[要約] RFC 4523は、X.509証明書のLDAPスキーマ定義に関するものであり、証明書の属性と値の構造を定義しています。このRFCの目的は、LDAPディレクトリ内でX.509証明書を効果的に管理するための標準化を提供することです。

Network Working Group                                        K. Zeilenga
Request for Comments: 4523                           OpenLDAP Foundation
Obsoletes: 2252, 2256, 2587                                    June 2006
Category: Standards Track
        

Lightweight Directory Access Protocol (LDAP) Schema Definitions for X.509 Certificates

X.509証明書のLightWeight Directory Access Protocol(LDAP)スキーマ定義

Status of This Memo

本文書の位置付け

This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.

このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。

Copyright Notice

著作権表示

Copyright (C) The Internet Society (2006).

Copyright(c)The Internet Society(2006)。

Abstract

概要

This document describes schema for representing X.509 certificates, X.521 security information, and related elements in directories accessible using the Lightweight Directory Access Protocol (LDAP). The LDAP definitions for these X.509 and X.521 schema elements replace those provided in RFCs 2252 and 2256.

このドキュメントでは、X.509証明書、X.521セキュリティ情報、およびLightWeight Directory Access Protocol(LDAP)を使用してアクセス可能なディレクトリの関連要素を表すスキーマについて説明します。これらのX.509およびX.521スキーマ要素のLDAP定義は、RFCS 2252および2256で提供されるものを置き換えます。

1. Introduction
1. はじめに

This document provides LDAP [RFC4510] schema definitions [RFC4512] for a subset of elements specified in X.509 [X.509] and X.521 [X.521], including attribute types for certificates, cross certificate pairs, and certificate revocation lists; matching rules to be used with these attribute types; and related object classes. LDAP syntax definitions are also provided for associated assertion and attribute values.

このドキュメントは、X.509 [X.509]およびX.521 [X.521]で指定された要素のサブセットについて、LDAP [RFC4510]スキーマ定義[RFC4512]を提供します。リスト;これらの属性タイプで使用される一致ルール。および関連するオブジェクトクラス。LDAP構文定義は、関連するアサーション値と属性値についても提供されます。

As the semantics of these elements are as defined in X.509 and X.521, knowledge of X.509 and X.521 is necessary to make use of the LDAP schema definitions provided herein.

これらの要素のセマンティクスはX.509およびX.521で定義されているように、X.509およびX.521の知識がここで提供されるLDAPスキーマ定義を利用するために必要です。

This document, together with [RFC4510], obsoletes RFCs 2252 and 2256 in their entirety. The changes (in this document) made since RFC 2252 and RFC 2256 include:

このドキュメントは、[RFC4510]とともに、obsoletes RFCS 2252および2256を全体として。RFC 2252およびRFC 2256以降に行われた変更(このドキュメント)には以下が含まれます。

- addition of pkiUser, pkiCA, and deltaCRL classes;

- Pkiuser、Pkica、およびDeltacrlクラスの追加。

- update of attribute types to include equality matching rules in accordance with their X.500 specifications;

- X.500仕様に従って平等マッチングルールを含める属性タイプの更新。

- addition of certificate, certificate pair, certificate list, and algorithm identifier matching rules; and

- 証明書、証明書ペア、証明書リスト、およびアルゴリズム識別子の一致ルールの追加。と

- addition of LDAP syntax for assertion syntaxes for these matching rules.

- これらのマッチングルールのアサーション構文のためのLDAP構文の追加。

This document obsoletes RFC 2587. The X.509 schema descriptions for LDAPv2 [RFC1777] are Historic, as is LDAPv2 [RFC3494].

このドキュメントはRFC 2587を廃止します。LDAPV2[RFC1777]のX.509スキーマの説明は、LDAPV2 [RFC3494]と同様に歴史的です。

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119].

「必須」、「そうしない」、「必須」、「必要」、「「しない」、「そうでない」、「そうではない」、「そうでない」、「推奨」、「5月」、および「オプション」は、BCP 14 [RFC2119]に記載されているように解釈される。

Schema definitions are provided using LDAP description formats [RFC4512]. Definitions provided here are formatted (line wrapped) for readability.

スキーマ定義は、LDAP説明形式[RFC4512]を使用して提供されます。ここで提供される定義は、読みやすさのためにフォーマットされています(ラインラップ)。

2. Syntaxes
2. 構文

This section describes various syntaxes used in LDAP to transfer certificates and related data types.

このセクションでは、LDAPで使用されるさまざまな構文で、証明書と関連データ型を転送します。

2.1. Certificate
2.1. 証明書

( 1.3.6.1.4.1.1466.115.121.1.8 DESC 'X.509 Certificate' )

(1.3.6.1.4.1.1466.115.121.1.8 DESC 'X.509証明書')

A value of this syntax is an X.509 Certificate [X.509, clause 7].

この構文の値は、x.509証明書[x.509、節7]です。

Due to changes made to the definition of a Certificate through time, no LDAP-specific encoding is defined for this syntax. Values of this syntax SHOULD be encoded using Distinguished Encoding Rules (DER) [X.690] and MUST only be transferred using the ;binary transfer option [RFC4522]; that is, by requesting and returning values using attribute descriptions such as "userCertificate;binary".

時間による証明書の定義に変更された変更により、この構文に対してLDAP固有のエンコードは定義されていません。この構文の値は、識別式エンコードルール(der)[x.690]を使用してエンコードする必要があり、バイナリ転送オプション[rfc4522]を使用してのみ転送する必要があります。つまり、「usercertificate; binary」などの属性説明を使用して値を要求および返信することです。

As values of this syntax contain digitally signed data, values of this syntax and the form of each value MUST be preserved as presented.

この構文の値にはデジタル署名されたデータが含まれているため、この構文の値と各値の形式を提示して保存する必要があります。

2.2. CertificateList
2.2. CertificateList

( 1.3.6.1.4.1.1466.115.121.1.9 DESC 'X.509 Certificate List' )

(1.3.6.1.4.1.1466.115.121.1.9 DESC 'X.509証明書リスト')

A value of this syntax is an X.509 CertificateList [X.509, clause 7.3].

この構文の値は、x.509証明書リスト[x.509、節7.3]です。

Due to changes made to the definition of a CertificateList through time, no LDAP-specific encoding is defined for this syntax. Values of this syntax SHOULD be encoded using DER [X.690] and MUST only be transferred using the ;binary transfer option [RFC4522]; that is, by requesting and returning values using attribute descriptions such as "certificateRevocationList;binary".

時間による証明書リストの定義に加えられた変更により、この構文に対してLDAP固有のエンコードは定義されていません。この構文の値は、der [x.690]を使用してエンコードする必要があり、;バイナリ転送オプション[rfc4522]を使用してのみ転送する必要があります。つまり、「certiveaterevocationlist; binary」などの属性説明を使用して値を要求して返すことにより。

As values of this syntax contain digitally signed data, values of this syntax and the form of each value MUST be preserved as presented.

この構文の値にはデジタル署名されたデータが含まれているため、この構文の値と各値の形式を提示して保存する必要があります。

2.3. CertificatePair
2.3. certificatepair

( 1.3.6.1.4.1.1466.115.121.1.10 DESC 'X.509 Certificate Pair' )

(1.3.6.1.4.1.1466.115.121.1.10 DESC 'X.509証明書ペア')

A value of this syntax is an X.509 CertificatePair [X.509, clause 11.2.3].

この構文の値は、x.509 certifartpair [x.509、節11.2.3]です。

Due to changes made to the definition of an X.509 CertificatePair through time, no LDAP-specific encoding is defined for this syntax. Values of this syntax SHOULD be encoded using DER [X.690] and MUST only be transferred using the ;binary transfer option [RFC4522]; that is, by requesting and returning values using attribute descriptions such as "crossCertificatePair;binary".

X.509証明書の定義が時間を経て行われたため、この構文に対してLDAP固有のエンコードは定義されていません。この構文の値は、der [x.690]を使用してエンコードする必要があり、;バイナリ転送オプション[rfc4522]を使用してのみ転送する必要があります。つまり、「CrossCertificatePair;バイナリ」などの属性説明を使用して値を要求および返信することにより。

As values of this syntax contain digitally signed data, values of this syntax and the form of each value MUST be preserved as presented.

