Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható végfelhasználói tanúsítványok szerkezetének és adattartalmának műszaki specifikációjára
2005. november 1.
Ajánlás egységes tanúsítvány szerkezetre és adattartalomra TARTALOMJEGYZÉK 1. Bevezetés ................................................................................................................................................................... 3 1.1 A dokumentum célja ............................................................................................................................................. 3 1.2 Alapfogalmak ....................................................................................................................................................... 3 1.3 A dokumentum hatóköre....................................................................................................................................... 3 1.4 Figyelembe vett mértékadó dokumentumok ......................................................................................................... 4 1.5 Alkalmazási terület, olvasóközönség.................................................................................................................... 4 1.6 A dokumentum felépítése...................................................................................................................................... 4 2. A tanúsítványok osztályozása.................................................................................................................................. 5 3. A tanúsítványok egységes szerkezete és közös adattartalma................................................................................ 6 4. A különböző tanúsítványok különös adattartalma ............................................................................................... 9 5. Hivatkozások .......................................................................................................................................................... 14 6. Rövidítések.............................................................................................................................................................. 14
2
Ajánlás egységes tanúsítvány szerkezetre
1. Bevezetés Ez a dokumentum az elektronikus közigazgatásban alkalmazható nyilvános kulcsokhoz tartozó tanúsítványok szerkezetére és adattartalmára nézve fogalmaz meg ajánlásokat. Az ajánlás a mértékadó nemzetközi dokumentumok elemzése, a közigazgatás igényeinek és a hazai kereskedelmi hitelesítésszolgáltatók gyakorlatának felmérése, majd ennek nyomán az alternatív lehetőségek körében meghozott - szakmai konszenzuson alapuló – döntések eredményeként jött létre.
1.1 A dokumentum célja Ezt a dokumentumot az Informatikai és Hírközlési Minisztérium az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságának, együttműködési képességének és egységes használatának támogatása érdekében teszi közzé „Az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságáról, együttműködési képességéről és egységes használatáról” szóló 195/2005. (IX. 22.) Korm. rendelet 3. § (1) bekezdésében foglaltak alapján. A dokumentum elsődleges célja a közigazgatás informatikai rendszereiben biztonságos azonosításnál, elektronikus aláírásnál, valamint titkosításnál alkalmazható végfelhasználói tanúsítványok ajánlott szerkezetének és adattartalmának a meghatározása. Miután biztonságos azonosításra, elektronikus aláírásra és titkosításra nemcsak a közigazgatás informatikai rendszereiben, s az ezekkel közvetlen kapcsolatba kerülő ügyfeleknél van szükség, s mivel az együttműködési képesség is általános elvárás, ezért a jelen dokumentumban meghatározott szerkezetek és adattartalmak a közszféra más területein, valamint a magánszférában használt azonosító, aláíró és titkosító alkalmazások számára is ajánlásként szolgálhat.
1.2 Alapfogalmak A tanúsítványok szerkezetére és adattartalmára vonatkozó elvárások egyértelmű értelmezéséhez szükséges fogalmakat ismertnek tételezzük fel, tekintettel a dokumentum megcélzott olvasóközönségére (lásd 1.5 pont).
1.3 A dokumentum hatóköre Jelen dokumentum az alábbiak számára kibocsátott tanúsítványokra nézve határozza meg a szerkezetet és az elvárt adattartalmat: • • • •
a közigazgatást képviselő személyek (ügyintézők), a közigazgatást képviselő automatizmusok (szerverek), a közigazgatással kapcsolatba kerülő ügyfelek, a közigazgatással kapcsolatba kerülő ügyfelek által működtetett automatizmusok (szerverek).
