[要約] RFC 5924は、SIP X.509証明書のための拡張キー使用(EKU)に関する規格です。このRFCの目的は、SIPセッションのセキュリティを向上させるために、証明書の使用方法を明確に定義することです。
Internet Engineering Task Force (IETF) S. Lawrence
Request for Comments: 5924
Category: Experimental V. Gurbani
ISSN: 2070-1721 Bell Laboratories, Alcatel-Lucent
June 2010
Extended Key Usage (EKU) for Session Initiation Protocol (SIP) X.509 Certificates
セッション開始プロトコル(SIP)X.509証明書のための拡張キー使用(EKU)
Abstract
概要
This memo documents an extended key usage (EKU) X.509 certificate extension for restricting the applicability of a certificate to use with a Session Initiation Protocol (SIP) service. As such, in addition to providing rules for SIP implementations, this memo also provides guidance to issuers of certificates for use with SIP.
このメモは、セッション開始プロトコル(SIP)サービスで使用する証明書の適用性を制限するための拡張キー使用(EKU)X.509証明書延長を文書化します。そのため、SIP実装のルールを提供することに加えて、このメモは、SIPで使用する証明書の発行者へのガイダンスも提供します。
Status of This Memo
本文書の位置付け
This document is not an Internet Standards Track specification; it is published for examination, experimental implementation, and evaluation.
このドキュメントは、インターネット標準の追跡仕様ではありません。試験、実験的実装、および評価のために公開されています。
This document defines an Experimental Protocol for the Internet community. This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントは、インターネットコミュニティの実験プロトコルを定義しています。このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補者ではありません。RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc5924.
このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、http://www.rfc-editor.org/info/rfc5924で取得できます。
Copyright Notice
著作権表示
Copyright (c) 2010 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2010 IETF Trustおよび文書著者として特定された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
このドキュメントは、BCP 78およびIETFドキュメント(http://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、単純化されたBSDライセンスで説明されているように保証なしで提供される簡略化されたBSDライセンステキストを含める必要があります。
This document may contain material from IETF Documents or IETF Contributions published or made publicly available before November 10, 2008. The person(s) controlling the copyright in some of this material may not have granted the IETF Trust the right to allow modifications of such material outside the IETF Standards Process. Without obtaining an adequate license from the person(s) controlling the copyright in such materials, this document may not be modified outside the IETF Standards Process, and derivative works of it may not be created outside the IETF Standards Process, except to format it for publication as an RFC or to translate it into languages other than English.
このドキュメントには、2008年11月10日までに公開または公開されたIETFドキュメントまたはIETFの寄付からの資料が含まれている場合があります。IETF標準プロセスの外。そのような資料の著作権を制御する人から適切なライセンスを取得せずに、このドキュメントはIETF標準プロセスの外側に変更されない場合があり、その派生作業は、ITF標準プロセスの外側で作成されない場合があります。RFCとしての出版またはそれを英語以外の言語に翻訳するため。
Table of Contents
目次
1. Introduction ....................................................3
2. Terminology .....................................................3
2.1. Key Words ..................................................3
2.2. Abstract Syntax Notation ...................................3
3. Problem Statement ...............................................3
4. Restricting Usage to SIP ........................................4
4.1. Extended Key Usage Values for SIP Domains ..................5
5. Using the SIP EKU in a Certificate ..............................5
6. Implications for a Certification Authority ......................6
7. Security Considerations .........................................6
8. IANA Considerations .............................................6
9. Acknowledgments .................................................7
10. Normative References ...........................................7
Appendix A. ASN.1 Module ..........................................8
This memo documents an extended key usage (EKU) X.509 certificate extension for restricting the applicability of a certificate to use with a Session Initiation Protocol (SIP) service. As such, in addition to providing rules for SIP implementations, this memo also provides guidance to issuers of certificates for use with SIP.
このメモは、セッション開始プロトコル(SIP)サービスで使用する証明書の適用性を制限するための拡張キー使用(EKU)X.509証明書延長を文書化します。そのため、SIP実装のルールを提供することに加えて、このメモは、SIPで使用する証明書の発行者へのガイダンスも提供します。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [1].
「必須」、「そうしない」、「必須」、「必要」、「しない」、「そうしない」、「そうではない」、「そうでない」、「推奨」、「5月」、および「オプション」は、RFC 2119 [1]に記載されているように解釈される。
Additionally, the following term is defined:
さらに、次の用語が定義されています。
SIP domain identity: A subject identity in the X.509 certificate that conveys to a recipient of the certificate that the certificate owner is authoritative for SIP services in the domain named by that subject identity.