この構文の値にはデジタル署名されたデータが含まれているため、この構文の値と各値の形式を提示して保存する必要があります。

2.4. SupportedAlgorithm
2.4. サポートされているアルゴリズム

( 1.3.6.1.4.1.1466.115.121.1.49 DESC 'X.509 Supported Algorithm' )

(1.3.6.1.4.1.1466.115.121.1.49 DESC 'X.509サポートアルゴリズム')

A value of this syntax is an X.509 SupportedAlgorithm [X.509, clause 11.2.7].

この構文の値は、x.509 supportedalgorithm [x.509、節11.2.7]です。

Due to changes made to the definition of an X.509 SupportedAlgorithm through time, no LDAP-specific encoding is defined for this syntax. Values of this syntax SHOULD be encoded using DER [X.690] and MUST only be transferred using the ;binary transfer option [RFC4522]; that is, by requesting and returning values using attribute descriptions such as "supportedAlgorithms;binary".

X.509 SupporteDalgorithmの定義に時間がかかるため、この構文に対してLDAP固有のエンコードは定義されていません。この構文の値は、der [x.690]を使用してエンコードする必要があり、;バイナリ転送オプション[rfc4522]を使用してのみ転送する必要があります。つまり、「supportedalgorithms; binary」などの属性説明を使用して値を要求および返信することです。

As values of this syntax contain digitally signed data, values of this syntax and the form of the value MUST be preserved as presented.

この構文の値にはデジタル署名されたデータが含まれているため、この構文の値と表示の形式を提示するように保存する必要があります。

2.5. CertificateExactAssertion
2.5. certifateexactAssertion

( 1.3.6.1.1.15.1 DESC 'X.509 Certificate Exact Assertion' )

(1.3.6.1.1.15.1 DESC 'X.509証明書正確なアサーション')

A value of this syntax is an X.509 CertificateExactAssertion [X.509, clause 11.3.1]. Values of this syntax MUST be encoded using the Generic String Encoding Rules (GSER) [RFC3641]. Appendix A.1 provides an equivalent Augmented Backus-Naur Form (ABNF) [RFC4234] grammar for this syntax.

この構文の値は、x.509 cermistexactassertion [x.509、節11.3.1]です。この構文の値は、一般的な文字列エンコードルール(GSER)[RFC3641]を使用してエンコードする必要があります。付録A.1は、この構文の同等の拡張バックスノーフォーム(ABNF)[RFC4234]文法を提供します。

2.6. CertificateAssertion
2.6. 証明書の想定

( 1.3.6.1.1.15.2 DESC 'X.509 Certificate Assertion' )

(1.3.6.1.1.15.2 desc 'x.509証明書のアサーション')

A value of this syntax is an X.509 CertificateAssertion [X.509, clause 11.3.2]. Values of this syntax MUST be encoded using GSER [RFC3641]. Appendix A.2 provides an equivalent ABNF [RFC4234] grammar for this syntax.

この構文の値は、x.509 certiferateassertion [x.509、節11.3.2]です。この構文の値は、GSER [RFC3641]を使用してエンコードする必要があります。付録A.2は、この構文の同等のABNF [RFC4234]文法を提供します。

2.7. CertificatePairExactAssertion
2.7. certificatepairexActaStion

( 1.3.6.1.1.15.3 DESC 'X.509 Certificate Pair Exact Assertion' )

(1.3.6.1.1.15.3 DESC 'X.509証明書ペア正確なアサーション')

A value of this syntax is an X.509 CertificatePairExactAssertion [X.509, clause 11.3.3]. Values of this syntax MUST be encoded using GSER [RFC3641]. Appendix A.3 provides an equivalent ABNF [RFC4234] grammar for this syntax.

この構文の値は、x.509証明書の証明書Pairexactassertion [x.509、節11.3.3]です。この構文の値は、GSER [RFC3641]を使用してエンコードする必要があります。付録A.3は、この構文の同等のABNF [RFC4234]文法を提供します。

2.8. CertificatePairAssertion
2.8. 証明書のパイラアサート

( 1.3.6.1.1.15.4 DESC 'X.509 Certificate Pair Assertion' )

(1.3.6.1.1.15.4 desc 'x.509証明書ペアアサーション')

A value of this syntax is an X.509 CertificatePairAssertion [X.509, clause 11.3.4]. Values of this syntax MUST be encoded using GSER [RFC3641]. Appendix A.4 provides an equivalent ABNF [RFC4234] grammar for this syntax.

この構文の値は、x.509証明書のパイラセリオン[x.509、節11.3.4]です。この構文の値は、GSER [RFC3641]を使用してエンコードする必要があります。付録A.4は、この構文の同等のABNF [RFC4234]文法を提供します。

2.9. CertificateListExactAssertion
2.9. cermostAteListexActAssertion

( 1.3.6.1.1.15.5 DESC 'X.509 Certificate List Exact Assertion' )

(1.3.6.1.1.15.5 DESC 'X.509証明書リスト正確なアサーション')

A value of this syntax is an X.509 CertificateListExactAssertion [X.509, clause 11.3.5]. Values of this syntax MUST be encoded using GSER [RFC3641]. Appendix A.5 provides an equivalent ABNF grammar for this syntax.

この構文の値は、x.509 certificateListexActAssertion [x.509、節11.3.5]です。この構文の値は、GSER [RFC3641]を使用してエンコードする必要があります。付録A.5は、この構文の同等のABNF文法を提供します。

2.10. CertificateListAssertion
2.10. CertivationAtelistAssertion

( 1.3.6.1.1.15.6 DESC 'X.509 Certificate List Assertion' )

(1.3.6.1.1.15.6 DESC 'X.509証明書リストアサーション')

A value of this syntax is an X.509 CertificateListAssertion [X.509, clause 11.3.6]. Values of this syntax MUST be encoded using GSER [RFC3641]. Appendix A.6 provides an equivalent ABNF [RFC4234] grammar for this syntax.

この構文の値は、x.509 cirtiveatelistassertion [x.509、節11.3.6]です。この構文の値は、GSER [RFC3641]を使用してエンコードする必要があります。付録A.6は、この構文の同等のABNF [RFC4234]文法を提供します。

2.11. AlgorithmIdentifier
2.11. AlgorithMidentifier

( 1.3.6.1.1.15.7 DESC 'X.509 Algorithm Identifier' )

(1.3.6.1.1.15.7 DESC 'X.509アルゴリズム識別子')

A value of this syntax is an X.509 AlgorithmIdentifier [X.509, Clause 7]. Values of this syntax MUST be encoded using GSER [RFC3641].

この構文の値は、x.509アルゴリズムdidentifier [x.509、節7]です。この構文の値は、GSER [RFC3641]を使用してエンコードする必要があります。

Appendix A.7 provides an equivalent ABNF [RFC4234] grammar for this syntax.

付録A.7は、この構文の同等のABNF [RFC4234]文法を提供します。

3. Matching Rules
3. 一致するルール

This section introduces a set of certificate and related matching rules for use in LDAP. These rules are intended to act in accordance with their X.500 counterparts.

このセクションでは、LDAPで使用するための一連の証明書と関連するマッチングルールを紹介します。これらのルールは、X.500のカウンターパートに従って行動することを目的としています。

3.1. certificateExactMatch
3.1. cermistexactmatch

The certificateExactMatch matching rule compares the presented certificate exact assertion value with an attribute value of the certificate syntax as described in clause 11.3.1 of [X.509].

certerminceexactmatch一致ルールは、提示された証明書の正確なアサーション値を、[x.509]の条項11.3.1で説明する証明書構文の属性値と比較します。

( 2.5.13.34 NAME 'certificateExactMatch' DESC 'X.509 Certificate Exact Match' SYNTAX 1.3.6.1.1.15.1 )

(2.5.13.34名 'certifertingexactmatch' desc 'x.509証明書正確な一致'構文1.3.6.1.1.15.1)

3.2. certificateMatch
3.2. CertificateMatch

The certificateMatch matching rule compares the presented certificate assertion value with an attribute value of the certificate syntax as described in clause 11.3.2 of [X.509].

証明書の一致ルールは、提示された証明書のアサーション値を、[X.509]の条項11.3.2で説明したように、証明書構文の属性値と比較します。

( 2.5.13.35 NAME 'certificateMatch' DESC 'X.509 Certificate Match' SYNTAX 1.3.6.1.1.15.2 )

(2.5.13.35名「証明書」 'desc' x.509証明書マッチ '構文1.3.6.1.1.15.2)

3.3. certificatePairExactMatch
3.3. certificatepairexactmatch

The certificatePairExactMatch matching rule compares the presented certificate pair exact assertion value with an attribute value of the certificate pair syntax as described in clause 11.3.3 of [X.509].