A jelen dokumentum hatókörébe tartozó tanúsítványokat (és az ezekhez tartozó nyilvános és magánkulcsokat) az alábbi felhasználási célok egyikére bocsátották ki: • • •
biztonságos felhasználói azonosítás, hitelesítés, elektronikus aláírás és az aláírás ellenőrzése, titkosítás, illetve dekódolás. 3
Ajánlás egységes tanúsítvány szerkezetre Amennyiben egy tanúsítványról azt állítják, hogy az megfelel jelen ajánlásnak, akkor az adott tanúsítvány szerkezetének és adattartalmának meg kell felelnie a dokumentumban megfogalmazott valamennyi kötelező elvárásnak, az opcionális megoldásokat viszont nem feltétlenül kell támogatnia.
1.4 Figyelembe vett mértékadó dokumentumok Ez az ajánlás az alábbi nemzetközi mértékadó dokumentumokon alapul: • RFC 3280 • RFC 3739 • ETSI TS 101 862
Certificate and Certificate Revocation List (CRL) Profile [1], Internet X.509 Public Key Infrastructure Qualified Certificates Profile [2], Qualified Certificate Profile [3],
Mivel a fenti dokumentumok széleskörűen elfogadottak, ezért az ajánlásnak megfelelő tanúsítványokat a szabványos megoldásokat támogató alkalmazások képesek értelmezni és feldolgozni.
1.5 Alkalmazási terület, olvasóközönség Ez az ajánlás elsősorban a közigazgatási szektor számára készült, de alkalmazhatják a közszféra más területein, valamint a magánszférában is. Az első fejezet minden (elektronikus aláírás iránt) érdeklődő olvasónak szól, köztük a nyilvános kulcsú kriptográfiát (azonosításra, elektronikus aláírásra vagy titkosításra) felhasználóknak és a különböző elektronikus szolgáltatások rendszerfejlesztőinek is. A dokumentum további részei (a tanúsítványok szerkezetére és adattartalmára vonatkozó részletes műszaki specifikáció, illetve a magyarázó és szemléltető részek) elsősorban az alábbi szereplők műszaki szakemberei számára készültek: • tanúsítványokat kibocsátó hitelesítésszolgáltatók, • nyilvános kulcsú kriptográfiát (azonosítást, elektronikus aláírást vagy titkosítást) megvalósító alkalmazásokat fejlesztők, • nyilvános kulcsú kriptográfiát megvalósító alkalmazásokat értékelők és tanúsítók.
1.6 A dokumentum felépítése A dokumentum további része az alábbi szerkezetet követi: A 2. fejezet a közigazgatásban megkülönböztetett 14 végfelhasználói tanúsítvány osztályozását és sorszámozását határozza meg. A 3. fejezet a jelen ajánlás által érintett valamennyi tanúsítvány egységes szerkezetét és közös adattartalmát adja meg. A 4. fejezet az ajánlás által érintett különböző tanúsítványokra vonatkozó eltérő adattartalom elvárásokat fogalmazza meg. Az 5. és 6. fejezetek a hivatkozásokat és a rövidítések jelentését adják meg. 4
Ajánlás egységes tanúsítvány szerkezetre
2. A tanúsítványok osztályozása Ez az ajánlás 14 különböző tanúsítvány szerkezetre tesz javaslatot a magyar közigazgatás elektronikus kommunikációjához. A megkülönböztetés az alábbi szempontok szerint történt: • kinek kerül kiadásra az adott tanúsítvány: • a közigazgatást képviselő személy (ügyintéző), • a közigazgatást képviselő szerver, • a közigazgatás ügyfele, • milyen felhasználási célra engedélyezett az adott tanúsítvány: • letagadhatatlanságot biztosító elektronikus aláírás létrehozására, • felhasználói hitelesítésre, • titkosításra. • elektronikus aláírás célú tanúsítványok esetén milyen biztonsági szintű felhasználásra készült az adott tanúsítvány: • minősített elektronikus aláíráshoz is használható, • csak fokozott biztonságú (de nem minősített) elektronikus aláíráshoz használható. Az alábbi táblázat megadja a 14 különböző tanúsítványra alkalmazott megkülönböztető sorszámot1:
Közigazgatást képviselő
Felhasználói azonosítás és hitelesítés 12
Letagadhatatlanság (aláírás) minősített fokozott biztonságú elektronikus aláírás elektronikus aláírás 3
Titkosítás 43
automatizmusok (szerverek) Közigazgatást képviselő Ügyintézők a közigazgatás ügyfelei a közigazgatással kapcsolatba kerülő ügyfelek által működtetett automatizmusok (szerverek)
5
6
7
8
9
10
11
12
13
-
15
16
1. táblázat: a tanúsítványok megkülönböztető sorszáma
1 2 3
A táblázatból hiányzik a 2-es és a 14-es sorszám, mivel csak természetes személynek lehet minősített tanúsítványa. Értve ez alatt a web-es SSL (V1.0) szervert Értve ez alatt a web-es VPN (V1.0) szervert 5
Ajánlás egységes tanúsítvány szerkezetre
3. A tanúsítványok egységes szerkezete és közös adattartalma Valamennyi tanúsítvány az [1]-ben meghatározott alábbi szerkezetet követi: Mező/Attribútum TBSCertificate signatureAlgorithm algorithm parameters signatureValue
Kötelezőség M/O/F4 M
Jelen ajánlás szerint kitöltendő? I/N/O5 I
M O M
I N6 I
Jelen ajánlás szerint elvárt adattartalom részletezve a 3. táblázatban sha1RSA7 az aláírás értéke8
2. táblázat: a tanúsítványok általános szerkezete és elvárt közös adattartalma Mező/Attribútum TBSCertificate Version serialNumber signature Issuer country organization organization-unit distinguised name qualifier state or province name common name serial number Validity notBefore notAfter Subject subjectPublicKeyInfo algorithm subjectPublicKey issuerUniqueID subjectUniqueID extensions
Kötelezőség M/O/F
Jelen ajánlás szerint kitöltendő? I/N/O
M M M M
I I I
V3 HSz által generált adat sha1RSA9
I I O N N I N I
HU a kibocsátó HSz szervezet neve a kibocsátó HSz részlegének neve ----a kibocsátó HSz neve ---
M
M M
I I
F F O
N N I
Jelen ajánlás szerint elvárt adattartalom
a kiadás dátuma és időpontja a kiadás dátuma és időpontja + a tanúsítvány érvényességi időtartama10 részletezve a 8. táblázatban RSA (legalább 1024 bites kulccsal)11 A végfelhasználó nyilvános kulcsa ----részletezve a 4. táblázatban
3. táblázat: a TBSCertificate részletes szerkezete és elvárt adattartalma
4
M: Mandatory, azaz kötelező, O: Optional, azaz opcionális, F: Forbidden, azaz tiltott. I: Igen, N: Nem, O: Opcionális 6 Mivel az egyetlen támogatott aláíró algoritmusnak (RSA) nincsenek paraméterei 7 Melynek OID-je: 1.2.840.113549.1.1.5 8 Legalább 256 bájt 9 Melynek OID-je: 1.2.840.113549.1.1.5 10 Mindkét időpont: UTCTime 11 Melynek OID-je: 1.2.840.113549.1.1.1 6 5
Ajánlás egységes tanúsítvány szerkezetre Mező/Attribútum extensions Standard Extensions Internet Certificate Extensions Qualified Certificates Profile Extensions12
M/O/F
I/N/O
Jelen ajánlás szerint elvárt adattartalom
O O O
részletezve az 5. táblázatban részletezve a 6. táblázatban részletezve a 7. táblázatban
4. táblázat: a kiterjesztések (extensions) általános szerkezete Mező/Attribútum Standard extensions AuthorityKeyldentifier keyIdentifier authorityCertIssuer authorityCertSerialNumber SubjectKeyldentifier keyIdentifier KeyUsage PrivateKeyUsagePeriod Certificate Policies PolicyMappings SubjectAltName otherName rfc822Name dNSName x400Address directoryName ediPartyName uniformResourceIdentifier iPAddress registeredID IssuerAltName SubjectDirectoryAttributes BasicConstraints cA NameConstraints PolicyConstraints ExtKeyUsage CRLDistributionPoints distributionPoint inhibitAnyPolicy FreshestCRL