SIPドメインID:証明書所有者がその主題IDによって名前が付けられたドメインのSIPサービスに対して権威あることを受信者に伝えるX.509証明書の主題ID。
All X.509 certificate X.509 [4] extensions are defined using ASN.1 X.680 [5], and X.690 [6].
すべてX.509証明書X.509 [4]拡張機能は、ASN.1 X.680 [5]およびX.690 [6]を使用して定義されます。
Consider the SIP RFC 3261 [2] actors shown in Figure 1.
図1に示すSIP RFC 3261 [2]俳優を考えてみましょう。
Proxy-A.example.com Proxy-B.example.net
+-------+ +-------+
| Proxy |--------------------| Proxy |
+----+--+ +---+---+
| |
| |
| |
| +---+
0---0 | |
/-\ |___|
+---+ / /
+----+
alice@example.com bob@example.net
Figure 1: SIP Trapezoid
図1:SIP台形
Assume that alice@example.com creates an INVITE for bob@example.net; her user agent routes the request to some proxy in her domain, example.com. Suppose also that example.com is a large organization that maintains several SIP proxies, and her INVITE arrived at an outbound proxy Proxy-A.example.com. In order to route the request onward, Proxy-A uses RFC 3263 [7] resolution and finds that Proxy-B.example.net is a valid proxy for example.net that uses Transport Layer Security (TLS). Proxy-A.example.com requests a TLS connection to Proxy-B.example.net, and in the TLS handshake each one presents a certificate to authenticate that connection. The validation of these certificates by each proxy to determine whether or not their peer is authoritative for the appropriate SIP domain is defined in "Domain Certificates in the Session Initiation Protocol (SIP)" [8].
alice@example.comがbob@example.netの招待を作成していると仮定します。彼女のユーザーエージェントは、彼女のドメインのexample.comのいくつかのプロキシにリクエストをルーティングします。また、example.comはいくつかのSIPプロキシを維持する大規模な組織であり、彼女の招待状がアウトバウンドプロキシ-A.example.comに到着したと仮定します。リクエストを以前にルーティングするために、proxy-aはRFC 3263 [7]解像度を使用し、proxy-b.example.netがトランスポートレイヤーセキュリティ(TLS)を使用する.netなどの有効なプロキシであることがわかります。proxy-a.example.comは、proxy-b.example.netへのTLS接続を要求し、TLSの握手では、それぞれがその接続を認証するために証明書を提示します。各プロキシによるこれらの証明書の検証により、ピアが適切なSIPドメインに対して権威あるかどうかを判断することは、「セッション開始プロトコル(SIP)のドメイン証明書」で定義されています[8]。
A SIP domain name is frequently textually identical to the same DNS name used for other purposes. For example, the DNS name example.com can serve as a SIP domain name, an email domain name, and a web service name. Since these different services within a single organization might be administered independently and hosted separately, it is desirable that a certificate be able to bind the DNS name to its usage as a SIP domain name without creating the implication that the entity presenting the certificate is also authoritative for some other purpose. A mechanism is needed to allow the certificate issued to a proxy to be restricted such that the subject name(s) that the certificate contains are valid only for use in SIP. In our example, Proxy-B possesses a certificate making Proxy-B authoritative as a SIP server for the domain example.net; furthermore, Proxy-B has a policy that requires the client's SIP domain be authenticated through a similar certificate. Proxy-A is authoritative as a SIP server for the domain example.com; when Proxy-A makes a TLS connection to Proxy-B, the latter accepts the connection based on its policy.