証明書のPairexActMatchマッチングルールは、提示された証明書ペアの正確なアサーション値を、[X.509]の節11.3.3で説明したように、証明書ペアの構文の属性値と比較します。

( 2.5.13.36 NAME 'certificatePairExactMatch' DESC 'X.509 Certificate Pair Exact Match' SYNTAX 1.3.6.1.1.15.3 )

(2.5.13.36名「証明書pairexactmatch 'desc」x.509証明書ペア正確な一致'構文1.3.6.1.15.3)

3.4. certificatePairMatch
3.4. certificatepairmatch

The certificatePairMatch matching rule compares the presented certificate pair assertion value with an attribute value of the certificate pair syntax as described in clause 11.3.4 of [X.509].

証明書のマッチマッチングルールは、提示された証明書ペアのアサーション値を、[X.509]の条項11.3.4で説明したように、証明書ペアの構文の属性値を比較します。

( 2.5.13.37 NAME 'certificatePairMatch' DESC 'X.509 Certificate Pair Match' SYNTAX 1.3.6.1.1.15.4 )

(2.5.13.37名 'certificatepairmatch' desc 'x.509証明書ペアマッチ'構文1.3.6.1.1.15.4)

3.5. certificateListExactMatch
3.5. cirmosateListexActMatch

The certificateListExactMatch matching rule compares the presented certificate list exact assertion value with an attribute value of the certificate pair syntax as described in clause 11.3.5 of [X.509].

certificateListexactmatchマッチングルールは、提示された証明書リストの正確なアサーション値を、[x.509]の節11.3.5で説明したように、証明書ペアの構文の属性値と比較します。

( 2.5.13.38 NAME 'certificateListExactMatch' DESC 'X.509 Certificate List Exact Match' SYNTAX 1.3.6.1.1.15.5 )

(2.5.13.38名 'cermistateListexactmatch' desc 'x.509証明書リスト正確な一致'構文1.3.6.1.15.5)

3.6. certificateListMatch
3.6. cirmosateListmatch

The certificateListMatch matching rule compares the presented certificate list assertion value with an attribute value of the certificate pair syntax as described in clause 11.3.6 of [X.509].

certificateListMatch一致ルールは、提示された証明書リストアサーション値と、[x.509]の節11.3.6で説明されているように、証明書ペアの構文の属性値を比較します。

( 2.5.13.39 NAME 'certificateListMatch' DESC 'X.509 Certificate List Match' SYNTAX 1.3.6.1.1.15.6 )

(2.5.13.39 name 'certificationateListmatch' desc 'x.509証明書リストマッチ'構文1.3.6.1.1.15.6)

3.7. algorithmIdentifierMatch
3.7. AlgorithMidentifier一致

The algorithmIdentifierMatch mating rule compares a presented algorithm identifier with an attribute value of the supported algorithm as described in clause 11.3.7 of [X.509].

AlgorithmidentididifierMatch Matingルールは、提示されたアルゴリズム識別子を、[X.509]の条項11.3.7で説明したように、サポートされているアルゴリズムの属性値を比較します。

( 2.5.13.40 NAME 'algorithmIdentifier' DESC 'X.509 Algorithm Identifier Match' SYNTAX 1.3.6.1.1.15.7 )

(2.5.13.40 name 'algorithmidentifier' desc 'x.509アルゴリズム識別子一致'構文1.3.6.1.1.15.7)

4. Attribute Types
4. 属性タイプ

This section details a set of certificate and related attribute types for use in LDAP.

このセクションでは、LDAPで使用するための証明書のセットと関連属性タイプのセットを詳しく説明しています。

4.1. userCertificate
4.1. usercertificate

The userCertificate attribute holds the X.509 certificates issued to the user by one or more certificate authorities, as discussed in clause 11.2.1 of [X.509].

UserCertificate属性は、[X.509]の11.2.1項で説明したように、1つ以上の証明書当局によってユーザーに発行されたX.509証明書を保持します。

( 2.5.4.36 NAME 'userCertificate' DESC 'X.509 user certificate' EQUALITY certificateExactMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.8 )

(2.5.4.36名 'usercertificate' desc 'x.509ユーザー証明書' equalityexactmatch構文1.3.6.1.4.1.146.115.121.1.8)

As required by this attribute type's syntax, values of this attribute are requested and transferred using the attribute description "userCertificate;binary".

この属性タイプの構文で要求されるように、この属性の値は要求され、属性説明「usercertificate; binary」を使用して転送されます。

4.2. cACertificate
4.2. cacertificate

The cACertificate attribute holds the X.509 certificates issued to the certificate authority (CA), as discussed in clause 11.2.2 of [X.509].

CACERTIFICATE属性は、[X.509]の条項11.2.2で説明したように、証明書当局(CA)に発行されたX.509証明書を保持しています。

( 2.5.4.37 NAME 'cACertificate' DESC 'X.509 CA certificate' EQUALITY certificateExactMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.8 )

(2.5.4.37名 'cacertificate' desc 'x.509 ca cimperation' equalityexactmatch構文1.3.6.1.4.1.146.115.121.1.1.8)

As required by this attribute type's syntax, values of this attribute are requested and transferred using the attribute description "cACertificate;binary".

この属性タイプの構文で要求されているように、この属性の値は要求され、属性説明「cacertificate; binary」を使用して転送されます。

4.3. crossCertificatePair
4.3. CrossCertificatePair

The crossCertificatePair attribute holds an X.509 certificate pair, as discussed in clause 11.2.3 of [X.509].

CrossCertificatePair属性は、[X.509]の条項11.2.3で説明されているように、X.509証明書のペアを保持しています。

( 2.5.4.40 NAME 'crossCertificatePair' DESC 'X.509 cross certificate pair' EQUALITY certificatePairExactMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.10 )

(2.5.4.40名「CrossCertificatePair 'DESC' X.509 Cross Certificateペア」Equality証明書PairexactMatch構文1.3.6.1.4.1.1466.115.121.1.10)

As required by this attribute type's syntax, values of this attribute are requested and transferred using the attribute description "crossCertificatePair;binary".

この属性タイプの構文で要求されているように、この属性の値は要求され、属性説明「CrossCertificatePair;バイナリ」を使用して転送されます。

4.4. certificateRevocationList
4.4. cirtimateRevocationList

The certificateRevocationList attribute holds certificate lists, as discussed in 11.2.4 of [X.509].

[X.509]の11.2.4で説明されているように、CertificatereVocationList属性には証明書リストがあります。

( 2.5.4.39 NAME 'certificateRevocationList' DESC 'X.509 certificate revocation list' EQUALITY certificateListExactMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.9 )

(2.5.4.39 name 'certificateraterevocationlist' desc '' x.509証明書の取り消しリスト 'equality certifalityateListexactmatch構文1.3.6.1.4.1.1466.115.121.1.9)

As required by this attribute type's syntax, values of this attribute are requested and transferred using the attribute description "certificateRevocationList;binary".

この属性タイプの構文で要求されているように、この属性の値は要求され、属性の説明「cermosteraterevocationlist; binary」を使用して転送されます。

4.5. authorityRevocationList
4.5. authoridRevocationList

The authorityRevocationList attribute holds certificate lists, as discussed in 11.2.5 of [X.509].

authoridrevocationList属性は、[x.509]の11.2.5で説明したように、証明書リストを保持します。

( 2.5.4.38 NAME 'authorityRevocationList' DESC 'X.509 authority revocation list' EQUALITY certificateListExactMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.9 )

(2.5.4.38名 'AuthorityRevocationList' desc 'X.509 Authority Recocation List' Equality cermotialateListexactmatch構文1.3.6.1.4.1.1466.115.121.1.9)

As required by this attribute type's syntax, values of this attribute are requested and transferred using the attribute description "authorityRevocationList;binary".

この属性タイプの構文で要求されているように、この属性の値は要求され、属性説明「AuthorityRevocationList; binary」を使用して転送されます。

4.6. deltaRevocationList
4.6. DeltareVocationList

The deltaRevocationList attribute holds certificate lists, as discussed in 11.2.6 of [X.509].

DeltareVocationList属性は、[X.509]の11.2.6で説明されているように、証明書リストを保持しています。

( 2.5.4.53 NAME 'deltaRevocationList' DESC 'X.509 delta revocation list' EQUALITY certificateListExactMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.9 )

(2.5.4.53名「DeltareVocationList」DESC 'X.509 Delta Rogocation List' equality certifalateListexActMatch Syntax 1.3.6.4.1.1466.115.121.1.9)

As required by this attribute type's syntax, values of this attribute MUST be requested and transferred using the attribute description "deltaRevocationList;binary".

