এই পৃষ্ঠাটি Cloud Translation API অনুবাদ করেছে।

S/MIME সার্টিফিকেট প্রোফাইল

এই নিবন্ধে সেই প্রয়োজনীয়তাগুলো বর্ণনা করা হয়েছে যা একটি X.509 চেইনের প্রতিটি সার্টিফিকেটকে এনক্রিপ্টেড বা S/MIME-স্বাক্ষরিত ইমেইলে ব্যবহারের জন্য বিশ্বস্ত হতে পূরণ করতে হয়।

এই প্রয়োজনীয়তাগুলো ছাড়াও, চেইনটিকে অবশ্যই এমন একটি সার্টিফিকেট অথরিটি (CA) সার্টিফিকেটের সাথে সংযুক্ত থাকতে হবে যা এই উদ্দেশ্যে গুগল দ্বারা সুস্পষ্টভাবে বিশ্বস্ত। আপনি আপনার বিশ্বস্ত CA-গুলোর রুট সার্টিফিকেটও গ্রহণ করতে পারেন। আরও তথ্যের জন্য, রুট সার্টিফিকেট নির্দেশিকা দেখুন।

নোট :

গুগল, S/MIME-এর জন্য জিমেইল কর্তৃক বিশ্বস্ত CA সার্টিফিকেটগুলোর একটি তালিকা প্রদান ও রক্ষণাবেক্ষণ করে । CA-গুলোর এই তালিকাটি বিশ্বস্ত কিনা, তা সম্পূর্ণ গুগলের নিজস্ব বিবেচনার উপর নির্ভরশীল। গুগল কোনো বিজ্ঞপ্তি ছাড়াই যেকোনো সময় রুট CA অপসারণ করার অধিকার সংরক্ষণ করে।
নিশ্চিত করুন যে ইনস্টল করা এক্সটেনশনগুলো একই সার্টিফিকেটের অন্যান্য এক্সটেনশনের সাথে সাংঘর্ষিক না হয়। উদাহরণস্বরূপ, যদি nsCertTypes সংজ্ঞায়িত করা থাকে, তবে সেগুলোকে অবশ্যই key usage extension, extended key usage extension, এবং basic constraints extension-এর মতো হুবহু একই ব্যবহারসমূহ অন্তর্ভুক্ত করতে হবে।

সার্টিফিকেট চেইন নিয়ম

রুট সিএ

মাঠ	মূল্য
ইস্যুকারী ডিএন	অবশ্যই সিএ শনাক্ত করতে হবে। উদাহরণস্বরূপ, DN অবশ্যই "সার্টিফিকেট অথরিটি"-এর মতো কোনো জেনেরিক মান হবে না।
বিষয় ডিএন	এনকোড করা ফর্মটি অবশ্যই Issuer DN-এর সাথে বাইট-বাই-বাইট অভিন্ন হতে হবে।
বিষয় পাবলিক কী তথ্য	২০৪৮, ৩০৭২, বা ৪০৯৬ আরএসএ মডিউলাস সহ আরএসএ এনক্রিপশন। অথবা secp256r1 বা secp384r1 ব্যবহার করে ইসি পাবলিক কী ।

মাঠ

মূল্য

ইস্যুকারী ডিএন

অবশ্যই সিএ শনাক্ত করতে হবে।

উদাহরণস্বরূপ, DN অবশ্যই "সার্টিফিকেট অথরিটি"-এর মতো কোনো জেনেরিক মান হবে না।

বিষয় ডিএন

এনকোড করা ফর্মটি অবশ্যই Issuer DN-এর সাথে বাইট-বাই-বাইট অভিন্ন হতে হবে।

বিষয় পাবলিক কী তথ্য

২০৪৮, ৩০৭২, বা ৪০৯৬ আরএসএ মডিউলাস সহ আরএসএ এনক্রিপশন। অথবা secp256r1 বা secp384r1 ব্যবহার করে ইসি পাবলিক কী ।

ইন্টারমিডিয়েট সিএ প্রদানকারী ব্যতীত অন্য ইন্টারমিডিয়েট সিএ সার্টিফিকেট

যদি রুট এবং এন্ড এনটিটির মধ্যে প্রত্যক্ষ বা পরোক্ষভাবে একাধিক মধ্যবর্তী CA থাকে, তাহলে এই তথ্যটি ব্যবহার করুন।

