ISO 3166] ISO Standard 3166: Codes for the representation of names of countries, 1993.

[ISO 3166] ISO Standard 3166:1993年の名前の表現に関するコード。

6 Intellectual Property Rights

6知的財産権

The IETF takes no position regarding the validity or scope of any intellectual property or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; neither does it represent that it has made any effort to identify any such rights. Information on the IETF's procedures with respect to rights in standards-track and standards related documentation can be found in BCP-11. Copies of claims of rights made available for publication and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementors or users of this specification can be obtained from the IETF Secretariat.

IETFは、知的財産またはその他の権利の有効性または範囲に関して、この文書に記載されているテクノロジーの実装または使用に関連すると主張される可能性のある他の権利、またはそのような権利に基づくライセンスがどの程度であるかについての程度に関連する可能性があるという立場はありません。利用可能;また、そのような権利を特定するために努力したことも表明していません。標準トラックおよび標準関連文書の権利に関するIETFの手順に関する情報は、BCP-11に記載されています。出版のために利用可能にされた権利の請求のコピーと、利用可能になるライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得しようとする試みの結果を得ることができますIETF事務局から。

The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights which may cover technology that may be required to practice this standard. Please address the information to the IETF Executive Director.

IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実践するために必要な技術をカバーする可能性のあるその他の独自の権利を注意深く招待します。情報をIETFエグゼクティブディレクターに宛ててください。

A. ASN.1 definitions

A. ASN.1定義

As in RFC 2459, ASN.1 modules are supplied in two different variants of the ASN.1 syntax.

RFC 2459と同様に、ASN.1モジュールは、ASN.1構文の2つの異なるバリアントで提供されます。

Appendix A.1 is in the 1988 syntax, and does not use macros. However, since the module imports type definitions from modules in RFC 2459 which are not completely in the 1988 syntax, the same comments as in RFC 2459 regarding its use applies here as well; i.e., Appendix A.1 may be parsed by an 1988 ASN.1-parser by removing the definitions for the UNIVERSAL types and all references to them in RFC 2459's 1988 modules.

付録A.1は1988年の構文にあり、マクロは使用しません。ただし、モジュールは1988年の構文に完全にはないRFC 2459のモジュールからの定義をインポートするため、RFC 2459と同じコメントがここにも当てはまります。つまり、付録A.1は、RFC 2459の1988モジュールで、ユニバーサルタイプの定義とそれらへのすべての参照を削除することにより、1988 ASN.1-Parserによって解析される場合があります。

Appendix A.2 is in the 1993 syntax. However, since the module imports type definitions from modules in RFC 2459 which are not completely in the 1993 syntax, the same comments as in RFC 2459 regarding its use applies here as well; i.e., Appendix A.2 may be parsed by an 1993 ASN.1-parser by removing the UTF8String choice from the definition of DirectoryString in the module PKIX1Explicit93 in RFC 2459. Appendix A.2 may be parsed "as is" by an 1997 ASN.1 parser, however.

付録A.2は1993年の構文にあります。ただし、モジュールは1993年の構文に完全にはないRFC 2459のモジュールから定義をインポートするため、RFC 2459と同じコメントがここにも当てはまります。つまり、付録A.2は、RFC 2459のモジュールpkix1explicit93のディレクトリストリングの定義からUTF8ストリングの選択を削除することにより、1993年のASN.1-Parserによって解析される場合があります。.1パーサー、ただし。

In case of discrepancies between these modules, the 1988 module is the normative one.

これらのモジュール間で矛盾がある場合、1988年モジュールは規範的なモジュールです。

A.1 1988 ASN.1 Module
A.1 1988 ASN.1モジュール
PKIXqualified88 {iso(1) identified-organization(3) dod(6)
    internet(1) security(5) mechanisms(5) pkix(7) id-mod(0)
    id-mod-qualified-cert-88(10) }
        
DEFINITIONS EXPLICIT TAGS ::=
        

BEGIN

始める

-- EXPORTS ALL --

- すべてエクスポート -

IMPORTS

輸入

GeneralName
    FROM PKIX1Implicit88 {iso(1) identified-organization(3) dod(6)
    internet(1) security(5) mechanisms(5) pkix(7) id-mod(0)
    id-pkix1-implicit-88(2)}
        
AlgorithmIdentifier, DirectoryString, Attribute, AttributeType,
    id-pkix, id-pe, id-at
    FROM PKIX1Explicit88 {iso(1) identified-organization(3) dod(6)
    internet(1) security(5) mechanisms(5) pkix(7) id-mod(0)
    id-pkix1-explicit-88(1)};
        

-- Locally defined OIDs

- ローカルで定義されたOID

-- Arc for QC personal data attributes
id-pda  OBJECT IDENTIFIER ::= { id-pkix 9 }
-- Arc for QC statements
id-qcs  OBJECT IDENTIFIER ::= { id-pkix 11 }
        