この属性タイプの構文で要求されるように、この属性の値を要求し、属性説明「deltarevocationlist; binary」を使用して転送する必要があります。

4.7. supportedAlgorithms
4.7. サポートされているアルゴリズム

The supportedAlgorithms attribute holds supported algorithms, as discussed in 11.2.7 of [X.509].

[X.509]の11.2.7で説明したように、SupporteDalgorithms属性はサポートされたアルゴリズムを保持します。

( 2.5.4.52 NAME 'supportedAlgorithms' DESC 'X.509 supported algorithms' EQUALITY algorithmIdentifierMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.49 )

(2.5.4.52 name 'supportedalgorithms' desc 'x.509サポートアルゴリズム'等自己項目fialityididentifiermatch構文1.3.6.1.4.1.1466.115.121.1.1.49)

As required by this attribute type's syntax, values of this attribute MUST be requested and transferred using the attribute description "supportedAlgorithms;binary".

この属性タイプの構文で要求されているように、この属性の値を要求し、属性説明「supportedalgorithms; binary」を使用して転送する必要があります。

5. Object Classes
5. オブジェクトクラス

This section details a set of certificate-related object classes for use in LDAP.

このセクションでは、LDAPで使用する証明書関連のオブジェクトクラスのセットについて詳しく説明しています。

5.1. pkiUser
5.1. pkiuser

This object class is used in augment entries for objects that may be subject to certificates, as defined in clause 11.1.1 of [X.509].

このオブジェクトクラスは、[X.509]の条項11.1.1で定義されているように、証明書の対象となる可能性のあるオブジェクトの拡張エントリで使用されます。

( 2.5.6.21 NAME 'pkiUser' DESC 'X.509 PKI User' SUP top AUXILIARY MAY userCertificate )

(2.5.6.21名「pkiuser」desc 'x.509 pki user' sup top auxiliary usercertificate)

5.2. pkiCA
5.2. pkica

This object class is used to augment entries for objects that act as certificate authorities, as defined in clause 11.1.2 of [X.509]

このオブジェクトクラスは、[X.509]の条項11.1.2で定義されているように、証明書当局として機能するオブジェクトのエントリを拡張するために使用されます。

( 2.5.6.22 NAME 'pkiCA' DESC 'X.509 PKI Certificate Authority' SUP top AUXILIARY MAY ( cACertificate $ certificateRevocationList $ authorityRevocationList $ crossCertificatePair ) )

(2.5.6.22 name 'pkica' desc '' x.509 PKI認証局 'SUPトップ補助5月(cacertificate $ sermisteraterevocationlist $ authorityrevocationlist $ crosscertificatePair))))

5.3. cRLDistributionPoint
5.3. crldistributionpoint

This class is used to represent objects that act as CRL distribution points, as discussed in clause 11.1.3 of [X.509].

このクラスは、[x.509]の条項11.1.3で説明されているように、CRL分布ポイントとして機能するオブジェクトを表すために使用されます。

( 2.5.6.19 NAME 'cRLDistributionPoint' DESC 'X.509 CRL distribution point' SUP top STRUCTURAL MUST cn MAY ( certificateRevocationList $ authorityRevocationList $ deltaRevocationList ) )

(2.5.6.19名 'CrldistributionPoint' desc 'x.509 CRL Distribution Point' SUP TOP Structural Must Cn May(certificaterevocationlist $ authoridrevocationList $ deltarevocationlist)))

5.4. deltaCRL
5.4. deltacrl

The deltaCRL object class is used to augment entries to hold delta revocation lists, as discussed in clause 11.1.4 of [X.509].

Deltacrlオブジェクトクラスは、[X.509]の節11.1.4で説明するように、デルタの取り消しリストを保持するためのエントリを拡張するために使用されます。

( 2.5.6.23 NAME 'deltaCRL' DESC 'X.509 delta CRL' SUP top AUXILIARY MAY deltaRevocationList )

(2.5.6.23名前 'Deltacrl' Desc 'X.509 Delta CRL' Sup Top Auxiliary May DeltareVocationList)

5.5. strongAuthenticationUser
5.5. strongauthenticationuser

This object class is used to augment entries for objects participating in certificate-based authentication, as defined in clause 6.15 of [X.521]. This object class is deprecated in favor of pkiUser.

このオブジェクトクラスは、[x.521]の節6.15で定義されているように、証明書ベースの認証に参加するオブジェクトのエントリを拡張するために使用されます。このオブジェクトクラスは、Pkiuserを支持して非難されています。

( 2.5.6.15 NAME 'strongAuthenticationUser' DESC 'X.521 strong authentication user' SUP top AUXILIARY MUST userCertificate )

(2.5.6.15名前「StrongAuthenticationUser」desc 'X.521強い認証ユーザー' SUP TOP Auxiliaryはusercertifificate)

5.6. userSecurityInformation
5.6. usersecurityinformation

This object class is used to augment entries with needed additional associated security information, as defined in clause 6.16 of [X.521].

このオブジェクトクラスは、[x.521]の条項6.16で定義されているように、必要な追加の関連するセキュリティ情報を備えたエントリを増強するために使用されます。

( 2.5.6.18 NAME 'userSecurityInformation' DESC 'X.521 user security information' SUP top AUXILIARY MAY ( supportedAlgorithms ) )

(2.5.6.18名「usersecurityinformation 'desc' x.521ユーザーセキュリティ情報」sup top補助5月(supportedalgorithms))

5.7. certificationAuthority
5.7. 認証局

This object class is used to augment entries for objects that act as certificate authorities, as defined in clause 6.17 of [X.521]. This object class is deprecated in favor of pkiCA.

このオブジェクトクラスは、[X.521]の条項6.17で定義されているように、証明書当局として機能するオブジェクトのエントリを拡張するために使用されます。このオブジェクトクラスは、Pkicaを支持して非推奨されています。

( 2.5.6.16 NAME 'certificationAuthority' DESC 'X.509 certificate authority' SUP top AUXILIARY MUST ( authorityRevocationList $ certificateRevocationList $ cACertificate ) MAY crossCertificatePair )

(2.5.6.16名「認定Authority」DESC 'X.509認証局' SUP TOP AUXILIARY MUST(AuthoriteRevocationList $ sermisteraterevocationList $ cacertificate)

5.8. certificationAuthority-V2
5.8. 認定Authority-V2

This object class is used to augment entries for objects that act as certificate authorities, as defined in clause 6.18 of [X.521]. This object class is deprecated in favor of pkiCA.

このオブジェクトクラスは、[X.521]の条項6.18で定義されているように、証明書当局として機能するオブジェクトのエントリを拡張するために使用されます。このオブジェクトクラスは、Pkicaを支持して非推奨されています。

( 2.5.6.16.2 NAME 'certificationAuthority-V2' DESC 'X.509 certificate authority, version 2' SUP certificationAuthority AUXILIARY MAY deltaRevocationList )

(2.5.6.16.2 name 'certificationauthority-v2' desc 'x.509認証局、バージョン2' sup certificationauthority Auxiliary may deltarevocationlist)

6. Security Considerations
6. セキュリティに関する考慮事項

General certificate considerations [RFC3280] apply to LDAP-aware certificate applications. General LDAP security considerations [RFC4510] apply as well.

一般証明書の考慮事項[RFC3280]は、LDAP認識証明書アプリケーションに適用されます。一般的なLDAPセキュリティに関する考慮事項[RFC4510]も適用されます。

While elements of certificate information are commonly signed, these signatures only protect the integrity of the signed information. In the absence of data integrity protections in LDAP (or lower layer, e.g., IPsec), a server is not assured that client certificate request (or other request) was unaltered in transit. Likewise, a client cannot be assured that the results of the query were unaltered in transit. Hence, it is generally recommended that implementations make use of authentication and data integrity services in LDAP [RFC4513][RFC4511].

公証情報の要素が一般的に署名されていますが、これらの署名は署名された情報の整合性を保護するだけです。LDAP(または下層層などの下層)にデータ整合性保護がない場合、サーバーは、クライアント証明書要求(またはその他の要求)が輸送中に変更されていないことを保証しません。同様に、クライアントは、クエリの結果が輸送中に変更されていないことを保証することはできません。したがって、一般に、実装はLDAP [RFC4513] [RFC4511]の認証とデータの整合性サービスを利用することをお勧めします。

7. IANA Considerations
7. IANAの考慮事項
7.1. Object Identifier Registration
7.1. オブジェクト識別子登録

The IANA has registered an LDAP Object Identifier [RFC4520] for use in this technical specification.