M/O/F
kitöltendő I/N/O
kritikusság C/NC13
Jelen ajánlás szerint elvárt adattartalom
O O O
I N N
NC NC NC
a HSz által generált adat14 -----
M M F M O
I I N I N
NC C NC NC NC
a HSz által generált adat részletezve a 9. táblázatban --részletezve a 10. táblázatban ---
O O O O O O O O O O O
N I N N N N N N N N N
NC NC NC NC NC NC NC NC NC NC NC
[email protected] --------------------
M F16 O O O
I N N I I
C NC NC NC NC
False15 ----részletezve a 11. táblázatban
O O
N N
NC NC
-----
URL=http://www.domain.hu/ca_crl17
5. táblázat: a Standard extensions részletes szerkezete és elvárt közös adattartalma 12
Melyet a többi elemtől eltérően nem [1], hanem [2] vezetett be, majd [3] tovább pontosított. C: Critical, azaz kritikus, NC: Non-critical, azaz nem kritikus 14 Meg kell egyeznie a tanúsítványt kibocsátó HSz megfelelő szolgáltatói tanúsítványának AuthorityKeyldentifier kiterjesztésébe helyezett keyIdentifier értékével. 15 Mivel végfelhasználói és nem szolgáltatói tanúsítványokról van szó. 16 Csak szolgáltatói tanúsítványokban lehet használni ezt a kiterjesztést. 17 A CRL elérési helye. 7 13
Ajánlás egységes tanúsítvány szerkezetre
Mező/Attribútum Internet Certificate Extensions [1] Authority Information Access accessMethod accessLocation [2] Authority Information Access accessMethod accessLocation Subject Information Access
M/O/F
kitöltendő I/N/O
kritikusság C/NC
O
I
NC
O
O20
NC
O
O
NC
Jelen ajánlás szerint elvárt adattartalom
1.3.6.1.5.5.7.48.218 URL=http://www.domain.hu/ca_cert19 1.3.6.1.5.5.7.48.121 URL=http://www.domain.hu/ca_ocsp22 a HSz által generált adat23
6. táblázat: az Internet Certificate Extensions részletes szerkezete és elvárt közös adattartalma
18
Ami a tanúsítványkiadói tanúsítvány hozzáférésének OID-je Az OCSP szolgáltatás elérési helye 20 Abban az esetben kell kitölteni, ha a HSz az adott tanúsítvánnyal kapcsolatosan OCSP szolgáltatást is nyújt. 21 Ami az OCSP hozzáférésének OID-je 22 Az OCSP szolgáltatás elérési helye 23 Meg kell egyeznie a tanúsítványt kibocsátó HSz megfelelő szolgálati tanúsítványának AuthorityKeyldentifier kiterjesztésébe helyezett keyIdentifier értékével. 19
8
Ajánlás egységes tanúsítvány szerkezetre
4. A különböző tanúsítványok különös adattartalma minősített elektronikus aláíráshoz tartozó tanúsítványok (6,10) OID QCStatements qcStatement-1 qcStatement-2 qcStatement-3 qcStatement-4
1.3.6.1.5.5.7.124 0.4.0.1862.1.125 0.4.0.1862.1.226 0.4.0.1862.1.327 0.4.0.1862.1.428
kitöltendő I/N/O
kritikusság C/NC
I I O29 O O30
NC NC NC NC NC
nem minősített elektronikus aláíráshoz tartozó tanúsítványok (1,3,4,5,7,8,9,11,12, 13, 15, 16) ---
7. táblázat: a minősített aláíráshoz tartozó tanúsítványok Qualified Certificates Profile Extensions kiterjesztésének elvárt adattartalma
24