-- Attributes

- 属性

id-at-serialNumber          AttributeType ::= { id-at 5 }
SerialNumber ::=            PrintableString (SIZE(1..64))
        
id-at-postalAddress         AttributeType ::= { id-at 16 }
PostalAddress ::=           SEQUENCE SIZE (1..6) OF DirectoryString
        
id-at-pseudonym             AttributeType ::= { id-at 65 }
Pseudonym ::=               DirectoryString
        
domainComponent             AttributeType ::=
                            { 0 9 2342 19200300 100 1 25 }
DomainComponent ::=         IA5String
        
id-pda-dateOfBirth          AttributeType ::= { id-pda 1 }
DateOfBirth ::=             GeneralizedTime
        
id-pda-placeOfBirth         AttributeType ::= { id-pda 2 }
PlaceOfBirth ::=            DirectoryString
        
id-pda-gender               AttributeType ::= { id-pda 3 }
Gender ::=                  PrintableString (SIZE(1))
                            -- "M", "F", "m" or "f"
        
id-pda-countryOfCitizenship AttributeType ::= { id-pda 4 }
CountryOfCitizenship ::=    PrintableString (SIZE (2))
                            -- ISO 3166 Country Code
        
id-pda-countryOfResidence   AttributeType ::= { id-pda 5 }
CountryOfResidence ::=      PrintableString (SIZE (2))
                            -- ISO 3166 Country Code
        

-- Private extensions

- プライベートエクステンション

-- Biometric info extension

- 生体認証情報拡張

id-pe-biometricInfo OBJECT IDENTIFIER  ::= {id-pe 2}
BiometricSyntax ::= SEQUENCE OF BiometricData
        
BiometricData ::= SEQUENCE {
    typeOfBiometricData  TypeOfBiometricData,
    hashAlgorithm        AlgorithmIdentifier,
    biometricDataHash    OCTET STRING,
    sourceDataUri        IA5String OPTIONAL }
        
TypeOfBiometricData ::= CHOICE {
    predefinedBiometricType   PredefinedBiometricType,
    biometricDataOid          OBJECT IDENTIFIER }
        
PredefinedBiometricType ::= INTEGER {
    picture(0),handwritten-signature(1)}
    (picture|handwritten-signature)
        

-- QC Statements Extension

-QCステートメント拡張機能

id-pe-qcStatements OBJECT IDENTIFIER ::= { id-pe 3}
        
QCStatements ::= SEQUENCE OF QCStatement
        
QCStatement ::= SEQUENCE {
    statementId        OBJECT IDENTIFIER,
    statementInfo      ANY DEFINED BY statementId OPTIONAL}
        
-- QC statements
id-qcs-pkixQCSyntax-v1   OBJECT IDENTIFIER ::= { id-qcs 1 }
        
--  This statement identifies conformance with syntax and
--  semantics defined in this Qualified Certificate profile
--  (Version 1). This statement may optionally contain
--  additional semantics information as specified below.
        
SemanticsInformation  ::= SEQUENCE {
    semanticsIndentifier        OBJECT IDENTIFIER OPTIONAL,
    nameRegistrationAuthorities NameRegistrationAuthorities OPTIONAL
    } -- At least one field shall be present
        
NameRegistrationAuthorities ::= SEQUENCE SIZE (1..MAX) OF GeneralName
        

END

終わり

A.2 1993 ASN.1 Module
A.2 1993 ASN.1モジュール
PKIXqualified93 {iso(1) identified-organization(3) dod(6)
    internet(1) security(5) mechanisms(5) pkix(7) id-mod(0)
    id-mod-qualified-cert-93(11) }
        
DEFINITIONS EXPLICIT TAGS ::=
        

BEGIN

始める

-- EXPORTS ALL --

- すべてエクスポート -

IMPORTS

輸入

authorityKeyIdentifier, subjectKeyIdentifier, keyUsage,
    extendedKeyUsage, privateKeyUsagePeriod, certificatePolicies,
    policyMappings, subjectAltName, issuerAltName, basicConstraints,
    nameConstraints, policyConstraints, cRLDistributionPoints,
    subjectDirectoryAttributes, authorityInfoAccess, GeneralName,
    OTHER-NAME
    FROM PKIX1Implicit93 {iso(1) identified-organization(3) dod(6)
    internet(1) security(5) mechanisms(5) pkix(7) id-mod(0)
    id-pkix1-implicit-93(4)}
        
id-pkix, AlgorithmIdentifier, ATTRIBUTE, Extension, EXTENSION,
    DirectoryString{}, ub-name, id-pe, id-at, id-at-commonName,
    id-at-surname, id-at-countryName, id-at-localityName,
    id-at-stateOrProvinceName, id-at-organizationName,
    id-at-organizationalUnitName, id-at-givenName, id-at-dnQualifier,
    pkcs9email, title, organizationName, organizationalUnitName,
    stateOrProvinceName, localityName, countryName,
    generationQualifier, dnQualifier, initials, givenName, surname,
    commonName, name
    FROM PKIX1Explicit93 {iso(1) identified-organization(3) dod(6)
    internet(1) security(5) mechanisms(5) pkix(7) id-mod(0)
    id-pkix1-explicit-93(3)};
        