IANAは、この技術仕様で使用するためにLDAPオブジェクト識別子[RFC4520]を登録しています。

Subject: Request for LDAP OID Registration Person & email address to contact for further information: Kurt Zeilenga <kurt@OpenLDAP.org> Specification: RFC 4523 Author/Change Controller: IESG Comments: Identifies the LDAP X.509 Certificate schema elements introduced in this document.

件名:LDAP OID登録人のリクエスト担当者と電子メールアドレスを連絡先に詳細については、Kurt Zeilenga <kurt@openldap.org>仕様:RFC 4523著者/変更コントローラー:IESGコメント:これに導入されたLDAP X.509証明書スキーマ要素を識別します書類。

7.2. Descriptor Registration
7.2. 記述子登録

The IANA has updated the LDAP Descriptor registry [RFC44520] as indicated below.

IANAは、以下に示すように、LDAP記述レジストリ[RFC44520]を更新しました。

      Subject: Request for LDAP Descriptor Registration
      Descriptor (short name): see table
      Object Identifier: see table
      Person & email address to contact for further information:
          Kurt Zeilenga <kurt@OpenLDAP.org>
      Usage: see table
      Specification: RFC 4523
      Author/Change Controller: IESG
        
      algorithmIdentifierMatch     M 2.5.13.40
      authorityRevocationList      A 2.5.4.38 *
      cACertificate                A 2.5.4.37 *
      cRLDistributionPoint         O 2.5.6.19 *
      certificateExactMatch        M 2.5.13.34
      certificateListExactMatch    M 2.5.13.38
      certificateListMatch         M 2.5.13.39
      certificateMatch             M 2.5.13.35
      certificatePairExactMatch    M 2.5.13.36
      certificatePairMatch         M 2.5.13.37
      certificateRevocationList    A 2.5.4.39 *
      certificationAuthority       O 2.5.6.16 *
      certificationAuthority-V2    O 2.5.6.16.2 *
      crossCertificatePair         A 2.5.4.40 *
            deltaCRL                     O 2.5.6.23 *
      deltaRevocationList          A 2.5.4.53 *
      pkiCA                        O 2.5.6.22 *
      pkiUser                      O 2.5.6.21 *
      strongAuthenticationUser     O 2.5.6.15 *
      supportedAlgorithms          A 2.5.4.52 *
      userCertificate              A 2.5.4.36 *
      userSecurityInformation      O 2.5.6.18 *
        

* Updates previous registration

* 前の登録を更新します

8. Acknowledgements
8. 謝辞

This document is based on X.509, a product of the ITU-T. A number of LDAP schema definitions were based on those found in RFCs 2252 and 2256, both products of the IETF ASID WG. The ABNF productions in Appendix A were provided by Steven Legg. Additional material was borrowed from prior works by David Chadwick and Steven Legg to refine the LDAP X.509 schema.

このドキュメントは、ITU-Tの製品であるX.509に基づいています。多くのLDAPスキーマ定義は、RFCS 2252および2256で見つかったものに基づいており、両方のIETF ASID WGの製品です。付録AのABNFプロダクションは、Steven Leggによって提供されました。David ChadwickとSteven Leggによる以前の作品から追加の資料が借用され、LDAP X.509スキーマが洗練されました。

9. References
9. 参考文献
9.1. Normative References
9.1. 引用文献

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。

[RFC3641] Legg, S., "Generic String Encoding Rules (GSER) for ASN.1 Types", RFC 3641, October 2003.

[RFC3641] Legg、S。、「ASN.1タイプの一般的な文字列エンコードルール(GSER)」、RFC 3641、2003年10月。

[RFC4510] Zeilenga, K., Ed., "Lightweight Directory Access Protocol (LDAP): Technical Specification Road Map", RFC 4510, June 2006.

[RFC4510] Zeilenga、K。、ed。、「Lightweight Directory Access Protocol(LDAP):技術仕様ロードマップ」、RFC 4510、2006年6月。

[RFC4512] Zeilenga, K., "Lightweight Directory Access Protocol (LDAP): Directory Information Models", RFC 4512, June 2006.

[RFC4512] Zeilenga、K。、「Lightweight Directory Access Protocol(LDAP):ディレクトリ情報モデル」、RFC 4512、2006年6月。

[RFC4522] Legg, S., "Lightweight Directory Access Protocol (LDAP): The Binary Encoding Option", RFC 4522, June 2006.

[RFC4522] Legg、S。、「Lightweight Directory Access Protocol(LDAP):バイナリエンコードオプション」、RFC 4522、2006年6月。

[X.509] International Telecommunication Union - Telecommunication Standardization Sector, "The Directory: Authentication Framework", X.509(2000).

[X.509]国際電気通信連合 - 通信標準化セクター、「ディレクトリ:認証フレームワーク」、X.509(2000)。

[X.521] International Telecommunication Union - Telecommunication Standardization Sector, "The Directory: Selected Object Classes", X.521(2000).

[X.521]国際電気通信連合 - 通信標準化セクター、「ディレクトリ:選択されたオブジェクトクラス」、X.521(2000)。

[X.690] International Telecommunication Union - Telecommunication Standardization Sector, "Specification of ASN.1 encoding rules: Basic Encoding Rules (BER), Canonical Encoding Rules (CER), and Distinguished Encoding Rules (DER)", X.690(2002) (also ISO/IEC 8825-1:2002).

[x.690]国際通信連合 - 通信標準化セクター、「ASN.1エンコーディングルールの仕様:基本エンコーディングルール(BER)、標準エンコードルール(CER)、および区別されたエンコードルール(der)」、X.690(2002)(ISO/IEC 8825-1:2002)。

9.2. Informative References
9.2. 参考引用

[RFC1777] Yeong, W., Howes, T., and S. Kille, "Lightweight Directory Access Protocol", RFC 1777, March 1995.

[RFC1777] Yeong、W.、Howes、T。、およびS. Kille、「Lightweight Directory Access Protocol」、RFC 1777、1995年3月。

[RFC2156] Kille, S., "MIXER (Mime Internet X.400 Enhanced Relay): Mapping between X.400 and RFC 822/MIME", RFC 2156, January 1998.

[RFC2156] Kille、S。、「Mixer(Mime Internet X.400 Enhanced Relay):X.400とRFC 822/MIMEの間のマッピング」、RFC 2156、1998年1月。

[RFC3280] Housley, R., Polk, W., Ford, W., and D. Solo, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 3280, April 2002.

[RFC3280] Housley、R.、Polk、W.、Ford、W.、およびD. Solo、「インターネットX.509公開キーインフラストラクチャ証明書および証明書取消リスト(CRL)プロファイル」、RFC 3280、2002年4月。

[RFC3494] Zeilenga, K., "Lightweight Directory Access Protocol version 2 (LDAPv2) to Historic Status", RFC 3494, March 2003.

[RFC3494] Zeilenga、K。、「Lightweight Directory Access Protocolバージョン2(LDAPV2)への歴史的ステータス」、RFC 3494、2003年3月。

[RFC3642] Legg, S., "Common Elements of Generic String Encoding Rules (GSER) Encodings", RFC 3642, October 2003.

[RFC3642] Legg、S。、「一般的な文字列エンコーディングルール(GSER)エンコーディングの共通要素」、RFC 3642、2003年10月。

[RFC4234] Crocker, D. and P. Overell, "Augmented BNF for Syntax Specifications: ABNF", RFC 4234, October 2005.

[RFC4234] Crocker、D。およびP. Overell、「構文仕様のためのBNFの増強:ABNF」、RFC 4234、2005年10月。

[RFC4511] Sermersheim, J., Ed., "Lightweight Directory Access Protocol (LDAP): The Protocol", RFC 4511, June 2006.

[RFC4511] Sermersheim、J.、ed。、「Lightweight Directory Access Protocol(LDAP):The Protocol」、RFC 4511、2006年6月。

[RFC4513] Harrison, R. Ed., "Lightweight Directory Access Protocol (LDAP): Authentication Methods and Security Mechanisms", RFC 4513, June 2006.

[RFC4513] Harrison、R。Ed。、「Lightweight Directory Access Protocol(LDAP):認証方法とセキュリティメカニズム」、RFC 4513、2006年6月。

[RFC4520] Zeilenga, K., "Internet Assigned Numbers Authority (IANA) Considerations for the Lightweight Directory Access Protocol (LDAP)", BCP 64, RFC 4520, June 2006.