ইস্যুয়িং ইন্টারমিডিয়েট সিএ হলো সেই ইন্টারমিডিয়েট সিএ যা এন্ড এনটিটি সার্টিফিকেট ইস্যু করে। এই অংশটি ইস্যুয়িং ইন্টারমিডিয়েট সিএ ব্যতীত চেইনের অন্য যেকোনো ইন্টারমিডিয়েট সিএ-এর ক্ষেত্রে প্রযোজ্য।

মাঠ			মূল্য
সংস্করণ			সংস্করণ ৩
ক্রমিক সংখ্যা			অবশ্যই শূন্য (0) অপেক্ষা বৃহত্তর হতে হবে। যখন DER একটি পূর্ণসংখ্যা (INTEGER) হিসাবে এনকোড করা হয়, তখন এর মান অবশ্যই 20 বাইট বা তার কম হতে হবে।
স্বাক্ষর অ্যালগরিদম			SHA-256 , SHA-384 , বা SHA-512 সহ RSA। অথবা SHA-256 , SHA-384 , বা SHA-512 সহ ECDSA
ইস্যুকারী ডিএন			অবশ্যই ইস্যুকারী CA-এর সাবজেক্ট DN-এর সাথে বাইট-বাই-বাইট অভিন্ন হতে হবে।
বৈধতার সময়কাল			কোন শর্ত নেই
বিষয় ডিএন			কোন শর্ত নেই
বিষয় পাবলিক কী তথ্য			২০৪৮, ৩০৭২, বা ৪০৯৬ আরএসএ মডিউলাস সহ আরএসএ এনক্রিপশন। অথবা secp256r1 বা secp384r1 ব্যবহার করে ইসি পাবলিক কী।
সম্প্রসারণ	উপস্থিতি	সমালোচনামূলক	মূল্য
কী ব্যবহার	প্রয়োজনীয়	হ্যাঁ	keyCertSign-এর জন্য বিট পজিশন অবশ্যই সেট করতে হবে। অন্য যেকোনো বিট পজিশন সেট করা যেতে পারে।
মৌলিক সীমাবদ্ধতা	প্রয়োজনীয়	হ্যাঁ	cA ফিল্ডটি অবশ্যই ট্রু (true) সেট করতে হবে। pathLenConstraint ফিল্ডটি উপস্থিত থাকা উচিত।
সিআরএল বিতরণ পয়েন্ট	প্রয়োজনীয়	না	অন্তত একটি সর্বজনীনভাবে প্রবেশযোগ্য HTTP uniformResourceIdentifier অবশ্যই উপস্থিত থাকতে হবে
(দ্রষ্টব্য)			রিভোকেশন সার্ভারগুলিকে অবশ্যই 'CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates'-এর সংস্করণ 1.3.2 বা তার উচ্চতর সংস্করণের নিম্নলিখিত বিভাগগুলি মেনে চলতে হবে: ৪.৯.৭. সিআরএল প্রদানের পৌনঃপুনিকতা ৪.৯.৯. অনলাইন বাতিলকরণ/স্থিতি যাচাইয়ের প্রাপ্যতা ৪.৯.১০. অনলাইন প্রত্যাহার যাচাইয়ের আবশ্যকতা ৪.১০.২ পরিষেবার প্রাপ্যতা
অন্য কোনো এক্সটেনশন			উপস্থিত থাকতে পারে

মধ্যবর্তী CA সার্টিফিকেট যা শেষ সত্তাকে ইস্যু করে

গুরুত্বপূর্ণ : চেইনে অন্তত একটি মধ্যবর্তী CA সার্টিফিকেট অবশ্যই থাকতে হবে। অর্থাৎ, রুট সরাসরি এন্ড-এন্টিটি সার্টিফিকেট ইস্যু করতে পারবে না ।