-- Object Identifiers

- オブジェクト識別子

-- Externally defined OIDs
id-at-serialNumber  OBJECT IDENTIFIER ::= { id-at 5}
id-at-postalAddress OBJECT IDENTIFIER ::= { id-at 16 }
id-at-pseudonym     OBJECT IDENTIFIER ::= { id-at 65 }
id-domainComponent  OBJECT IDENTIFIER ::= { 0 9 2342 19200300 100 1 25 }
        

-- Locally defined OIDs

- ローカルで定義されたOID

-- Arc for QC personal data attributes

- QCの個人データ属性のARC

id-pda  OBJECT IDENTIFIER ::= { id-pkix 9 }
-- Arc for QC statements
id-qcs  OBJECT IDENTIFIER ::= { id-pkix 11 }
        
-- Private extensions
id-pe-biometricInfo         OBJECT IDENTIFIER ::= { id-pe 2 }
id-pe-qcStatements          OBJECT IDENTIFIER ::= { id-pe 3 }
        
-- Personal data attributes
id-pda-dateOfBirth          OBJECT IDENTIFIER ::= { id-pda 1 }
id-pda-placeOfBirth         OBJECT IDENTIFIER ::= { id-pda 2 }
id-pda-gender               OBJECT IDENTIFIER ::= { id-pda 3 }
id-pda-countryOfCitizenship OBJECT IDENTIFIER ::= { id-pda 4 }
id-pda-countryOfResidence   OBJECT IDENTIFIER ::= { id-pda 5 }
        
-- QC statements
id-qcs-pkixQCSyntax-v1      OBJECT IDENTIFIER ::= { id-qcs 1 }
        

-- Object Sets

- オブジェクトセット

-- The following information object set is defined to constrain the
-- set of legal certificate extensions. Note that this set is an
-- extension of the ExtensionSet defined in RFC 2459.
ExtensionSet EXTENSION ::= {
    authorityKeyIdentifier |
    subjectKeyIdentifier |
    keyUsage |
    extendedKeyUsage |
    privateKeyUsagePeriod |
    certificatePolicies |
    policyMappings |
    subjectAltName |
    issuerAltName |
    basicConstraints |
    nameConstraints |
    policyConstraints |
    cRLDistributionPoints |
    subjectDirectoryAttributes |
    authorityInfoAccess |
    biometricInfo |
    qcStatements, ... }
        
-- The following information object set is defined to constrain the
-- set of attributes applications are required to recognize in
-- distinguished names. The set may of course be augmented to meet
-- local requirements.  Note that deleting members of the set may
-- prevent interoperability with conforming implementations, and that
-- this set is an extension of the SupportedAttributes set in RFC 2459.
        
SupportedAttributes ATTRIBUTE ::= {
    countryName | commonName | surname | givenName | pseudonym |
    serialNumber | organizationName | organizationalUnitName |
    stateOrProvinceName | localityName | postalAddress |
        

pkcs9email | domainComponent | dnQualifier, ... -- For future extensions -- }

PKCS9EMAIL |DomainComponent |dnqualifier、... - 将来の拡張機能 - }

-- The following information object set is defined to constrain the
-- set of attributes applications are required to recognize in
-- subjectDirectoryAttribute extensions. The set may be augmented to
-- meet local requirements.  Note that deleting members of the set
-- may prevent interoperability with conforming implementations.
PersonalDataAttributeSet ATTRIBUTE ::= {
    title | dateOfBirth | placeOfBirth | gender | countryOfCitizenship |
    countryOfResidence, ... }
        

-- Attributes

- 属性

-- serialNumber from X.520
serialNumber ATTRIBUTE ::= {
    WITH SYNTAX PrintableString (SIZE(1..64))
    ID          id-at-serialNumber }
        
-- postalAddress from X.520
postalAddress ATTRIBUTE ::= {
    WITH SYNTAX SEQUENCE SIZE (1..6) OF DirectoryString { 30 }
    ID          id-at-postalAddress }
        
-- pseudonym from (forthcoming) X.520)
pseudonym ATTRIBUTE ::= {
    WITH SYNTAX DirectoryString { ub-name }
    ID          id-at-pseudonym }
        
-- domainComponent from RFC 2247
domainComponent ATTRIBUTE ::= {
    WITH SYNTAX IA5String
    ID          id-domainComponent }
        
dateOfBirth ATTRIBUTE ::= {
    WITH SYNTAX GeneralizedTime
    ID          id-pda-dateOfBirth }
        
placeOfBirth ATTRIBUTE ::= {
    WITH SYNTAX DirectoryString { ub-name }
    ID          id-pda-placeOfBirth }
        
gender ATTRIBUTE ::= {
    WITH SYNTAX PrintableString (SIZE(1) ^ FROM("M"|"F"|"m"|"f"))
    ID          id-pda-gender }
        
countryOfCitizenship ATTRIBUTE ::= {
    WITH SYNTAX PrintableString (SIZE (2))
        