[RFC4520] Zeilenga、K。、「Internet Assigned Numbers Authority(IANA)Lightwight Directory Access Protocol(LDAP)の考慮事項」、BCP 64、RFC 4520、2006年6月。

Appendix A.

付録A。

This appendix is informative.

この付録は有益です。

This appendix provides ABNF [RFC4234] grammars for GSER-based [RFC3641] LDAP-specific encodings specified in this document. These grammars where produced using, and relying on, Common Elements for GSER Encodings [RFC3642].

この付録は、このドキュメントで指定されたGSERベースの[RFC3641] LDAP固有のエンコーディング用のABNF [RFC4234]グラマーを提供します。GSERエンコーディングの共通要素を使用し、依存しているこれらの文法[RFC3642]。

A.1. CertificateExactAssertion
A.1. certifateexactAssertion

CertificateExactAssertion = "{" sp cea-serialNumber "," sp cea-issuer sp "}"

cermeartexactassertion = "{" sp cea-serialnumber "、" sp cea-issuer sp "}"

cea-serialNumber = id-serialNumber msp CertificateSerialNumber cea-issuer = id-issuer msp Name

cea-serialnumber = id-serialnumbermsp certificateserialnumber cea-issuer = id-issuer msp name

   id-serialNumber =
        %x73.65.72.69.61.6C.4E.75.6D.62.65.72 ; 'serialNumber'
   id-issuer = %x69.73.73.75.65.72 ; 'issuer'
        
   Name = id-rdnSequence ":" RDNSequence
   id-rdnSequence = %x72.64.6E.53.65.71.75.65.6E.63.65 ; 'rdnSequence'
        
   CertificateSerialNumber = INTEGER
        
A.2. CertificateAssertion
A.2. 証明書の想定
CertificateAssertion = "{" [ sp ca-serialNumber ]
     [ sep sp ca-issuer ]
     [ sep sp ca-subjectKeyIdentifier ]
     [ sep sp ca-authorityKeyIdentifier ]
     [ sep sp ca-certificateValid ]
     [ sep sp ca-privateKeyValid ]
     [ sep sp ca-subjectPublicKeyAlgID ]
     [ sep sp ca-keyUsage ]
     [ sep sp ca-subjectAltName ]
     [ sep sp ca-policy ]
     [ sep sp ca-pathToName ]
     [ sep sp ca-subject ]
     [ sep sp ca-nameConstraints ] sp "}"
        

ca-serialNumber = id-serialNumber msp CertificateSerialNumber ca-issuer = id-issuer msp Name ca-subjectKeyIdentifier = id-subjectKeyIdentifier msp SubjectKeyIdentifier ca-authorityKeyIdentifier = id-authorityKeyIdentifier msp AuthorityKeyIdentifier

ca-serialnumber = id-serialnumbermsp certificateserialnumber ca-issuer = id-issuer name ca-subjectkeyidentifier = id-subjecteyidentifier msp subjeckeyidentifier ca-authoritykeyedifier = id-authoritykeyidentifier msp authorideyidentifier

ca-certificateValid = id-certificateValid msp Time ca-privateKeyValid = id-privateKeyValid msp GeneralizedTime ca-subjectPublicKeyAlgID = id-subjectPublicKeyAlgID msp OBJECT-IDENTIFIER ca-keyUsage = id-keyUsage msp KeyUsage ca-subjectAltName = id-subjectAltName msp AltNameType ca-policy = id-policy msp CertPolicySet ca-pathToName = id-pathToName msp Name ca-subject = id-subject msp Name ca-nameConstraints = id-nameConstraints msp NameConstraintsSyntax

ca-certificatevalid = id-certificatevalid msp time ca-privatekeyvalid = id-privatekeyvalid msp generalizedtime ca-subjectpublickeyalgid = id-subjectpublickeyalgid msp-identifier ca-keyusage = id-keyusage msp keyusage ca-subjectname= id-policy msp certpolicyset ca-pathtoname = id-pathtoname msp name ca-subject = id-subject msp name ca-nameconstraints = id-nameconstraints msp nameconstraintssyntax

id-subjectKeyIdentifier =
     %x73.75.62.6A.65.63.74.4B.65.79.49.64.65.6E.74.69.66.69.65.72
     ; 'subjectKeyIdentifier'
id-authorityKeyIdentifier =
     %x61.75.74.68.6F.72.69.74.79.4B.65.79.49.64.65.6E.74.69.66.69.65.72
     ; 'authorityKeyIdentifier'
id-certificateValid = %x63.65.72.74.69.66.69.63.61.74.65.56.61.6C.69.64
     ; 'certificateValid'
id-privateKeyValid = %x70.72.69.76.61.74.65.4B.65.79.56.61.6C.69.64
     ; 'privateKeyValid'
id-subjectPublicKeyAlgID  =
     %x73.75.62.6A.65.63.74.50.75.62.6C.69.63.4B.65.79.41.6C.67.49.44
     ; 'subjectPublicKeyAlgID'
id-keyUsage = %x6B.65.79.55.73.61.67.65 ; 'keyUsage'
id-subjectAltName = %x73.75.62.6A.65.63.74.41.6C.74.4E.61.6D.65
     ; 'subjectAltName'
id-policy = %x70.6F.6C.69.63.79 ; 'policy'
id-pathToName = %x70.61.74.68.54.6F.4E.61.6D.65 ; 'pathToName'
id-subject = %x73.75.62.6A.65.63.74 ; 'subject'
id-nameConstraints = %x6E.61.6D.65.43.6F.6E.73.74.72.61.69.6E.74.73
     ; 'nameConstraints'
        
SubjectKeyIdentifier = KeyIdentifier
        
KeyIdentifier = OCTET-STRING
        

AuthorityKeyIdentifier = "{" [ sp aki-keyIdentifier ] [ sep sp aki-authorityCertIssuer ] [ sep sp aki-authorityCertSerialNumber ] sp "}"

authoridKeyIdentifier = "{" [sp aki-keyidentifier] [Sep sp aki-authoritycertissuer] [Sep sp aki-authoritycertserialnumber] sp "}"

aki-keyIdentifier = id-keyIdentifier msp KeyIdentifier aki-authorityCertIssuer = id-authorityCertIssuer msp GeneralNames

aki-keyidentifier = id-keyidentifier msp keyidentifier aki-authoritycertissuer = id-authoritycertissuer msp generalnames

GeneralNames = "{" sp GeneralName *( "," sp GeneralName ) sp "}"
GeneralName  = gn-otherName
     / gn-rfc822Name
     / gn-dNSName
        
     / gn-x400Address
     / gn-directoryName
     / gn-ediPartyName
     / gn-uniformResourceIdentifier
     / gn-iPAddress
     / gn-registeredID
        
gn-otherName = id-otherName ":" OtherName
gn-rfc822Name = id-rfc822Name ":" IA5String
gn-dNSName = id-dNSName ":" IA5String
gn-x400Address = id-x400Address ":" ORAddress
gn-directoryName = id-directoryName ":" Name
gn-ediPartyName = id-ediPartyName ":" EDIPartyName
gn-iPAddress = id-iPAddress ":" OCTET-STRING
gn-registeredID = gn-id-registeredID ":" OBJECT-IDENTIFIER
        

gn-uniformResourceIdentifier = id-uniformResourceIdentifier ":" IA5String

gn-uniformresourceIdentifier = id-uniformresourceIdentifier ":" ia5string

id-otherName = %x6F.74.68.65.72.4E.61.6D.65 ; 'otherName'
gn-id-registeredID = %x72.65.67.69.73.74.65.72.65.64.49.44
     ; 'registeredID'
        
OtherName = "{" sp on-type-id "," sp on-value sp "}"
on-type-id = id-type-id msp OBJECT-IDENTIFIER
on-value = id-value msp Value
     ;; <Value> as defined in Section 3 of [RFC3641]
        
id-type-id = %x74.79.70.65.2D.69.64 ; 'type-id'
id-value = %x76.61.6C.75.65 ; 'value'
        
ORAddress = dquote *SafeIA5Character dquote
SafeIA5Character = %x01-21 / %x23-7F / ; ASCII minus dquote
     dquote dquote ; escaped double quote
dquote = %x22 ; '"' (double quote)
        
;; Note: The <ORAddress> rule encodes the x400Address component
;; of a GeneralName as a character string between double quotes.
;; The character string is first derived according to Section 4.1
;; of [RFC2156], and then any embedded double quotes are escaped
;; by being repeated. This resulting string is output between
;; double quotes.
        