Mely a [2] által bevezetett OID a qcStatements kiterjesztésre Mely a [3] által bevezetett OID a QcCompliance nyilatkozatra, az alábbi jelentéssel: „Nyilatkozat ezen tanúsítvány kibocsátója részéről, hogy a jelen tanúsítvány a Magyar Köztársaság elektronikus aláírásról szóló 2001. évi XXXV. törvényében foglaltaknak (amely követelmények alapját az Európai Parlament és a Tanács által 1999. december 13-án elfogadott 1999/93/EC direktíva függelékeiben (Annex I és Annex II) leírtak adják) megfelelő minősített tanúsítvány.” 26 A[3] által bevezetett QcLimitValue nyilatkozat, mely az elektronikus aláírással lebonyolított pénzügyi műveletek felső korlátjának értékét határozza meg.. 27 Mely a [3] által bevezetett OID a QcRetentionPeriod nyilatkozatra, az alábbi jelentéssel: „Nyilatkozat ezen tanúsítvány kibocsátója részéről, hogy a jelen tanúsítvány tulajdonosáról (a tanúsítvány igénylésekor) felvett adatokat a tanúsítvány érvényességének lejárta után 10 évig megőrzik.” 28 Mely a [3] által bevezetett OID a QcSSCD nyilatkozatra, az alábbi jelentéssel: „Nyilatkozat ezen tanúsítvány kibocsátója részéről, hogy a jelen tanúsítványban szereplő nyilvános kulcshoz tartozó magánkulcs a Magyar Köztársaság elektronikus aláírásról szóló 2001. évi XXXV. törvényében foglaltaknak (amely követelmények alapját az Európai Parlament és a Tanács által 1999. december 13-án elfogadott 1999/93/EC direktíva függelékében (Annex III) leírtak adják) megfelelő biztonságos aláírás-létrehozó eszközön (BALE) van tárolva.” 29 Opcionálisan kitölthető 0 értékkel is 30 Ezt a kiterjesztést csak abban az esetben kell kitölteni, ha a minősített tanúsítványt BALE-n adják ki. 9 25
Ajánlás egységes tanúsítvány szerkezetre
Subject country organization organization-unit distinguised name qualifier state or province name common name serial number locality title surname given name initials pseudonym generation qualifier
A közigazgatást képviselő szerverhez tartozó tanúsítványok (1,3,4)
Közigazgatást képviselő ügyintézőhöz tartozó tanúsítványok (5,6,7,8)
HU a közigazgatási szerv ------a szerver neve31 -----------------
HU a közigazgatási szerv osztály/részleg ----név32 sorszám33 opcionális opcionális34 vezetéknév35 ---------
A közigazgatás ügyfeléhez tartozó tanúsítványok
A közigazgatás ügyfelei által működtetett szerverhez tartozó tanúsítványok (13, 15, 16)
(9,10,11,12) HU - / szervezet - / osztály/részleg36 ----név37 sorszám38 opcionális opcionális vezetéknév39 ---------
HU szervezet ------a szerver neve40 -----------------
8. táblázat: a különböző tanúsítványok Subject elemének elvárt adattartalma
31
A szerver DNS szerinti, vagy egyéb módon hitelesített elnevezése, szóköz elválasztójel(eke)t és az UTF-8 kódolást [4] használva. 32 Az ügyintéző neve, mely betű szerint azonos a regisztráció alapjául szolgáló igazolványban foglalt névvel, szóköz elválasztójel(eke)t és az UTF8 kódolást használva. 33 A betű szerint azonos common name mezőtartalommal rendelkező köztisztviselők megkülönböztetését szolgáló egyedi sorszám, melyet a hitelesítésszolgáltató generál. 34 Opcionális és kizárólag tájékoztató információ az ügyintéző esetleges beosztásáról (pl. bíró, köztisztviselő, főhadnagy) 35 A common name mező azon része, mely az ügyintéző vezetéknevének tekintendő. A given name /amennyiben pl. adatbázisoknál erre szükség van) már származtatható: a common name azon része, mely a surname mező tartalmát egészíti ki. 36 A szervezet és szervezeti egység mezőt általában nem kell kitölteni. Abban az esetben, ha az ügyfél tanúsítványával kifejezetten jelezni kívánja, hogy ő egy adott szervezethez tartozik, akkor e mezőket ki lehet tölteni. A fenti mezők tartalmát a közigazgatáson belüli alkalmazások figyelmen kívül hagyják, ezeknek csak a közigazgatáson kívül tulajdonítható meghatározott jelentés. 