        (CONSTRAINED BY { -- ISO 3166 codes only -- })
    ID          id-pda-countryOfCitizenship }
        
countryOfResidence ATTRIBUTE ::= {
    WITH SYNTAX PrintableString (SIZE (2))
        (CONSTRAINED BY { -- ISO 3166 codes only -- })
    ID          id-pda-countryOfResidence }
        

-- Private extensions

- プライベートエクステンション

-- Biometric info extension

- 生体認証情報拡張

biometricInfo  EXTENSION ::= {
    SYNTAX             BiometricSyntax
    IDENTIFIED BY      id-pe-biometricInfo }
        
BiometricSyntax ::= SEQUENCE OF BiometricData
        
BiometricData ::= SEQUENCE {
    typeOfBiometricData TypeOfBiometricData,
    hashAlgorithm       AlgorithmIdentifier,
    biometricDataHash   OCTET STRING,
    sourceDataUri       IA5String OPTIONAL,
    ... -- For future extensions -- }
        
TypeOfBiometricData ::= CHOICE {
    predefinedBiometricType PredefinedBiometricType,
    biometricDataOid        OBJECT IDENTIFIER }
        
PredefinedBiometricType ::= INTEGER { picture(0),
    handwritten-signature(1)} (picture|handwritten-signature,...)
        

-- QC Statements Extension

-QCステートメント拡張機能

qcStatements  EXTENSION ::= {
    SYNTAX        QCStatements
    IDENTIFIED BY id-pe-qcStatements }
        
QCStatements ::= SEQUENCE OF QCStatement
        
QCStatement ::= SEQUENCE {
    statementId   QC-STATEMENT.&id({SupportedStatements}),
    statementInfo QC-STATEMENT.&Type
    ({SupportedStatements}{@statementId}) OPTIONAL }
        
QC-STATEMENT ::= CLASS {
    &id   OBJECT IDENTIFIER UNIQUE,
    &Type OPTIONAL }
        
WITH SYNTAX {
    [SYNTAX &Type] IDENTIFIED BY &id }
        
qcStatement-1 QC-STATEMENT ::= { SYNTAX SemanticsInformation
    IDENTIFIED BY id-qcs-pkixQCSyntax-v1}
    --  This statement identifies conformance with syntax and
    --  semantics defined in this Qualified Certificate profile
    --  (Version 1). The SemanticsInformation may optionally contain
    --  additional semantics information as specified.
        
SemanticsInformation ::= SEQUENCE {
    semanticsIdentifier         OBJECT IDENTIFIER OPTIONAL,
    nameRegistrationAuthorities NameRegistrationAuthorities OPTIONAL
    }(WITH COMPONENTS {..., semanticsIdentifier PRESENT}|
      WITH COMPONENTS {..., nameRegistrationAuthorities PRESENT})
        
NameRegistrationAuthorities ::= SEQUENCE SIZE (1..MAX) OF GeneralName
        
-- The following information object set is defined to constrain the
-- set of attributes applications are required to recognize as QCSs.
SupportedStatements QC-STATEMENT ::= {
    qcStatement-1, ... -- For future extensions -- }
        

END

終わり

B. A Note on Attributes

B.属性に関するメモ

This document defines several new attributes, both for use in the subject field of issued certificates and in the subjectDirectoryAttributes extension. In the interest of conformity, they have been defined here using the ASN.1 ATTRIBUTE definition from RFC 2459, which is sufficient for the purposes of this document, but greatly simplified in comparison with ISO/ITU's definition. A complete definition of these new attributes (including matching rules), along with object classes to support them in LDAP-accessible directories, can be found in [PKCS 9].

このドキュメントでは、発行された証明書の主題分野と件名Directoryattributes拡張機能の両方で使用するためのいくつかの新しい属性を定義します。適合性のために、これらはこのドキュメントの目的で十分なRFC 2459のASN.1属性定義を使用してここで定義されていますが、ISO/ITUの定義と比較して非常に簡素化されています。これらの新しい属性(一致するルールを含む)の完全な定義と、LDAPアクセス可能なディレクトリでそれらをサポートするオブジェクトクラスは、[PKCS 9]に記載されています。

C. Example Certificate

C.証明書の例

This section contains the ASN.1 structure, an ASN.1 dump, and the DER-encoding of a certificate issued in conformance with this profile. The example has been developed with the help of the OSS ASN.1 compiler. The certificate has the following characteristics:

このセクションには、ASN.1構造、ASN.1ダンプ、およびこのプロファイルに準拠して発行された証明書のderエンコードが含まれています。この例は、OSS ASN.1コンパイラの助けを借りて開発されました。証明書には次の特性があります。

1. The certificate is signed with RSA and the SHA-1 hash algorithm 2. The issuer's distinguished name is O=GMD - Forschungszentrum Informationstechnik GmbH; C=DE

1. 証明書は、RSAとSHA -1ハッシュアルゴリズム2で署名されています。発行者の著名な名前はO = GMD -Forschungszentrum InformationStechnik GmbHです。c = de