EDIPartyName = "{" [ sp nameAssigner "," ] sp partyName sp "}"
nameAssigner = id-nameAssigner msp DirectoryString
partyName = id-partyName msp DirectoryString
id-nameAssigner = %x6E.61.6D.65.41.73.73.69.67.6E.65.72
     ; 'nameAssigner'
        
id-partyName    = %x70.61.72.74.79.4E.61.6D.65 ; 'partyName'
        

aki-authorityCertSerialNumber = id-authorityCertSerialNumber msp CertificateSerialNumber

aki-authoritycertserialnumber = id-authoritycertserialnumber msp certificateserialnumber

id-keyIdentifier = %x6B.65.79.49.64.65.6E.74.69.66.69.65.72
     ; 'keyIdentifier'
id-authorityCertIssuer =
     %x61.75.74.68.6F.72.69.74.79.43.65.72.74.49.73.73.75.65.72
     ; 'authorityCertIssuer'
        
id-authorityCertSerialNumber = %x61.75.74.68.6F.72.69.74.79.43
     %x65.72.74.53.65.72.69.61.6C.4E.75.6D.62.65.72
     ; 'authorityCertSerialNumber'
        
Time = time-utcTime / time-generalizedTime
time-utcTime = id-utcTime ":" UTCTime
time-generalizedTime = id-generalizedTime ":" GeneralizedTime
id-utcTime = %x75.74.63.54.69.6D.65 ; 'utcTime'
id-generalizedTime = %x67.65.6E.65.72.61.6C.69.7A.65.64.54.69.6D.65
     ; 'generalizedTime'
        
KeyUsage = BIT-STRING / key-usage-bit-list
key-usage-bit-list = "{" [ sp key-usage *( "," sp key-usage ) ] sp "}"
        

;; Note: The <key-usage-bit-list> rule encodes the one bits in ;; a KeyUsage value as a comma separated list of identifiers.

;;注:<key-usage-bit-list>ルールは、1つのビットをエンコードします;;識別子のコンマ分離リストとしてのキーユーザー値。

key-usage = id-digitalSignature
     / id-nonRepudiation
     / id-keyEncipherment
     / id-dataEncipherment
     / id-keyAgreement
     / id-keyCertSign
     / id-cRLSign
     / id-encipherOnly
     / id-decipherOnly
        
id-digitalSignature = %x64.69.67.69.74.61.6C.53.69.67.6E.61.74
     %x75.72.65 ; 'digitalSignature'
id-nonRepudiation   = %x6E.6F.6E.52.65.70.75.64.69.61.74.69.6F.6E
     ; 'nonRepudiation'
id-keyEncipherment  = %x6B.65.79.45.6E.63.69.70.68.65.72.6D.65.6E.74
     ; 'keyEncipherment'
id-dataEncipherment = %x64.61.74.61.45.6E.63.69.70.68.65.72.6D.65.6E
     %x74 ; "dataEncipherment'
id-keyAgreement     = %x6B.65.79.41.67.72.65.65.6D.65.6E.74
     ; 'keyAgreement'
        
id-keyCertSign      = %x6B.65.79.43.65.72.74.53.69.67.6E
     ; 'keyCertSign'
id-cRLSign          = %x63.52.4C.53.69.67.6E ; "cRLSign"
id-encipherOnly     = %x65.6E.63.69.70.68.65.72.4F.6E.6C.79
     ; 'encipherOnly'
id-decipherOnly     = %x64.65.63.69.70.68.65.72.4F.6E.6C.79
     ; 'decipherOnly'
        
AltNameType = ant-builtinNameForm / ant-otherNameForm
        
ant-builtinNameForm = id-builtinNameForm ":" BuiltinNameForm
ant-otherNameForm = id-otherNameForm ":" OBJECT-IDENTIFIER
        
id-builtinNameForm = %x62.75.69.6C.74.69.6E.4E.61.6D.65.46.6F.72.6D
     ; 'builtinNameForm'
id-otherNameForm   = %x6F.74.68.65.72.4E.61.6D.65.46.6F.72.6D
     ; 'otherNameForm'
        
BuiltinNameForm  = id-rfc822Name
     / id-dNSName
     / id-x400Address
     / id-directoryName
     / id-ediPartyName
     / id-uniformResourceIdentifier
     / id-iPAddress
     / id-registeredId
        
id-rfc822Name = %x72.66.63.38.32.32.4E.61.6D.65 ; 'rfc822Name'
id-dNSName = %x64.4E.53.4E.61.6D.65 ; 'dNSName'
id-x400Address  = %x78.34.30.30.41.64.64.72.65.73.73 ; 'x400Address'
id-directoryName = %x64.69.72.65.63.74.6F.72.79.4E.61.6D.65
     ; 'directoryName'
id-ediPartyName  = %x65.64.69.50.61.72.74.79.4E.61.6D.65
     ; 'ediPartyName'
id-iPAddress = %x69.50.41.64.64.72.65.73.73 ; 'iPAddress'
id-registeredId = %x72.65.67.69.73.74.65.72.65.64.49.64
     ; 'registeredId'
        
id-uniformResourceIdentifier = %x75.6E.69.66.6F.72.6D.52.65.73.6F.75
     %x72.63.65.49.64.65.6E.74.69.66.69.65.72
     ; 'uniformResourceIdentifier'
        
CertPolicySet = "{" sp CertPolicyId *( "," sp CertPolicyId ) sp "}"
CertPolicyId = OBJECT-IDENTIFIER
        

NameConstraintsSyntax = "{" [ sp ncs-permittedSubtrees ] [ sep sp ncs-excludedSubtrees ] sp "}"

nameconstraintssyntax = "{" [sp ncs-formitedsubtrees] [sep sp ncs-excludedsubtree] sp "}"

ncs-permittedSubtrees = id-permittedSubtrees msp GeneralSubtrees ncs-excludedSubtrees = id-excludedSubtrees msp GeneralSubtrees

NCS-PermitedSubtrees = ID-PERMITEDSUBTREES MSP GERENERALSUBTREES NCS-EXCLUDEDSUBTREES = ID-EXCLUDEDSUBTREES MSP GeneralAlsubtrees

id-permittedSubtrees = %x70.65.72.6D.69.74.74.65.64.53.75.62.74.72.65.65.73 ; 'permittedSubtrees' id-excludedSubtrees = %x65.78.63.6C.75.64.65.64.53.75.62.74.72.65.65.73 ; 'excludedSubtrees'

IS-exatedサブツリー=%x70.65.72.6d.69.74.74.65.53.75.62.74.72.65.65.73;「許可されたサブツリー」id-xcluedサブツリー=%x65.78.63.6c.75.64.65.64.53.75.62.74.72.65.65.73;「expluedsubtrees」

GeneralSubtrees = "{" sp GeneralSubtree
     *( "," sp GeneralSubtree ) sp "}"
GeneralSubtree  = "{" sp gs-base
     [ "," sp gs-minimum ]
     [ "," sp gs-maximum ] sp "}"
        

gs-base = id-base msp GeneralName gs-minimum = id-minimum msp BaseDistance gs-maximum = id-maximum msp BaseDistance

gs-base = id-base msp generalname gs-minimum = id-minimum msp basedistance gs-maximum = id-maximum msp basedistance

id-base = %x62.61.73.65 ; 'base'
id-minimum = %x6D.69.6E.69.6D.75.6D ; 'minimum'
id-maximum = %x6D.61.78.69.6D.75.6D ; 'maximum'
        
BaseDistance = INTEGER-0-MAX
        
A.3. CertificatePairExactAssertion
A.3. certificatepairexActaStion

CertificatePairExactAssertion = "{" [ sp cpea-issuedTo ] [sep sp cpea-issuedBy ] sp "}" ;; At least one of <cpea-issuedTo> or <cpea-issuedBy> MUST be present.

certificatepairexactassertion = "{" [sp cpea-issuedto] [sep sp cpea-suedby] sp "}" ;;<cpea-issuedto>または<cpea-issuedby>の少なくとも1つが存在する必要があります。

cpea-issuedTo = id-issuedToThisCAAssertion msp CertificateExactAssertion cpea-issuedBy = id-issuedByThisCAAssertion msp CertificateExactAssertion

CPEA-ISSUEDTO = ID-ISSUEDTOTHISCAASSERTION MSP証明書EXACTASSERTION CPEA-ISSUEDBY = ID-ISSUEDBYTHISCAASSERTION MSP証明書ExactAssertion

  id-issuedToThisCAAssertion = %x69.73.73.75.65.64.54.6F.54.68.69.73
       %x43.41.41.73.73.65.72.74.69.6F.6E ; 'issuedToThisCAAssertion'
  id-issuedByThisCAAssertion = %x69.73.73.75.65.64.42.79.54.68.69.73
       %x43.41.41.73.73.65.72.74.69.6F.6E ; 'issuedByThisCAAssertion'
        