SIPドメイン名は、他の目的で使用される同じDNS名とテキストで同一に頻繁に同一です。たとえば、DNS名Example.comは、SIPドメイン名、電子メールドメイン名、およびWebサービス名として機能できます。単一の組織内のこれらのさまざまなサービスは独立して管理され、個別にホストされる可能性があるため、証明書が証明書を提示するエンティティが権威あるという意味を作成せずに、SIPドメイン名としてのDNS名をSIPドメイン名としてバインドできることが望ましい他の目的のために。証明書に含まれる件名がSIPでのみ使用するために有効であるように、プロキシに発行された証明書を制限することを許可するためには、メカニズムが必要です。この例では、Proxy-Bは、domain emple.netのSIPサーバーとしてproxy-bを権威あるものにする証明書を所有しています。さらに、Proxy-Bには、同様の証明書を介してクライアントのSIPドメインを認証することを要求するポリシーがあります。Proxy-Aは、domain example.comのSIPサーバーとして権威あるものです。Proxy-AがProxy-BへのTLS接続を行うと、後者はそのポリシーに基づいて接続を受け入れます。
This memo defines a certificate profile for restricting the usage of a domain name binding to usage as a SIP domain name. RFC 5280 [3], Section 4.2.1.12, defines a mechanism for this purpose: an "Extended Key Usage" (EKU) attribute, where the purpose of the EKU extension is described as:
このメモは、ドメイン名のバインディングの使用をSIPドメイン名として使用することを制限するための証明書プロファイルを定義します。RFC 5280 [3]、セクション4.2.1.12は、この目的のメカニズムを定義しています。「拡張キー使用量」(EKU)属性。EKU拡張の目的は次のとおりです。
If the extension is present, then the certificate MUST only be used for one of the purposes indicated. If multiple purposes are indicated the application need not recognize all purposes indicated, as long as the intended purpose is present. Certificate using applications MAY require that the extended key usage extension be present and that a particular purpose be indicated in order for the certificate to be acceptable to that application.
拡張機能が存在する場合、証明書は、示されている目的のいずれかにのみ使用する必要があります。複数の目的が示されている場合、目的の目的が存在する限り、アプリケーションは示されているすべての目的を認識する必要はありません。アプリケーションを使用した証明書には、拡張されたキー使用量拡張が存在すること、および証明書がそのアプリケーションに受け入れられるために特定の目的が示されることを要求する場合があります。
A Certificate Authority issuing a certificate whose purpose is to bind a SIP domain identity without binding other non-SIP identities MUST include an id-kp-sipDomain attribute in the Extended Key Usage extension value (see Section 4.1).
他の非SIPアイデンティティを拘束せずにSIPドメインIDをバインドすることを目的とする証明書を発行する証明書は、拡張されたキー使用量拡張値にID-KP-SIPDomain属性を含める必要があります(セクション4.1を参照)。
RFC 5280 [3] specifies the EKU X.509 certificate extension for use in the Internet. The extension indicates one or more purposes for which the certified public key is valid. The EKU extension can be used in conjunction with the key usage extension, which indicates how the public key in the certificate is used, in a more basic cryptographic way.
RFC 5280 [3]は、インターネットで使用するためのEKU X.509証明書拡張機能を指定します。拡張機能は、認定された公開キーが有効である1つ以上の目的を示します。EKU拡張機能は、より基本的な暗号化方法で、証明書の公開キーがどのように使用されるかを示すキー使用拡張機能と組み合わせて使用できます。
The EKU extension syntax is repeated here for convenience:
EKU拡張構文は、便利なためにここで繰り返されます。
ExtKeyUsageSyntax ::= SEQUENCE SIZE (1..MAX) OF KeyPurposeId
KeyPurposeId ::= OBJECT IDENTIFIER
This specification defines the KeyPurposeId id-kp-sipDomain. Inclusion of this KeyPurposeId in a certificate indicates that the use of any Subject names in the certificate is restricted to use by a SIP service (along with any usages allowed by other EKU values).
この仕様は、keypurposeId id-kp-sipdomainを定義します。証明書にこのkeypurposeIDを含めることは、証明書内のサブジェクト名の使用がSIPサービスでの使用に制限されていることを示しています(他のEKU値で許可されている使用とともに)。
id-kp OBJECT IDENTIFIER ::=
{ iso(1) identified-organization(3) dod(6) internet(1)
security(5) mechanisms(5) pkix(7) 3 }
id-kp-sipDomain OBJECT IDENTIFIER ::= { id-kp 20 }
Section 7.1 of Domain Certificates in the Session Initiation Protocol [8] contains the steps for finding an identity (or a set of identities) in an X.509 certificate for SIP. In order to determine whether the usage of a certificate is restricted to serve as a SIP certificate only, implementations MUST perform the steps given below as a part of the certificate validation: The implementation MUST examine the Extended Key Usage value(s):
セッション開始プロトコル[8]のドメイン証明書のセクション7.1には、SIPのX.509証明書にID(または一連のID)を見つける手順が含まれています。証明書の使用法がSIP証明書のみとして機能するように制限されているかどうかを判断するために、実装は証明書の検証の一部として以下の手順を実行する必要があります。
o If the certificate does not contain any EKU values (the Extended Key Usage extension does not exist), it is a matter of local policy whether or not to accept the certificate for use as a SIP certificate. Note that since certificates not following this specification will not have the id-kp-sipDomain EKU value, and many do not have any EKU values, the more interoperable local policy would be to accept the certificate.