3. The subject's distinguished name is CN=Petra M. Barzin, O=GMD - Forschungszentrum Informationstechnik GmbH, C=DE 4. The certificate was issued on May 1, 2000 and will expire on November 1, 2000 5. The certificate contains a 1024 bit RSA key 6. The certificate includes a critical key usage extension exclusively indicating non-repudiation 7. The certificate includes a certificate policy identifier extension indicating the practices and procedures undertaken by the issuing CA (object identifier 1.3.36.8.1.1). The certificate policy object identifier is defined by TeleTrust, Germany. It is required to be set in a certificate conformant to the German digital signature law. 8. The certificate includes a subject directory attributes extension containing the following attributes:

3. 被験者の著名な名前はCN = Petra M. Barzin、O = GMD -Forschungszentrum InformationStechnik GmbH、C = DE 4です。証明書は2000年5月1日に発行され、2000年11月1日に期限切れになります。RSAキー6.証明書には、非repudiationのみを示す重要なキー使用拡張が含まれます。7。証明書ポリシーオブジェクト識別子は、ドイツのテレトラストによって定義されます。ドイツのデジタル署名法に準拠した証明書に設定する必要があります。8.証明書には、次の属性を含む主題ディレクトリ属性拡張機能が含まれます。

surname: Barzin given name: Petra date of birth: October, 14th 1971 place of birth: Darmstadt country of citizenship:Germany gender: Female

姓:バージン名:ペトラ生年月日:1971年10月14日生年月日:ダルムシュタット市民権の国:ドイツ性別:女性

9. The certificate includes a qualified statement private extension indicating that the naming registration authority's name as "municipality@darmstadt.de". 10. The certificate includes, in conformance with RFC 2459, an authority key identifier extension.

9. 証明書には、命名登録局の名前が「都市@darmstadt.de」として名前があることを示す適格な声明のプライベート拡張機能が含まれています。10.証明書には、RFC 2459に準拠して、権限のキー識別子拡張機能が含まれます。

C.1 ASN.1 Structure
C.1 ASN.1構造
C.1.1 Extensions
C.1.1 拡張機能

Since extensions are DER-encoded already when placed in the structure to be signed, they are for clarity shown here in the value notation defined in [X.680].

拡張機能は署名されている構造に配置されているときにすでにder-Encodedであるため、[x.680]で定義されている値表記に明確に示されています。

C.1.1.1 The subjectDirectoryAttributes extension
C.1.1.1 subjectdirectoryattributes拡張機能
   petrasSubjDirAttrs AttributesSyntax ::= {
       {
           type id-pda-countryOfCitizenship,
           values {
               PrintableString : "DE"
           }
       },
       {
           type id-pda-gender,
              values {
               PrintableString : "F"
           }
       },
       {
           type id-pda-dateOfBirth,
           values {
               GeneralizedTime : "197110140000Z"
           }
       },
       {
           type id-pda-placeOfBirth,
           values {
               DirectoryString : utf8String : "Darmstadt"
           }
       }
   }
        
C.1.1.2 The keyUsage extension
C.1.1.2 KeyUSAGE拡張機能
   petrasKeyUsage KeyUsage ::= {nonRepudiation}
        
C.1.1.3 The certificatePolicies extension
C.1.1.3 証明書の拡張機能
   petrasCertificatePolicies CertificatePoliciesSyntax ::= {
       {
           policyIdentifier {1 3 36 8 1 1}
       }
   }
        
C.1.1.4 The qcStatements extension
C.1.1.4 QCStatements拡張機能
   petrasQCStatement QCStatements ::= {
       {
           statementId   id-qcs-pkixQCSyntax-v1,
           statementInfo SemanticsInformation : {
               nameRegistrationAuthorities {
                   rfc822Name : "municipality@darmstadt.de"
               }
          }
       }
   }
        
C.1.1.5 The authorityKeyIdentifier extension
C.1.1.5 authorideyidentifier拡張機能
   petrasAKI AuthorityKeyIdentifier ::= {
       keyIdentifier '000102030405060708090A0B0C0D0E0FFEDCBA98'H
   }
        
C.1.2 The certificate
C.1.2 証明書

The signed portion of the certificate is shown here in the value notation defined in [X.680]. Note that extension values are already DER encoded in this structure. Some values has been truncated for readability purposes.

証明書の署名された部分は、[x.680]で定義されている値表記にここに示されています。この構造では、拡張値はすでにderエンコードされていることに注意してください。読みやすさのためにいくつかの値が切り捨てられています。

   {
     version v3,
     serialNumber 1234567890,
     signature
     {
       algorithm { 1 2 840 113549 1 1 5 },
       parameters RSAParams : NULL
     },
     issuer rdnSequence :
       {
         {
           {
             type { 2 5 4 6 },
             value PrintableString : "DE"
           }
         },
         {
           {
             type { 2 5 4 10 },
             value UTF8String :
               "GMD - Forschungszentrum Informationstechnik GmbH"
           }
         }
       },
     validity
     {
       notBefore utcTime : "000501100000Z",
       notAfter utcTime : "001101100000Z"
     },
     subject rdnSequence :
       {
         {
           {
             type { 2 5 4 6 },
             value PrintableString : "DE"
           }
         },
         {
           {
             type { 2 5 4 10 },
             value UTF8String :
        