A.4. CertificatePairAssertion
A.4. 証明書のパイラアサート

CertificatePairAssertion = "{" [ sp cpa-issuedTo ] [sep sp cpa-issuedBy ] sp "}" ;; At least one of <cpa-issuedTo> and <cpa-issuedBy> MUST be present.

certificatepairassertion = "{" [sp cpa-issuedto] [sep sp cpa-suedby] sp "}" ;;<cpa-issuedto>と<cpa-issuedby>の少なくとも1つが存在する必要があります。

cpa-issuedTo = id-issuedToThisCAAssertion msp CertificateAssertion cpa-issuedBy = id-issuedByThisCAAssertion msp CertificateAssertion

cpa-issuedto = id-issuedtothiscaassertion msp cermolatateassertion cpa-issuedby = id-issuedbythiscaassertion msp cermolatateassertion

A.5. CertificateListExactAssertion
A.5. cermostAteListexActAssertion

CertificateListExactAssertion = "{" sp clea-issuer "," sp clea-thisUpdate [ "," sp clea-distributionPoint ] sp "}"

cermosteListexactaStion = "{" sp clea-issuer "、" sp clea-thisupdate ["、" sp clea-distributionpoint] sp "}"

clea-issuer = id-issuer msp Name clea-thisUpdate = id-thisUpdate msp Time clea-distributionPoint = id-distributionPoint msp DistributionPointName

clea-issuer = id-issuer msp name clea-thisupdate = id-thisupdate msp time clea-distributionpoint = id-distributionpoint msp distributionpointname

   id-thisUpdate = %x74.68.69.73.55.70.64.61.74.65 ; 'thisUpdate'
   id-distributionPoint =
        %x64.69.73.74.72.69.62.75.74.69.6F.6E.50.6F.69.6E.74
        ; 'distributionPoint'
        

DistributionPointName = dpn-fullName / dpn-nameRelativeToCRLIssuer

distributionpointName = dpn-fullname / dpn-namerelativeTocrlissuer

dpn-fullName = id-fullName ":" GeneralNames dpn-nameRelativeToCRLIssuer = id-nameRelativeToCRLIssuer ":" RelativeDistinguishedName

dpn-fullname = id-fullname ":" generalnames dpn-namereLativeTocrlissuer = id-namerelativeTocrlissuer ":" letativedistinguishedname

   id-fullName = %x66.75.6C.6C.4E.61.6D.65 ; 'fullName'
   id-nameRelativeToCRLIssuer = %x6E.61.6D.65.52.65.6C.61.74.69.76.65
        %x54.6F.43.52.4C.49.73.73.75.65.72 ; 'nameRelativeToCRLIssuer'
        
A.6. CertificateListAssertion
A.6. CertivationAtelistAssertion
   CertificateListAssertion = "{" [ sp cla-issuer ]
        [ sep sp cla-minCRLNumber ]
        [ sep sp cla-maxCRLNumber ]
        [ sep sp cla-reasonFlags ]
        [ sep sp cla-dateAndTime ]
        [ sep sp cla-distributionPoint ]
        [ sep sp cla-authorityKeyIdentifier ] sp "}"
        

cla-issuer = id-issuer msp Name cla-minCRLNumber = id-minCRLNumber msp CRLNumber cla-maxCRLNumber = id-maxCRLNumber msp CRLNumber cla-reasonFlags = id-reasonFlags msp ReasonFlags cla-dateAndTime = id-dateAndTime msp Time

cla-issuer = id-issuer msp name cla-mincrlnumber = id-mincrlnumber msp crlnumber cra-maxcrlnumber = id-maxcrlnumber msp crlnumber crlnumber cra-reasonflags = id-reasonflags msp reasonflags cla-dateandtime = id-dateandtime msp time time time time time time time time

cla-distributionPoint = id-distributionPoint msp DistributionPointName

cla-distributionpoint = id-distributionpoint msp distributionpointName

cla-authorityKeyIdentifier = id-authorityKeyIdentifier msp AuthorityKeyIdentifier

cla-authoritykeyidentifier = id-authoritykeyidentifier msp authoridkeyidentifier

   id-minCRLNumber = %x6D.69.6E.43.52.4C.4E.75.6D.62.65.72
        ; 'minCRLNumber'
   id-maxCRLNumber = %x6D.61.78.43.52.4C.4E.75.6D.62.65.72
        ; 'maxCRLNumber'
   id-reasonFlags = %x72.65.61.73.6F.6E.46.6C.61.67.73 ; 'reasonFlags'
   id-dateAndTime = %x64.61.74.65.41.6E.64.54.69.6D.65 ; 'dateAndTime'
        
   CRLNumber = INTEGER-0-MAX
        
   ReasonFlags = BIT-STRING
        / "{" [ sp reason-flag *( "," sp reason-flag ) ] sp "}"
        
   reason-flag = id-unused
        / id-keyCompromise
        / id-cACompromise
        / id-affiliationChanged
        / id-superseded
        / id-cessationOfOperation
        / id-certificateHold
        / id-privilegeWithdrawn
        / id-aACompromise
        
   id-unused = %x75.6E.75.73.65.64 ; 'unused'
   id-keyCompromise = %x6B.65.79.43.6F.6D.70.72.6F.6D.69.73.65
        ; 'keyCompromise'
   id-cACompromise = %x63.41.43.6F.6D.70.72.6F.6D.69.73.65
        ; 'cACompromise'
   id-affiliationChanged =
        %x61.66.66.69.6C.69.61.74.69.6F.6E.43.68.61.6E.67.65.64
        ; 'affiliationChanged'
   id-superseded = %x73.75.70.65.72.73.65.64.65.64 ; 'superseded'
   id-cessationOfOperation =
        %x63.65.73.73.61.74.69.6F.6E.4F.66.4F.70.65.72.61.74.69.6F.6E
        ; 'cessationOfOperation'
   id-certificateHold = %x63.65.72.74.69.66.69.63.61.74.65.48.6F.6C.64
        ; 'certificateHold'
   id-privilegeWithdrawn =
        %x70.72.69.76.69.6C.65.67.65.57.69.74.68.64.72.61.77.6E
        ; 'privilegeWithdrawn'
        
   id-aACompromise = %x61.41.43.6F.6D.70.72.6F.6D.69.73.65
        ; 'aACompromise'
        
A.7. AlgorithmIdentifier
A.7. AlgorithMidentifier

AlgorithmIdentifier = "{" sp ai-algorithm [ "," sp ai-parameters ] sp "}"

algorithmidentifier = "{" sp ai-algorithm ["、" sp ai-parameters] sp "}"

   ai-algorithm = id-algorithm msp OBJECT-IDENTIFIER
   ai-parameters = id-parameters msp Value
   id-algorithm = %x61.6C.67.6F.72.69.74.68.6D ; 'algorithm'
   id-parameters = %x70.61.72.61.6D.65.74.65.72.73 ; 'parameters'
        

Author's Address

著者の連絡先

Kurt D. Zeilenga OpenLDAP Foundation

Kurt D. Zeilenga OpenLdap Foundation

   EMail: Kurt@OpenLDAP.org
        

Full Copyright Statement

完全な著作権声明

Copyright (C) The Internet Society (2006).

Copyright(c)The Internet Society(2006)。

This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.

この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。

This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供されています。また、貢献者、彼/彼女が代表する組織(もしあれば)が後援する組織、インターネット協会とインターネット工学タスクフォースは、すべての保証、明示的または明示的、またはすべての保証を否認します。本書の情報の使用が、商品性または特定の目的に対する適合性の権利または黙示的な保証を侵害しないという保証を含むがこれらに限定されないことを含む。

Intellectual Property

知的財産

The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.

IETFは、知的財産権またはその他の権利の有効性または範囲に関して、本書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスに基づくライセンスの範囲に関連すると主張される可能性のある他の権利に関しては、立場を取得しません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。

Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.

IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。

The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.

IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要なテクノロジーをカバーする可能性のあるその他の独自の権利を注意深く招待します。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。

Acknowledgement

謝辞

Funding for the RFC Editor function is provided by the IETF Administrative Support Activity (IASA).

RFCエディター機能の資金は、IETF管理サポートアクティビティ(IASA)によって提供されます。