37 Az ügyfél neve, mely betű szerint azonos a regisztráció alapjául szolgáló igazolványban foglalt névvel, szóköz elválasztójel(eke)t és az UTF8 kódolást használva. 38 A betű szerint azonos common name mezőtartalommal rendelkező ügyfelek megkülönböztetését szolgáló egyedi sorszám, melyet a hitelesítésszolgáltató generál. 39 A common name mező azon része, mely az ügyfél vezetéknevének tekintendő. A given name /amennyiben pl. adatbázisoknál erre szükség van) már származtatható: a common name azon része, mely a surname mező tartalmát egészíti ki. 40 A szerver DNS szerinti, vagy egyéb módon hitelesített elnevezése, szóköz elválasztójel(eke)t és az UTF-8 kódolást [4] használva. 10
Ajánlás egységes tanúsítvány szerkezetre Felhasználói hitelesítés célú tanúsítványok Személyek SSL szerver
KeyUsage digitalSignature nonRepudiation keyEncipherment dataEncipherment keyAgreement keyCertSign cRLSign encipherOnly decipherOnly
(1, 13)
(5,9)
beállítva --beállítva -------------
beállítva ------beállítva ---------
Letagadhatatlanság (aláírás) célú tanúsítványok Fokozott minősített biztonságú elektronikus elektronikus aláíráshoz aláíráshoz tartozó tartozó tanúsítványok tanúsítványok (3,7,11, 15) (6,10) --beállítva ---------------
opc. beállítva beállítva ---------------
Titkosítás célú tanúsítványok Személyek VPN szerver
(4, 16) beállítva --beállítva --beállítva ---------
9. táblázat: a különböző tanúsítványok KeyUsage kiterjesztésének elvárt adattartalma
11
(8,12) ----beállítva beállítva -----------
Ajánlás egységes tanúsítvány szerkezetre
A közigazgatást képviselő szerver tanúsítványai (1,3,4) Certificate Policies [1] Certificate Policy [1,1]Policy Qualifier Info: policyQualifierId qualifier [1,2]Policy Qualifier Info: policyQualifierId qualifier
Közigazgatást képviselő ügyintézőhöz tartozó tanúsítványok (5,6,7,8)
Az ügyfél tanúsítványai (9,10,11,12)
A közigazgatás ügyfelei által működtetett szerver tanúsítványai (13, 15, 16)
CertPolicyID41
CertPolicyID
CertPolicyID
CertPolicyID
CPS42 URL=http://www.dom ain.hu/ca_cps43
CPS URL=http://www.dom ain.hu/ca.cps
CPS URL=http://www.dom ain.hu/ca.cps
CPS44 URL=http://www.dom ain.hu/ca_cps45
User Notice46 „A tanúsítvány tulajdonosa: a közigazgatás szervere.”
User Notice „A tanúsítvány tulajdonosa: a közigazgatásban eljáró személy.
User Notice „A tanúsítvány tulajdonosa: a közigazgatás ügyfele.
User Notice47 „A tanúsítvány tulajdonosa: a közigazgatás ügyfelének szervere.
A User Notice alábbi folytatása csak a 3. (aláírás célú) tanúsítványban szerepel:
A User Notice alábbi folytatása csak a 6. és 7. (aláírás célú) tanúsítványban szerepel:
A User Notice alábbi folytatása csak a 10. és 11. (aláírás célú) tanúsítványban szerepel:
A User Notice alábbi folytatása csak a 15. (aláírás célú) tanúsítványban szerepel:
„A közigazgatási gyökérhitelesítésszolgáltató (KGYHSZ) elhárít minden - ideértve a kárért való felelősséget, amely az általa kiadott tanúsítvány használatából, visszavonásából, a kiadási szabályzat megsértéséből, a KGYHSZ magatartásából, intézkedéséből, vagy annak hiányából ered.” ”
„A közigazgatási gyökérhitelesítésszolgáltató (KGYHSZ) elhárít minden - ideértve a kárért való felelősséget, amely az általa kiadott tanúsítvány használatából, visszavonásából, a kiadási szabályzat megsértéséből, a KGYHSZ magatartásából, intézkedéséből, vagy annak hiányából ered.”
