Den här sidan översattes av Cloud Translation API:et.

S/MIME-certifikatprofiler

Den här artikeln beskriver kraven som varje certifikat i en X.509-kedja måste uppfylla för att vara betrodd för användning med krypterad eller S/MIME-signerad e-post.

Utöver dessa krav måste kedjan förankras till ett certifikat från en certifikatutfärdare (CA) som uttryckligen är betrodd av Google för detta ändamål. Du kan också välja att acceptera rotcertifikat från CA:er du litar på. För mer information, gå till riktlinjerna för rotcertifikat .

Anteckningar :

Google tillhandahåller och underhåller en lista över CA-certifikat som Gmail litar på för S/MIME. Listan över CA:er är betrodd enbart efter Googles gottfinnande. Google förbehåller sig rätten att ta bort rot-CA:er när som helst utan föregående meddelande.
Se till att installerade tillägg inte motsäger andra tillägg i samma certifikat. Om till exempel nsCertTypes definieras måste de täcka exakt samma användningsområden som tillägget för nyckelanvändning, tillägget för utökad nyckelanvändning och tillägget för grundläggande begränsningar.

Regler för certifikatkedjan

Rot-CA

Fält	Värde
Utgivarens DN	Måste identifiera CA:n. Till exempel får DN inte vara ett generiskt värde som "Certifikatutfärdare".
Ämnes-DN	Den kodade formen måste vara identisk byte-för-byte med utfärdarens DN.
Information om ämnets offentliga nyckel	rsaEncryption med en RSA-modul på 2048, 3072 eller 4096. Eller ecPublicKey med secp256r1 eller secp384r1 .

Fält

Värde

Utgivarens DN

Måste identifiera CA:n.

Till exempel får DN inte vara ett generiskt värde som "Certifikatutfärdare".

Ämnes-DN

Den kodade formen måste vara identisk byte-för-byte med utfärdarens DN.

Information om ämnets offentliga nyckel

rsaEncryption med en RSA-modul på 2048, 3072 eller 4096. Eller ecPublicKey med secp256r1 eller secp384r1 .

Mellanliggande CA-certifikat, andra än från utfärdande mellanliggande CA

Använd den här informationen om det finns mer än en mellanliggande CA mellan rot- och slut-entiteten, direkt eller indirekt.

Den utfärdande mellanliggande CA är den mellanliggande CA som utfärdar slutgiltigt enhetscertifikat. Detta avsnitt gäller för alla mellanliggande CA:er i kedjan utöver den utfärdande mellanliggande CA:n.

Fält			Värde
Version			Version 3
Serienummer			Måste vara större än noll (0). När DER kodas som ett INTEGER måste det vara mindre än eller lika med 20 byte.
Signaturalgoritm			RSA med SHA-256 , SHA-384 eller SHA-512 . Eller ECDSA med SHA-256 , SHA-384 eller SHA-512
Utgivarens DN			Måste vara identiskt byte-för-byte med ämnes-DN:et för den utfärdande CA:n.
Giltighetsperiod			Ingen bestämmelse
Ämnes-DN			Ingen bestämmelse
Information om ämnets offentliga nyckel			rsaEncryption med en RSA-modul på 2048, 3072 eller 4096. Eller ecPublicKey med secp256r1 eller secp384r1.
Förlängning	Närvaro	Kritisk	Värde
Nyckelanvändning	Nödvändig	Ja	Bitpositioner måste ställas in för: keyCertSign Andra bitpositioner kan ställas in
Grundläggande begränsningar	Nödvändig	Ja	cA-fältet måste vara satt till sant Fältet pathLenConstraint ska finnas
CRL-distributionspunkter	Nödvändig	Inga	Minst en offentligt tillgänglig HTTP uniformResourceIdentifier måste finnas
(notera)			Återkallningsservrar måste uppfylla följande avsnitt i CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates, version 1.3.2 eller senare: 4.9.7. Utgivningsfrekvens för CRL 4.9.9. Återkallelse/statuskontroll av tillgänglighet online 4.9.10. Krav för kontroll av återkallelse online 4.10.2 Tjänstens tillgänglighet
Alla andra tillägg			Kan vara närvarande

Mellanliggande CA-certifikat som utfärdar slutenheten

Viktigt : Minst ett mellanliggande CA-certifikat måste finnas i kedjan. Det vill säga, roten får inte utfärda slut-entitetscertifikat direkt.

Fält			Värde
Version			Version 3
Serienummer			Måste vara större än noll (0), och, när DER kodas som ett INTEGER, vara mindre än eller lika med 20 byte.
Signaturalgoritm			RSA med SHA-256 , SHA-384 eller SHA-512 . Eller ECDSA med SHA-256 , SHA-384 eller SHA-512 .
Utgivarens DN			Måste vara identiskt byte-för-byte med ämnes-DN:et för den utfärdande CA:n.
Giltighetsperiod			Skillnaden mellan inte före och inte efter Bör inte vara längre än 10 år och får inte vara längre än 20 år.
Ämnes-DN			Bör ange användningen av CA.
Information om ämnets offentliga nyckel			rsaEncryption med en RSA-modul på 2048, 3072 eller 4096. Eller ecPublicKey med secp256r1 eller secp384r1.
Förlängning	Närvaro	Kritisk	Värde
Nyckelanvändning	Nödvändig	Ja	Bitpositioner måste ställas in för: nyckelCertSign Bitpositionen kan ställas in för: cRLSign digitalsignatur Om den används direkt för att signera OCSP-svar, måste följande finnas: digitalsignatur Andra bitpositioner får inte ställas in
Utökad nyckelanvändning	Nödvändig	Antingen	Måste vara närvarande: e-postskydd Får inte finnas: serverAuth kodsignering tidsstämpling anyExtendedKeyUsage
Grundläggande begränsningar	Nödvändig	Ja	cA-fältet måste vara satt till sant Fältet pathLenConstraint BÖR finnas och BÖR vara 0
Certifikatpolicyer	Frivillig	Inga	En policyIdentifier BÖR tillhandahållas som identifierar den policy under vilken CA verkar, och BÖR INTE vara anyPolicy . cps, om det finns, måste innehålla en giltig HTTP- eller HTTPS-länk.
CRL-distributionspunkter	Nödvändig	Inga	Minst en offentligt tillgänglig HTTP uniformResourceIdentifier måste finnas.
(notera)			Återkallningsservrar måste drivas i enlighet med följande avsnitt i CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates , version 1.3.2 eller senare: 4.9.7. Utgivningsfrekvens för CRL 4.9.9. Återkallelse/statuskontroll av tillgänglighet online 4.9.10. Krav för kontroll av återkallelse online 4.10.2. Tjänstens tillgänglighet
Alla andra tillägg	Frivillig	Inga	Kan vara närvarande.

