Эта страница переведена с помощью Cloud Translation API.

Профили сертификатов S/MIME

В этой статье описываются требования, которым должен соответствовать каждый сертификат в цепочке X.509, чтобы считаться надежным для использования с зашифрованной электронной почтой или электронной почтой, подписанной по протоколу S/MIME.

В дополнение к этим требованиям, цепочка сертификатов должна быть привязана к сертификату центра сертификации (ЦС), которому Google явно доверяет для этой цели. Вы также можете выбрать принятие корневых сертификатов от центров сертификации, которым вы доверяете. Для получения дополнительной информации перейдите к рекомендациям по использованию корневых сертификатов .

Примечания :

Google предоставляет и поддерживает список сертификатов центров сертификации (ЦС), которым доверяет Gmail для S/MIME. Доверие к этим ЦС определяется исключительно по усмотрению Google. Google оставляет за собой право удалять корневые ЦС в любое время без предварительного уведомления.
Убедитесь, что установленные расширения не противоречат другим расширениям в том же сертификате. Например, если определены nsCertTypes, они должны охватывать точно те же области применения, что и расширение использования ключа, расширенное расширение использования ключа и базовое расширение ограничений.

правила цепочки сертификатов

Корневой центр сертификации

Поле	Ценить
Эмитент DN	Необходимо идентифицировать CA. Например, DN не должен быть общим значением, таким как «Центр сертификации».
Тема DN	Закодированная форма должна быть байт за байтом идентична DN эмитента.
Информация об открытом ключе темы	rsaEncryption с модулем RSA 2048, 3072 или 4096. Или ecPublicKey с использованием secp256r1 или secp384r1 .

Поле

Ценить

Эмитент DN

Необходимо идентифицировать CA.

Например, DN не должен быть общим значением, таким как «Центр сертификации».

Тема DN

Закодированная форма должна быть байт за байтом идентична DN эмитента.

Информация об открытом ключе темы

rsaEncryption с модулем RSA 2048, 3072 или 4096. Или ecPublicKey с использованием secp256r1 или secp384r1 .

Сертификаты промежуточного уровня квалификации дипломированного бухгалтера (CA), выданные не дипломированными дипломированными бухгалтерами (CA).

Используйте эту информацию, если между корневым и конечным объектом существует более одного промежуточного центра сертификации, прямо или косвенно.

Промежуточный центр сертификации, осуществляющий эмиссию, — это промежуточный центр сертификации, который выдает сертификат конечного субъекта. Этот раздел применим ко всем промежуточным центрам сертификации в цепочке, кроме промежуточного центра сертификации, осуществляющего эмиссию.

Поле			Ценить
Версия			Версия 3
Серийный номер			Должно быть больше нуля (0). При кодировании в формате DER как INTEGER должно быть меньше или равно 20 байтам.
Алгоритм подписи			RSA с SHA-256 , SHA-384 или SHA-512 . Или ECDSA с SHA-256 , SHA-384 или SHA-512.
Эмитент DN			Должно быть байт за байтом идентично Subject DN выдающего центра сертификации.
Срок действия			Никаких условий
Тема DN			Никаких условий
Информация об открытом ключе темы			rsaEncryption с модулем RSA 2048, 3072 или 4096. Или ecPublicKey с использованием secp256r1 или secp384r1.
Расширение	Присутствие	Критический	Ценить
Ключевое использование	Необходимый	Да	Необходимо установить битовые позиции для параметра keyCertSign. Можно установить и другие позиции битов.
Основные ограничения	Необходимый	Да	Поле cA должно быть установлено в значение true. Поле pathLenConstraint должно присутствовать.
Пункты распространения CRL	Необходимый	Нет	По крайней мере один общедоступный HTTP-протокол. Единый идентификатор ресурса должен присутствовать.
(примечание)			Серверы, осуществляющие аннулирование сертификатов, должны соответствовать следующим разделам базовых требований Политики сертификации CA/Browser Forum для выдачи и управления общедоступными доверенными сертификатами, версия 1.3.2 или выше: 4.9.7. Частота выпуска списков отзыва сертификатов (CRL). 4.9.9. Доступность онлайн-отмены/проверки статуса 4.9.10. Требования к онлайн-проверке отзыва 4.10.2 Доступность услуг
Любые другие расширения			Возможно, присутствует.