               "GMD Forschungszentrum Informationstechnik GmbH"
           }
         },
         {
           {
             type { 2 5 4 4 },
             value UTF8String : "Barzin"
           },
           {
             type { 2 5 4 42 },
             value UTF8String : "Petra"
           }
         }
       },
     subjectPublicKeyInfo
     {
       algorithm
       {
         algorithm { 1 2 840 113549 1 1 1 },
         parameters RSAParams : NULL
       },
       subjectPublicKey '00110000 10000001 10000111 00000010 1000 ...'B
     },
     extensions
     {
       {
         extnId { 2 5 29 9 },  -- subjectDirectoryAttributes
         extnValue '305B301006082B06010505070904310413024445300F0 ...'H
       },
       {
         extnId { 2 5 29 15 }, -- keyUsage
         critical TRUE,
         extnValue '03020640'H
       },
       {
         extnId { 2 5 29 32 }, -- certificatePolicies
         extnValue '3009300706052B24080101'H
       },
       {
         extnId { 2 5 29 35 }, -- authorityKeyIdentifier
         extnValue '30168014000102030405060708090A0B0C0D0E0FFEDCBA98'H
       },
       {
         extnId { 1 3 6 1 5 5 7 1 3 }, -- qcStatements
         extnValue '302B302906082B06010505070B01301D301B81196D756 ...'H
       }
     }
   }
        
C.2 ASN.1 dump
C.2 ASN.1ダンプ

This section contains an ASN.1 dump of the signed portion of the certificate. Some values has been truncated for readability purposes.

このセクションには、証明書の署名された部分のASN.1ダンプが含まれています。読みやすさのためにいくつかの値が切り捨てられています。

   TBSCertificate SEQUENCE: tag = [UNIVERSAL 16] constructed;
     length = 631
     version : tag = [0] constructed; length = 3
       Version INTEGER: tag = [UNIVERSAL 2] primitive; length = 1
         2
     serialNumber CertificateSerialNumber INTEGER: tag = [UNIVERSAL 2]
       primitive; length = 4
       1234567890
     signature AlgorithmIdentifier SEQUENCE: tag = [UNIVERSAL 16]
       constructed; length = 13
       algorithm OBJECT IDENTIFIER: tag = [UNIVERSAL 6] primitive;
         length = 9
         { 1 2 840 113549 1 1 5 }
       parameters OpenType: NULL: tag = [UNIVERSAL 5] primitive;
         length = 0
         NULL
     issuer Name CHOICE
       rdnSequence RDNSequence SEQUENCE OF: tag = [UNIVERSAL 16]
         constructed; length = 72
         RelativeDistinguishedName SET OF: tag = [UNIVERSAL 17]
           constructed; length = 11
           AttributeTypeAndValue SEQUENCE: tag = [UNIVERSAL 16]
             constructed; length = 9
             type OBJECT IDENTIFIER: tag = [UNIVERSAL 6] primitive;
               length = 3
               { 2 5 4 6 }
             value OpenType: PrintableString: tag = [UNIVERSAL 19]
               primitive; length = 2
               "DE"
         RelativeDistinguishedName SET OF: tag = [UNIVERSAL 17]
           constructed; length = 57
           AttributeTypeAndValue SEQUENCE: tag = [UNIVERSAL 16]
           constructed; length = 55
             type OBJECT IDENTIFIER: tag = [UNIVERSAL 6] primitive;
               length = 3
               { 2 5 4 10 }
             value OpenType : UTF8String: tag = [UNIVERSAL 12]
               primitive; length = 48
               0x474d44202d20466f72736368756e67737a656e7472756d2049...
     validity Validity SEQUENCE: tag = [UNIVERSAL 16] constructed;
       length = 30
       notBefore Time CHOICE
        