„A közigazgatási gyökérhitelesítésszolgáltató (KGYHSZ) elhárít minden - ideértve a kárért való felelősséget, amely az általa kiadott tanúsítvány használatából, visszavonásából, a kiadási szabályzat megsértéséből, a KGYHSZ magatartásából, intézkedéséből, vagy annak hiányából ered.”
„A közigazgatási gyökérhitelesítésszolgáltató (KGYHSZ) elhárít minden - ideértve a kárért való felelősséget, amely az általa kiadott tanúsítvány használatából, visszavonásából, a kiadási szabályzat megsértéséből, a KGYHSZ magatartásából, intézkedéséből, vagy annak hiányából ered.”
10. táblázat: a különböző tanúsítványok Certificate Policies kiterjesztésének elvárt adattartalma 41
A HSz által alkalmazott hitelesítési rend OID-je. A CPS OID-je: 1.3.6.1.5.5.7.2.1 43 A CPS (szolgáltatási szabályzat) elérési helye. 44 A CPS OID-je: 1.3.6.1.5.5.7.2.1 45 A CPS (szolgáltatási szabályzat) elérési helye. 46 A User Notice OID-je: 1.3.6.1.5.5.7.2.2 47 A User Notice OID-je: 1.3.6.1.5.5.7.2.2 42
12
Ajánlás egységes tanúsítvány szerkezetre
Felhasználói hitelesítés célú tanúsítványok
ExtKeyUsage keyPurposeID keyPurposeID
SSL szerver
Személyek
(1, 13)
(5,9)
serverAuth48 clientAuth49
TLS50 SCLogon51
Letagadhatatlanság (aláírás) célú tanúsítványok Fokozott minősített biztonságú elektronikus elektronikus aláíráshoz aláíráshoz tartozó tartozó tanúsítványok tanúsítványok (3,7,11, 15) (6,10) ---
Secure Email52
Titkosítás célú tanúsítványok Személyek VPN szerver
(4, 16) IPsec_end53 IP IKE54
11. táblázat: a különböző tanúsítványok ExtKeyUsage kiterjesztésének elvárt adattartalma
48
A „serverAuth” OID-je: 1.3.6.1.5.5.7.3.1 A „clientAuth” OID-je: 1.3.6.1.5.5.7.3.2 50 A „TLS Client Authentication” OID-je: 1.3.6.1.5.5.7.3.2 51 A „Smart Card Logon” OID-je: 1.3.6.1.4.1.311.20.2.2 52 A „Secure Email” OID-je: 1.3.6.1.5.5.7.3.4 53 Az „IPSec end system” OID-je: 1.3.6.1.5.5.7.3.5 54 Az „IP security IKE intermediate” OID-je: 1.3.6.1.5.5.8.2.2 55 A „Secure Email” OID-je: 1.3.6.1.5.5.7.3.4 13 49
(8,12) Secure Email55
Ajánlás egységes tanúsítvány szerkezetre
5. Hivatkozások [1] RFC 3280
Certificate and Certificate Revocation List (CRL) Profile
[2] RFC 3739
Internet X.509 Public Key Infrastructure Qualified Certificates Profile
[3] ETSI TS 101 862
Qualified Certificate Profile v1.3.1
[4] RFC 3629
UTF-8, a transformation format of ISO 10646
6. Rövidítések BALE
Biztonságos aláírás-létrehozó eszköz
HSz
Hitelesítésszolgáltató
CRL
Cetification Revocation List
OCSP
Online Certificate Status Protocol
UTF-8
Uniform Transformation format -8
14