Промежуточный сертификат центра сертификации, выдающий сертификат конечному участнику.

Важно : в цепочке должен присутствовать как минимум один промежуточный сертификат центра сертификации. То есть корневой сертификат не должен выдавать сертификаты конечных пользователей напрямую.

Поле			Ценить
Версия			Версия 3
Серийный номер			Должно быть больше нуля (0), а при кодировании DER как INTEGER — меньше или равно 20 байтам.
Алгоритм подписи			RSA с SHA-256 , SHA-384 или SHA-512 . Или ECDSA с SHA-256 , SHA-384 или SHA-512 .
Эмитент DN			Должно быть байт за байтом идентично Subject DN выдающего центра сертификации.
Срок действия			Разница между notBefore и notAfter Срок действия договора не должен превышать 10 лет и не должен превышать 20 лет.
Тема DN			Следует указать на использование CA.
Информация об открытом ключе темы			rsaEncryption с модулем RSA 2048, 3072 или 4096. Или ecPublicKey с использованием secp256r1 или secp384r1.
Расширение	Присутствие	Критический	Ценить
Ключевое использование	Необходимый	Да	Необходимо установить позиции битов для следующих случаев: keyCertSign Позиция бита может быть установлена для: cRLSign цифровая подпись Если используется непосредственно для подписания ответов OCSP, то должен присутствовать: цифровая подпись Другие позиции битов устанавливать нельзя.
Расширенное использование клавиш	Необходимый	Или	Необходимо присутствовать: защита электронной почты Не должно присутствовать: serverAuth подписание кода временная метка anyExtendedKeyUsage
Основные ограничения	Необходимый	Да	Поле cA должно быть установлено в значение true. Поле pathLenConstraint ДОЛЖНО присутствовать и ДОЛЖНО быть равно 0.
Политика выдачи сертификатов	Необязательный	Нет	Необходимо указать policyIdentifier, который идентифицирует политику, в соответствии с которой работает центр сертификации, и он НЕ ДОЛЖЕН быть anyPolicy . Если компонент cps присутствует, он должен содержать действительную ссылку HTTP или HTTPS.
Пункты распространения CRL	Необходимый	Нет	По крайней мере один общедоступный HTTP-протокол. Необходимо наличие параметра uniformResourceIdentifier.
(примечание)			Серверы отзыва сертификатов должны работать в соответствии со следующими разделами Политики базовых требований CA/Browser Forum к сертификатам для выдачи и управления общедоступными доверенными сертификатами , версия 1.3.2 или выше: 4.9.7. Частота выпуска списков отзыва сертификатов (CRL). 4.9.9. Доступность онлайн-отмены/проверки статуса 4.9.10. Требования к онлайн-проверке отзыва 4.10.2. Доступность услуг
Любые другие расширения	Необязательный	Нет	Возможно, присутствует.