Slutenhetscertifikat

Fält			Värde
Version			Version 3
Serienummer			Måste vara större än noll (0) och måste innehålla minst 64 oförutsägbara bitar. Obs: Kommer att uppdateras för att återspegla CA/Browser Forum Baseline Requirements Certificate Policy Slutentity Serienummer Entropikrav.
Signaturalgoritm			RSA med SHA-256 , SHA-384 eller SHA-512 . Eller ECDSA med SHA-256 , SHA-384 eller SHA-512 .
Utgivarens DN			Måste vara identiskt byte-för-byte med ämnes-DN:et för den utfärdande CA:n.
Giltighetsperiod			Skillnaden mellan notBefore och notAfter får inte vara längre än 27 månader. notBefore-tiden måste representera tidpunkten för signatur plus eller minus 48 timmar.
Ämnes-DN			Alla subjektrelaterade unika namn, utöver e-postadress, måste noggrant valideras före utfärdande med hjälp av en offentligt dokumenterad och granskad procedur. Se avsnitt 3.2.3 "Autentisering av individuell identitet" i CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates , version 1.3.2 eller senare för en acceptabel procedur. Alla e-postadresser (till exempel i fälten commonName eller emailAddress) måste också finnas i tillägget Subject Alternate Name som ett rfc822Name.
Information om ämnets offentliga nyckel			rsaEncryption med en RSA-modul på 2048, 3072 eller 4096. Eller ecPublicKey med secp256r1 eller secp384r1.
Förlängning	Närvaro	Kritisk	Värde
Nyckelanvändning (RSA)	Nödvändig	Ja	Bitpositioner måste ställas in för antingen: digitalsignatur och/eller icke-avvisande/innehållsÅtagande Bitpositioner kan ställas in för: datachryptering nyckelkryptering Andra bitpositioner får inte ställas in.
Nyckelanvändning (ECDH)	Nödvändig		Bitpositioner måste ställas in för: digitalsignatur Bitpositioner kan ställas in för: icke-avvisande/innehållsÅtagande nyckelavtal encipherOnly (om keyAgreement är inställt) dechiffreOnly (om keyAgreement är inställt) Andra bitpositioner får inte ställas in.
Utökad nyckelanvändning	Nödvändig	Antingen	Måste vara närvarande: e-postskydd Får inte finnas: serverAuth kodsignering tidsstämpling anyExtendedKeyUsage
Grundläggande begränsningar	Frivillig	Antingen	Om det finns får cA-fältet inte vara satt till sant Fältet pathLenConstraint får inte finnas
Certifikatpolicyer	Nödvändig	Inga	Måste finnas: En policyIdentifier måste anges som identifierar den policy enligt vilken certifikatet utfärdades, och får inte vara anyPolicy . Kan finnas: cps , om sådan finns, måste innehålla en giltig HTTP- eller HTTPS-länk till den CPS under vilken certifikatet utfärdades.
Åtkomst till myndighetsinformation	Frivillig	Inga	caIssuers och, om sådana finns, ocsp , måste innehålla minst en offentligt tillgänglig HTTP uniformResourceIdentifier. AccessDescription får inte innehålla några etiketter eller parametrar som är specifika för ett enskilt certifikat.
CRL-distributionspunkter	Nödvändig	Inga	Minst en offentligt tillgänglig HTTPuniformResourceIdentifier måste finnas
(notera)			Återkallningsservrar måste fungera i enlighet med följande avsnitt i CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates , version 1.3.2 eller senare: 4.9.7. Utgivningsfrekvens för CRL 4.9.9. Återkallelse/statuskontroll av tillgänglighet online 4.9.10. Krav för kontroll av återkallelse online 4.10.2. Tjänstens tillgänglighet
Ämnesalternativt namn	Nödvändig	Inga	Måste innehålla minst ett objekt av typen rfc822Name. Får inte innehålla objekt av typen: dNS-namn iPad-adress enhetlig resursidentifierare Varje rfc822Name måste verifieras med offentligt dokumenterade och granskade åtgärder för att säkerställa att den enhet som skickar in begäran kontrollerar det e-postkonto som är kopplat till e-postadressen eller har auktoriserats av e-postkontoinnehavaren att agera för kontoinnehavarens räkning.
Alla andra tillägg	Frivillig	Inga	Kan vara närvarande.

S/MIME-certifikatprofiler Stay organized with collections Save and categorize content based on your preferences.