মাঠ			মূল্য
সংস্করণ			সংস্করণ ৩
ক্রমিক সংখ্যা			অবশ্যই শূন্য (0) অপেক্ষা বৃহত্তর হতে হবে এবং, যখন DER একটি পূর্ণসংখ্যা (INTEGER) হিসাবে এনকোড করা হয়, তখন ২০ বাইট বা তার কম হতে হবে।
স্বাক্ষর অ্যালগরিদম			SHA-256 , SHA-384 , বা SHA-512 সহ RSA। অথবা SHA-256 , SHA-384 , বা SHA-512 সহ ECDSA।
ইস্যুকারী ডিএন			অবশ্যই ইস্যুকারী CA-এর সাবজেক্ট DN-এর সাথে বাইট-বাই-বাইট অভিন্ন হতে হবে।
বৈধতার সময়কাল			notBefore এবং notAfter এর মধ্যে পার্থক্য ১০ বছরের বেশি হওয়া উচিত নয় এবং অবশ্যই ২০ বছরের বেশি হবে না।
বিষয় ডিএন			CA-এর ব্যবহার নির্দেশ করা উচিত।
বিষয় পাবলিক কী তথ্য			২০৪৮, ৩০৭২, বা ৪০৯৬ আরএসএ মডিউলাস সহ আরএসএ এনক্রিপশন। অথবা secp256r1 বা secp384r1 ব্যবহার করে ইসি পাবলিক কী।
সম্প্রসারণ	উপস্থিতি	সমালোচনামূলক	মূল্য
কী ব্যবহার	প্রয়োজনীয়	হ্যাঁ	বিটের অবস্থানগুলি অবশ্যই নিম্নলিখিতগুলির জন্য নির্ধারণ করতে হবে: keyCertSign বিটের অবস্থান নিম্নলিখিত ক্ষেত্রে নির্ধারণ করা যেতে পারে: সিআরএলসাইন ডিজিটাল স্বাক্ষর যদি সরাসরি OCSP উত্তরে স্বাক্ষর করার জন্য ব্যবহৃত হয়, তবে অবশ্যই উপস্থিত থাকতে হবে: ডিজিটাল স্বাক্ষর অন্যান্য বিট পজিশন সেট করা যাবে না।
বর্ধিত কী ব্যবহার	প্রয়োজনীয়	হয়	অবশ্যই উপস্থিত থাকতে হবে: ইমেল সুরক্ষা উপস্থিত থাকা যাবে না: সার্ভার প্রমাণীকরণ কোডসাইনিং টাইমস্ট্যাম্পিং anyExtendedKeyUsage
মৌলিক সীমাবদ্ধতা	প্রয়োজনীয়	হ্যাঁ	cA ফিল্ডটি অবশ্যই ট্রু (true) সেট করতে হবে। pathLenConstraint ফিল্ডটি অবশ্যই উপস্থিত থাকতে হবে এবং এর মান ০ হওয়া উচিত।
সার্টিফিকেট নীতিমালা	ঐচ্ছিক	না	একটি policyIdentifier প্রদান করা উচিত যা CA যে পলিসির অধীনে কাজ করে তা শনাক্ত করে, এবং এটি anyPolicy হওয়া উচিত নয়। cps (যদি থাকে), তাতে অবশ্যই একটি বৈধ HTTP বা HTTPS লিঙ্ক থাকতে হবে।
সিআরএল বিতরণ পয়েন্ট	প্রয়োজনীয়	না	অন্তত একটি সর্বজনীনভাবে প্রবেশযোগ্য HTTP uniformResourceIdentifier অবশ্যই উপস্থিত থাকতে হবে।
(দ্রষ্টব্য)			রিভোকেশন সার্ভারগুলিকে অবশ্যই 'CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates'-এর সংস্করণ 1.3.2 বা তার উচ্চতর সংস্করণের নিম্নলিখিত ধারাগুলি অনুসারে পরিচালিত হতে হবে: ৪.৯.৭. সিআরএল প্রদানের পৌনঃপুনিকতা ৪.৯.৯. অনলাইন বাতিলকরণ/স্থিতি যাচাইয়ের প্রাপ্যতা ৪.৯.১০. অনলাইন প্রত্যাহার যাচাইয়ের আবশ্যকতা ৪.১০.২. পরিষেবার প্রাপ্যতা
অন্য কোনো এক্সটেনশন	ঐচ্ছিক	না	উপস্থিত থাকতে পারে।