         utcTime UTCTime: tag = [UNIVERSAL 23] primitive; length = 13
           000501100000Z
       notAfter Time CHOICE
         utcTime UTCTime: tag = [UNIVERSAL 23] primitive; length = 13
           001101100000Z
     subject Name CHOICE
       rdnSequence RDNSequence SEQUENCE OF: tag = [UNIVERSAL 16]
         constructed; length = 101
         RelativeDistinguishedName SET OF: tag = [UNIVERSAL 17]
           constructed; length = 11
           AttributeTypeAndValue SEQUENCE: tag = [UNIVERSAL 16]
             constructed; length = 9
             type OBJECT IDENTIFIER: tag = [UNIVERSAL 6] primitive;
               length = 3
               { 2 5 4 6 }
             value OpenType: PrintableString: tag = [UNIVERSAL 19]
               primitive; length = 2
               "DE"
         RelativeDistinguishedName SET OF: tag = [UNIVERSAL 17]
           constructed; length = 55
           AttributeTypeAndValue SEQUENCE: tag = [UNIVERSAL 16]
             constructed; length = 53
             type OBJECT IDENTIFIER: tag = [UNIVERSAL 6] primitive;
               length = 3
               { 2 5 4 10 }
             value OpenType: UTF8String: tag = [UNIVERSAL 12]
               primitive; length = 46
               0x474d4420466f72736368756e67737a656e7472756d20496e66...
         RelativeDistinguishedName SET OF: tag = [UNIVERSAL 17]
           constructed; length = 29
           AttributeTypeAndValue SEQUENCE: tag = [UNIVERSAL 16]
             constructed; length = 13
             type OBJECT IDENTIFIER: tag = [UNIVERSAL 6] primitive;
               length = 3
               { 2 5 4 4 }
             value OpenType: UTF8String: tag = [UNIVERSAL 12]
               primitive; length = 6
               0x4261727a696e
           AttributeTypeAndValue SEQUENCE: tag = [UNIVERSAL 16]
             constructed; length = 12
             type OBJECT IDENTIFIER: tag = [UNIVERSAL 6] primitive;
               length = 3
               { 2 5 4 42 }
             value OpenType: UTF8String: tag = [UNIVERSAL 12]
               primitive; length = 5
               0x5065747261
     subjectPublicKeyInfo SubjectPublicKeyInfo SEQUENCE: tag =
       [UNIVERSAL 16] constructed; length = 157
            algorithm AlgorithmIdentifier SEQUENCE: tag = [UNIVERSAL 16]
         constructed; length = 13
         algorithm OBJECT IDENTIFIER: tag = [UNIVERSAL 6] primitive;
           length = 9
           { 1 2 840 113549 1 1 1 }
         parameters OpenType: NULL: tag = [UNIVERSAL 5] primitive;
           length = 0
           NULL
       subjectPublicKey BIT STRING: tag = [UNIVERSAL 3] primitive;
         length = 139
         0x0030818702818100b8488400d4b6088be48ead459ca19ec717aaf3d1d...
     extensions : tag = [3] constructed; length = 233
       Extensions SEQUENCE OF: tag = [UNIVERSAL 16] constructed;
         length = 230
         Extension SEQUENCE: tag = [UNIVERSAL 16] constructed;
           length = 100
           extnId OBJECT IDENTIFIER: tag = [UNIVERSAL 6] primitive;
             length = 3
             { 2 5 29 9 }
           extnValue OCTET STRING: tag = [UNIVERSAL 4] primitive;
             length = 93
             0x305b301006082b06010505070904310413024445300f06082b060...
         Extension SEQUENCE: tag = [UNIVERSAL 16] constructed;
           length = 14
           extnId OBJECT IDENTIFIER: tag = [UNIVERSAL 6] primitive;
             length = 3
             { 2 5 29 15 }
           critical BOOLEAN: tag = [UNIVERSAL 1] primitive; length = 1
             TRUE
           extnValue OCTET STRING: tag = [UNIVERSAL 4] primitive;
             length = 4
             0x03020640
         Extension SEQUENCE: tag = [UNIVERSAL 16] constructed;
           length = 18
           extnId OBJECT IDENTIFIER: tag = [UNIVERSAL 6] primitive;
             length = 3
             { 2 5 29 32 }
           extnValue OCTET STRING: tag = [UNIVERSAL 4] primitive;
             length = 11
             0x3009300706052b24080101
         Extension SEQUENCE: tag = [UNIVERSAL 16] constructed;
           length = 31
           extnId OBJECT IDENTIFIER: tag = [UNIVERSAL 6] primitive;
             length = 3
             { 2 5 29 35 }
           extnValue OCTET STRING: tag = [UNIVERSAL 4] primitive;
             length = 24
             0x30168014000102030405060708090a0b0c0d0e0ffedcba98
        
         Extension SEQUENCE: tag = [UNIVERSAL 16] constructed;
           length = 57
           extnId OBJECT IDENTIFIER: tag = [UNIVERSAL 6] primitive;
             length = 8
             { 1 3 6 1 5 5 7 1 3 }
           extnValue OCTET STRING: tag = [UNIVERSAL 4] primitive;
             length = 45
             0x302b302906082b06010505070b01301d301b81196d756e6963697...
        
C.3 DER-encoding
c.3 der-encoding

This section contains the full, DER-encoded certificate, in hex.