o 証明書にEKU値が含まれていない場合(拡張キー使用拡張機能は存在しません)、SIP証明書として使用する証明書を受け入れるかどうかはローカルポリシーの問題です。この仕様に従わない証明書はID-KP-Sipdomain EKU値を持たず、多くの人にEKU値がないため、相互運用可能なローカルポリシーは証明書を受け入れることになることに注意してください。
o If the certificate contains the id-kp-sipDomain EKU extension, then implementations of this specification MUST consider the certificate acceptable for use as a SIP certificate.
o 証明書にID-KP-SIPDomain EKU拡張機能が含まれている場合、この仕様の実装は、SIP証明書として使用できる証明書を許容できると考える必要があります。
o If the certificate does not contain the id-kp-sipDomain EKU value, but does contain the id-kp-anyExtendedKeyUsage EKU value, it is a matter of local policy whether or not to consider the certificate acceptable for use as a SIP certificate.
o 証明書にID-KP-Sipdomain EKU値が含まれていないが、ID-KP-AnyextededKeyUsage EKU値が含まれている場合、証明書をSIP証明書として使用できると考えるかどうかはローカルポリシーの問題です。
o If the EKU extension exists, but does not contain any of the id-kp-sipDomain or id-kp-anyExtendedKeyUsage EKU values, then the certificate MUST NOT be accepted as valid for use as a SIP certificate.
o EKU拡張機能が存在するが、ID-KP-SIPDomainまたはID-KP-AnyextededKeyUsage EKU値のいずれも含まれていない場合、証明書はSIP証明書として使用するために有効として受け入れられてはなりません。
The procedures and practices employed by a certification authority MUST ensure that the correct values for the EKU extension and subjectAltName are inserted in each certificate that is issued. For certificates that indicate authority over a SIP domain, but not over services other than SIP, certificate authorities MUST include the id-kp-sipDomain EKU extension.
認証機関が採用している手順と慣行は、EKU拡張機能とSubjectAltNameの正しい値が発行される各証明書に挿入されることを保証する必要があります。SIPドメインに対する権限を示すが、SIP以外のサービスを超えない証明書については、証明書当局にはID-KP-Sipdomain EKU拡張機能を含める必要があります。
This memo defines an EKU X.509 certificate extension that restricts the usage of a certificate to a SIP service belonging to an autonomous domain. Relying parties can execute applicable policies (such as those related to billing) on receiving a certificate with the id-kp-sipDomain EKU value. An id-kp-sipDomain EKU value does not introduce any new security or privacy concerns.
このメモは、自律ドメインに属するSIPサービスに証明書の使用を制限するEKU X.509証明書拡張機能を定義します。頼る当事者は、ID-KP-Sipdomain EKU値の証明書を受け取る際に、適用されるポリシー(請求に関連するものなど)を実行できます。ID-KP-Sipdomain EKU値は、新しいセキュリティまたはプライバシーの懸念をもたらしません。
The id-kp-sipDomain purpose requires an object identifier (OID). The objects are defined in an arc delegated by IANA to the PKIX working group. No further action is necessary by IANA.
ID-KP-Sipdomain目的には、オブジェクト識別子(OID)が必要です。オブジェクトは、IANAによってPKIXワーキンググループに委任されたアークで定義されています。IANAによってそれ以上の行動は必要ありません。
The following IETF contributors provided substantive input to this document: Jeroen van Bemmel, Michael Hammer, Cullen Jennings, Paul Kyzivat, Derek MacDonald, Dave Oran, Jon Peterson, Eric Rescorla, Jonathan Rosenberg, Russ Housley, Paul Hoffman, and Stephen Kent.