শেষ-সত্তা শংসাপত্র

মাঠ			মূল্য
সংস্করণ			সংস্করণ ৩
ক্রমিক সংখ্যা			অবশ্যই শূন্য (0) অপেক্ষা বৃহত্তর হতে হবে এবং এতে কমপক্ষে 64টি অপ্রত্যাশিত বিট থাকতে হবে। দ্রষ্টব্য: CA/ব্রাউজার ফোরামের বেসলাইন প্রয়োজনীয়তা, সার্টিফিকেট পলিসি, এন্ড এনটিটি, সিরিয়াল নম্বর এবং এনট্রপির প্রয়োজনীয়তা প্রতিফলিত করার জন্য এটি আপডেট করা হবে।
স্বাক্ষর অ্যালগরিদম			SHA-256 , SHA-384 , বা SHA-512 সহ RSA। অথবা SHA-256 , SHA-384 , বা SHA-512 সহ ECDSA।
ইস্যুকারী ডিএন			অবশ্যই ইস্যুকারী CA-এর সাবজেক্ট DN-এর সাথে বাইট-বাই-বাইট অভিন্ন হতে হবে।
বৈধতার সময়কাল			notBefore এবং notAfter-এর মধ্যে পার্থক্য ২৭ মাসের বেশি হওয়া যাবে না। notBefore সময়টি অবশ্যই স্বাক্ষরের সময়ের আগে বা পরে ৪৮ ঘণ্টা হতে হবে।
বিষয় ডিএন			ইমেল ঠিকানা ব্যতীত অন্য যেকোনো সাবজেক্ট রিলেটিভ ডিস্টিংগুইশড নেম (Subject Relative Distinguished Names) ইস্যু করার আগে, সর্বজনীনভাবে নথিভুক্ত এবং নিরীক্ষিত একটি পদ্ধতি ব্যবহার করে কঠোরভাবে যাচাই করতে হবে। একটি গ্রহণযোগ্য পদ্ধতির জন্য, সর্বজনীনভাবে বিশ্বস্ত সার্টিফিকেট ইস্যু এবং পরিচালনার জন্য CA/Browser Forum Baseline Requirements Certificate Policy- এর সংস্করণ 1.3.2 বা তার উচ্চতর সংস্করণের ৩.২.৩ অনুচ্ছেদ "ব্যক্তিগত পরিচয়ের প্রমাণীকরণ" দেখুন। যেকোনো ইমেল ঠিকানা (উদাহরণস্বরূপ, commonName বা emailAddress ফিল্ডে) অবশ্যই Subject Alternate Name এক্সটেনশনে rfc822Name হিসেবে উপস্থিত থাকতে হবে।
বিষয় পাবলিক কী তথ্য			২০৪৮, ৩০৭২, বা ৪০৯৬ আরএসএ মডিউলাস সহ আরএসএ এনক্রিপশন। অথবা secp256r1 বা secp384r1 ব্যবহার করে ইসি পাবলিক কী।
সম্প্রসারণ	উপস্থিতি	সমালোচনামূলক	মূল্য
মূল ব্যবহার (RSA)	প্রয়োজনীয়	হ্যাঁ	বিটের অবস্থান অবশ্যই নিম্নলিখিত যেকোনো একটির জন্য নির্ধারণ করতে হবে: ডিজিটাল স্বাক্ষর এবং/অথবা অস্বীকৃতি/বিষয়বস্তু প্রতিশ্রুতি বিটের অবস্থান নিম্নলিখিতগুলির জন্য নির্ধারণ করা যেতে পারে: ডেটা এনক্রিপশন মূল এনক্রিপশন অন্যান্য বিট পজিশন সেট করা যাবে না।
Key Usage (ECDH)	প্রয়োজনীয়		বিটের অবস্থানগুলি অবশ্যই নিম্নলিখিতগুলির জন্য নির্ধারণ করতে হবে: ডিজিটাল স্বাক্ষর বিটের অবস্থান নিম্নলিখিতগুলির জন্য নির্ধারণ করা যেতে পারে: অস্বীকৃতি/বিষয়বস্তু প্রতিশ্রুতি মূল চুক্তি শুধুমাত্র এনক্রিপ্ট করুন (যদি keyAgreement সেট করা থাকে) শুধুমাত্র ডিক্রিপ্ট করুন (যদি keyAgreement সেট করা থাকে) অন্যান্য বিট পজিশন সেট করা যাবে না।