このセクションには、16進数の完全なderエンコードされた証明書が含まれています。

   3082030E30820277A0030201020204499602D2300D06092A864886F70D010105
   05003048310B300906035504061302444531393037060355040A0C30474D4420
   2D20466F72736368756E67737A656E7472756D20496E666F726D6174696F6E73
   746563686E696B20476D6248301E170D3030303530313130303030305A170D30
   30313130313130303030305A3065310B30090603550406130244453137303506
   0355040A0C2E474D4420466F72736368756E67737A656E7472756D20496E666F
   726D6174696F6E73746563686E696B20476D6248311D300C060355042A0C0550
   65747261300D06035504040C064261727A696E30819D300D06092A864886F70D
   010101050003818B0030818702818100B8488400D4B6088BE48EAD459CA19EC7
   17AAF3D1D4EE3ECCA496128A13597D16CC8B85EB37EFCE110C63B01E684E5CF6
   32291EAC60FD153C266EAAC36AD4CEA92319F9BFDD261AD2BFE41EAB4E17FE67
   8341EE52D9A0A8B4DEC07B7ACC76762514045CEE9994E0CF37BAE05F8DE33B35
   FF98BCE77742CE4B12273BD122137FE9020105A381E93081E630640603551D09
   045D305B301006082B06010505070904310413024445300F06082B0601050507
   09033103130146301D06082B060105050709013111180F313937313130313430
   30303030305A301706082B06010505070902310B0C094461726D737461647430
   0E0603551D0F0101FF04040302064030120603551D20040B3009300706052B24
   080101301F0603551D23041830168014000102030405060708090A0B0C0D0E0F
   FEDCBA98303906082B06010505070103042D302B302906082B06010505070B01
   301D301B81196D756E69636970616C697479406461726D73746164742E646530
   0D06092A864886F70D01010505000381810048FD14D9AFE961E4321D9AA40CC0
   1C12893550CF76FBECBDE448926B0AE6F904AB89E7B5F808666FB007218AC18D
   28CE1E2D40FBF8C16B275CBA0547D7885B74059DEC736223368FC1602A510BC1
   EB31E39F3967BE6B413D48BC743A0AB19C57FD20F3B393E8FEBD8B05CAA5007D
   AD36F9D789AEF636A0AC0F93BCB3711B5907
        
C.4 CA's public RSA key
C.4 CAのパブリックRSAキー

This section contains the DER-encoded public RSA key of the CA who signed the example certificate. It is included with the purpose of simplifying verifications of the example certificate.

このセクションには、サンプル証明書に署名したCAのDERエンコードされたパブリックRSAキーが含まれています。これは、サンプル証明書の検証を簡素化する目的で含まれています。

30818902818100ad1f35964b3674c807b9f8a645d2c8174e514b69a4b46a7382 915abbc44eccede914dae8fcc023abcea9c53380e641795cb0dda664b872fc10 9f9bbb852bf42d994f634c681608e388dce240b558513e5b60027bd1a07cef9c 9b6db37c7e1f1abd238eed96e4b669056b260f55e83f14e6027127c9deb3ad18 afcd3f8a5f5bf50203010001

30818902818100AD1F35964B3674C807B9F8A645D2C8174E514B69A4B46A7382 915BC444444B446A7382 915BC44CCEDE914DAE8FCC023ABCEA9CEA9CEA9CEA9CEA9CEA9CEA9CEA9CEA9CEA9CEA92380E641795CDDACDDA BF42D994F634C681608E388DCE240B558513E5B60027BD1A07CEF9C 9B6DB37C7E1F1F1238EED96E4B669056B260F55E83F14E6027127127127127127127127127127127127127127127127127127127127127127127127127112 203010001

Authors' Addresses

著者のアドレス

Stefan Santesson AddTrust AB P.O. Box 465 S-201 24 Malmo Sweden

Stefan Santesson Addtrust AB P.O.Box 465 S-2012 24 Malmo Sweden

   EMail: stefan@addtrust.com
        

Tim Polk NIST Building 820, Room 426 Gaithersburg, MD 20899, USA

Tim Polk Nist Building 820、Room 426 Gaithersburg、MD 20899、米国

   EMail: wpolk@nist.gov
        

Petra Barzin SECUDE - Sicherheitstechnologie Informationssysteme GmbH Landwehrstrasse 50a D-64293 Darmstadt Germany

Petra Barzin Secude -Sicherheitstechnologie Informationssysteme Gmbh Landwehrstrasse 50a D -64293 Darmstadtドイツ

   EMail: barzin@secude.com
        

Magnus Nystrom RSA Security AB Box 10704 S-121 29 Stockholm Sweden

Magnus Nystrom RSA Security AB Box 10704 S-121 29 Stockholm Sweden

   EMail: magnus@rsasecurity.com
        

Full Copyright Statement

完全な著作権声明

Copyright (C) The Internet Society (2001). All Rights Reserved.

Copyright(c)The Internet Society(2001)。無断転載を禁じます。

This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.

このドキュメントと翻訳は他の人にコピーされて提供される場合があり、それについてコメントまたは説明する派生作品、またはその実装を支援することができます。、上記の著作権通知とこの段落がそのようなすべてのコピーとデリバティブ作品に含まれている場合。ただし、このドキュメント自体は、インターネット協会や他のインターネット組織への著作権通知や参照を削除するなど、いかなる方法でも変更できない場合があります。インターネット標準プロセスに従うか、英語以外の言語に翻訳するために必要な場合に従う必要があります。

The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.

上記の限られた許可は永続的であり、インターネット社会またはその後継者または譲受人によって取り消されることはありません。

This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

この文書と本書に含まれる情報は、「現状」に基づいて提供されており、インターネット社会とインターネットエンジニアリングタスクフォースは、ここにある情報の使用が行われないという保証を含むがこれらに限定されないすべての保証を否認します。特定の目的に対する商品性または適合性の権利または黙示的な保証を侵害します。

Acknowledgement

謝辞

Funding for the RFC Editor function is currently provided by the Internet Society.

RFCエディター機能の資金は現在、インターネット協会によって提供されています。