次のIETF貢献者は、この文書に実質的な情報を提供しました:Jeroen Van Bemmel、Michael Hammer、Cullen Jennings、Paul Kyzivat、Derek MacDonald、Dave Oran、Jon Peterson、Eric Rescorla、Jonathan Rosenberg、Russ Housley、Paul Hoffman、Stephen Kent。
Sharon Boyen and Trevor Freeman reviewed the document and facilitated the discussion on id-kp-anyExtendedKeyUsage, id-kpServerAuth and id-kp-ClientAuth purposes in certificates.
Sharon BoyenとTrevor Freemanがこの文書をレビューし、証明書のID-KP-AnyextededKeyUsage、ID-Kpserverauth、ID-KP-Clientauthの目的に関する議論を促進しました。
[1] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[1] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[2] Rosenberg, J., Schulzrinne, H., Camarillo, G., Johnston, A., Peterson, J., Sparks, R., Handley, M., and E. Schooler, "SIP: Session Initiation Protocol", RFC 3261, June 2002.
[2] Rosenberg、J.、Schulzrinne、H.、Camarillo、G.、Johnston、A.、Peterson、J.、Sparks、R.、Handley、M。、およびE. Schooler、「SIP:SESSION INITIATION Protocol」、RFC 3261、2002年6月。
[3] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May 2008.
[3] Cooper、D.、Santesson、S.、Farrell、S.、Boeyen、S.、Housley、R。、およびW. Polk、「インターネットX.509公開キーインフラストラクチャ証明書および証明書取消リスト(CRL)プロファイル」、RFC5280、2008年5月。
[4] International Telecommunications Union, "Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks", ITU-T Recommendation X.509, ISO Standard 9594-8, March 2000.
[4] International Telecommunications Union、「情報技術 - オープンシステムの相互接続 - ディレクトリ:パブリックキーおよび属性証明書フレームワーク」、ITU-T推奨X.509、ISO Standard 9594-8、2000年3月。
[5] International International Telephone and Telegraph Consultative Committee, "Abstract Syntax Notation One (ASN.1): Specification of basic notation", CCITT Recommendation X.680, July 2002.
[5] 国際国際電話および電信協議委員会、「要約構文表記1(ASN.1):基本表記の仕様」、CCITT推奨X.680、2002年7月。
[6] International International Telephone and Telegraph Consultative Committee, "ASN.1 encoding rules: Specification of basic encoding Rules (BER), Canonical encoding rules (CER) and Distinguished encoding rules (DER)", CCITT Recommendation X.690, July 2002.
[6] 国際国際電話および電信協議委員会、「ASN.1エンコーディングルール:基本エンコードルール(BER)、標準エンコードルール(CER)および識別エンコードルール(DER)の仕様」、CCITT推奨X.690、2002年7月。
[7] Rosenberg, J. and H. Schulzrinne, "Session Initiation Protocol (SIP): Locating SIP Servers", RFC 3263, June 2002.
[7] Rosenberg、J。およびH. Schulzrinne、「セッション開始プロトコル(SIP):SIPサーバーの位置」、RFC 3263、2002年6月。
[8] Gurbani, V., Lawrence, S., and A. Jeffrey, "Domain Certificates in the Session Initiation Protocol (SIP)", RFC 5922, June 2010.
[8] Gurbani、V.、Lawrence、S。、およびA. Jeffrey、「セッション開始プロトコル(SIP)のドメイン証明書」、RFC 5922、2010年6月。
SIPDomainCertExtn
{ iso(1) identified-organization(3) dod(6) internet(1)
security(5) mechanisms(5) pkix(7) id-mod(0)
id-mod-sip-domain-extns2007(62) }
DEFINITIONS IMPLICIT TAGS ::=
BEGIN
-- OID Arcs
-OIDアーク
id-kp OBJECT IDENTIFIER ::=
{ iso(1) identified-organization(3) dod(6) internet(1)
security(5) mechanisms(5) pkix(7) 3 }
-- Extended Key Usage Values
- 拡張されたキー使用値
id-kp-sipDomain OBJECT IDENTIFIER ::= { id-kp 20 }
END
終わり
Authors' Addresses
著者のアドレス
Scott Lawrence
スコット・ローレンス
EMail: scott-ietf@skrb.org
Vijay K. Gurbani Bell Laboratories, Alcatel-Lucent 1960 Lucent Lane Room 9C-533 Naperville, IL 60566 USA
Vijay K. Gurbani Bell Laboratories、Alcatel-Lucent 1960 Lucent Lane Room 9C-533 Naperville、IL 60566 USA
Phone: +1 630 224-0216
EMail: vkg@bell-labs.com