বর্ধিত কী ব্যবহার	প্রয়োজনীয়	হয়	অবশ্যই উপস্থিত থাকতে হবে: ইমেল সুরক্ষা উপস্থিত থাকা যাবে না: সার্ভার প্রমাণীকরণ কোডসাইনিং টাইমস্ট্যাম্পিং anyExtendedKeyUsage
মৌলিক সীমাবদ্ধতা	ঐচ্ছিক	হয়	যদি উপস্থিত থাকে, তাহলে cA ফিল্ডটি অবশ্যই 'true' সেট করা যাবে না। pathLenConstraint ফিল্ডটি উপস্থিত থাকা যাবে না।
সার্টিফিকেট নীতিমালা	প্রয়োজনীয়	না	অবশ্যই থাকতে হবে: একটি policyIdentifier প্রদান করতে হবে যা সেই পলিসিকে শনাক্ত করে যার অধীনে সার্টিফিকেটটি ইস্যু করা হয়েছে, এবং এটি anyPolicy হবে না। থাকতে পারে: cps , যদি থাকে, তবে তাতে অবশ্যই সেই CPS-এর একটি বৈধ HTTP বা HTTPS লিঙ্ক থাকতে হবে যার অধীনে সার্টিফিকেটটি ইস্যু করা হয়েছিল।
কর্তৃপক্ষের তথ্যে প্রবেশাধিকার	ঐচ্ছিক	না	caIssuers এবং, যদি থাকে, ocsp-তে অবশ্যই অন্তত একটি সর্বজনীনভাবে অ্যাক্সেসযোগ্য HTTP uniformResourceIdentifier থাকতে হবে। AccessDescription-এ এমন কোনো লেবেল বা প্যারামিটার থাকতে পারবে না যা কোনো স্বতন্ত্র সার্টিফিকেটের জন্য নির্দিষ্ট।
সিআরএল বিতরণ পয়েন্ট	প্রয়োজনীয়	না	অন্তত একটি সর্বজনীনভাবে প্রবেশযোগ্য HTTPuniformResourceIdentifier অবশ্যই উপস্থিত থাকতে হবে
(দ্রষ্টব্য)			Revocation servers must operate in accordance with the following sections of the CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates , version 1.3.2 or greater: ৪.৯.৭. সিআরএল প্রদানের পৌনঃপুনিকতা ৪.৯.৯. অনলাইন বাতিলকরণ/স্থিতি যাচাইয়ের প্রাপ্যতা ৪.৯.১০. অনলাইন প্রত্যাহার যাচাইয়ের আবশ্যকতা ৪.১০.২. পরিষেবার প্রাপ্যতা
বিষয়টির বিকল্প নাম	প্রয়োজনীয়	না	এতে অবশ্যই rfc822Name টাইপের অন্তত একটি আইটেম থাকতে হবে। নিম্নলিখিত ধরণের জিনিসপত্র থাকা যাবে না: dNSName আইপি অ্যাড্রেস ইউনিফর্মরিসোর্সআইডেন্টিফায়ার প্রতিটি rfc822Name অবশ্যই সর্বজনীনভাবে নথিভুক্ত এবং নিরীক্ষিত পদ্ধতির মাধ্যমে যাচাই করতে হবে, যাতে এটি নিশ্চিত করা যায় যে অনুরোধকারী সত্তাটি উক্ত ইমেল ঠিকানার সাথে যুক্ত ইমেল অ্যাকাউন্টটি নিয়ন্ত্রণ করে অথবা অ্যাকাউন্টধারীর পক্ষে কাজ করার জন্য ইমেল অ্যাকাউন্টধারীর দ্বারা অনুমোদিত হয়েছে।
অন্য কোনো এক্সটেনশন	ঐচ্ছিক	না	উপস্থিত থাকতে পারে।