Сертификат конечного предприятия

Поле			Ценить
Версия			Версия 3
Серийный номер			Должно быть больше нуля (0) и содержать не менее 64 непредсказуемых битов. Примечание: Будет обновлено с учетом базовых требований форума центров сертификации/браузеров к политике сертификации и требованиям к энтропии серийного номера конечного объекта.
Алгоритм подписи			RSA с SHA-256 , SHA-384 или SHA-512 . Или ECDSA с SHA-256 , SHA-384 или SHA-512 .
Эмитент DN			Должно быть байт за байтом идентично Subject DN выдающего центра сертификации.
Срок действия			Разница между значениями notBefore и notAfter не должна превышать 27 месяцев. Время notBefore должно соответствовать времени подписания плюс-минус 48 часов.
Тема DN			Любые отличительные имена, относящиеся к субъекту, за исключением адреса электронной почты, должны быть тщательно проверены перед выдачей сертификата с использованием общедоступной документированной и проверенной процедуры. Для получения информации о приемлемой процедуре см. раздел 3.2.3 «Аутентификация личности» Политики базовых требований CA/Browser Forum по выдаче и управлению общедоступными доверенными сертификатами , версия 1.3.2 или выше. Все адреса электронной почты (например, в полях commonName или emailAddress) также должны присутствовать в расширении Subject Alternate Name в формате rfc822Name.
Информация об открытом ключе темы			rsaEncryption с модулем RSA 2048, 3072 или 4096. Или ecPublicKey с использованием secp256r1 или secp384r1.
Расширение	Присутствие	Критический	Ценить
Использование ключей (RSA)	Необходимый	Да	Позиции битов необходимо установить либо для одного из следующих вариантов: цифровая подпись и/или неотказ от ответственности/обязательства по содержанию Позиции битов могут быть установлены для: шифрование данных keyEncipherment Другие позиции битов устанавливать нельзя.
Использование ключей (ECDH)	Необходимый		Необходимо установить позиции битов для следующих случаев: цифровая подпись Позиции битов могут быть установлены для: неотказ от ответственности/обязательства по содержанию ключевое соглашение encipherOnly (если задан параметр keyAgreement) decipherOnly (если задан параметр keyAgreement) Другие позиции битов устанавливать нельзя.
Расширенное использование клавиш	Необходимый	Или	Необходимо присутствовать: защита электронной почты Не должно присутствовать: serverAuth подписание кода временная метка anyExtendedKeyUsage
Основные ограничения	Необязательный	Или	Если поле cA присутствует, оно не должно быть установлено в значение true. Поле pathLenConstraint не должно присутствовать.
Политика выдачи сертификатов	Необходимый	Нет	Обязательное условие: необходимо указать policyIdentifier, который идентифицирует политику, в соответствии с которой был выдан сертификат, и не должен быть anyPolicy . Возможно наличие: если присутствует, cps должен содержать действительную HTTP или HTTPS ссылку на CPS, под которым был выдан сертификат.
Доступ к информации органа власти	Необязательный	Нет	caIssuers и, если присутствует, ocsp должны содержать как минимум один общедоступный HTTP uniformResourceIdentifier. В поле AccessDescription не должны содержаться метки или параметры, специфичные для конкретного сертификата.
Пункты распространения CRL	Необходимый	Нет	По крайней мере один общедоступный Необходимо наличие HTTPuniformResourceIdentifier.
(примечание)			Серверы отзыва сертификатов должны работать в соответствии со следующими разделами Политики базовых требований CA/Browser Forum к сертификатам для выдачи и управления общедоступными доверенными сертификатами , версия 1.3.2 или выше: 4.9.7. Частота выпуска списков отзыва сертификатов (CRL). 4.9.9. Доступность онлайн-отмены/проверки статуса 4.9.10. Требования к онлайн-проверке отзыва 4.10.2. Доступность услуг
Альтернативное название предмета	Необходимый	Нет	Должен содержать как минимум один элемент типа rfc822Name. Не должен содержать предметы следующего типа: dNSName IP-адрес uniformResourceIdentifier Каждый RFC822Name должен быть проверен с использованием общедоступных документированных и проверенных мер, чтобы убедиться, что организация, подающая запрос, контролирует учетную запись электронной почты, связанную с этим адресом, или уполномочена владельцем учетной записи электронной почты действовать от его имени.
Любые другие расширения	Необязательный	Нет	Возможно, присутствует.

Профили сертификатов S/MIME Оптимизируйте свои подборки Сохраняйте и классифицируйте контент в соответствии со своими настройками.