Bài viết này mô tả các yêu cầu mà mỗi chứng chỉ trong chuỗi X.509 phải đáp ứng để được tin cậy khi sử dụng với email được mã hoá hoặc email có chữ ký S/MIME.
Ngoài những yêu cầu này, chuỗi phải được neo vào một chứng chỉ Tổ chức phát hành chứng chỉ (CA) mà Google tin cậy một cách rõ ràng cho mục đích này. Bạn cũng có thể chọn chấp nhận chứng chỉ gốc của các CA mà bạn tin tưởng. Để biết thêm thông tin, hãy xem nguyên tắc về chứng chỉ gốc.
Lưu ý:
- Google cung cấp và duy trì danh sách chứng chỉ CA mà Gmail tin cậy cho S/MIME. Danh sách CA chỉ được tin cậy theo ý của Google. Google giữ quyền xoá các CA gốc bất cứ lúc nào mà không cần thông báo.
- Đảm bảo rằng các tiện ích đã cài đặt không mâu thuẫn với các tiện ích khác trong cùng một chứng chỉ. Ví dụ: nếu được xác định, nsCertTypes phải bao gồm chính xác các mục đích sử dụng giống như tiện ích sử dụng khoá, tiện ích sử dụng khoá mở rộng và tiện ích ràng buộc cơ bản.
Quy tắc chuỗi chứng chỉ
CA gốc
| Trường | Giá trị |
|---|---|
|
DN của tổ chức phát hành |
Phải xác định được CA. Ví dụ: DN không được là một giá trị chung chung như "Cơ quan cấp chứng chỉ". |
|
Tên phân biệt của chủ thể |
Biểu mẫu được mã hoá phải giống hệt với DN của tổ chức phát hành. |
|
Thông tin về khoá công khai của đối tượng |
rsaEncryption với một mô-đun RSA là 2048, 3072 hoặc 4096. Hoặc ecPublicKey bằng secp256r1 hoặc secp384r1. |
Chứng chỉ CA trung gian không phải do CA trung gian phát hành
Hãy sử dụng thông tin này nếu có nhiều CA trung gian giữa thực thể gốc và thực thể cuối, trực tiếp hoặc gián tiếp.
CA trung gian phát hành là CA trung gian phát hành chứng chỉ thực thể cuối. Phần này áp dụng cho mọi CA trung gian trong chuỗi, ngoại trừ CA trung gian phát hành.
| Trường | Giá trị | ||
|---|---|---|---|
| Phiên bản | Phiên bản 3 | ||
| Số sê-ri | Phải lớn hơn 0. Khi được mã hoá DER dưới dạng một số nguyên, phải nhỏ hơn hoặc bằng 20 byte. | ||
| Thuật toán chữ ký | RSA có SHA‐256, SHA‐384 hoặc SHA‐512. Hoặc ECDSA có SHA‐256, SHA‐384 hoặc SHA‐512 | ||
| DN của tổ chức phát hành |
Phải giống hệt từng byte với DN của chủ thể của CA phát hành. |
||
| Thời hạn hiệu lực | Không có quy định | ||
| Tên phân biệt của chủ thể | Không có quy định | ||
| Thông tin về khoá công khai của đối tượng |
rsaEncryption với một mô-đun RSA là 2048, 3072 hoặc 4096. Hoặc ecPublicKey bằng cách sử dụng secp256r1 hoặc secp384r1 |
||
| Tiện ích | Sự hiện diện | Quan trọng | Giá trị |
| Sử dụng khoá | Bắt buộc | Có |
Bạn phải đặt vị trí bit cho: keyCertSign |
| Giới hạn cơ bản | Bắt buộc | Có | Bạn phải đặt trường cA thành true phải có trường pathLenConstraint |
| Điểm phân phối CRL | Bắt buộc | Không |
Phải có ít nhất một uniformResourceIdentifier HTTP |
| (ghi chú) | Các máy chủ thu hồi phải tuân thủ các mục sau đây trong Chính sách chứng chỉ theo yêu cầu cơ bản của CA/Diễn đàn trình duyệt về việc phát hành và quản lý chứng chỉ được tin cậy công khai,phiên bản 1.3.2 trở lên:
|
||
| Các tiện ích khác | Có thể có | ||
Chứng chỉ CA trung gian phát hành thực thể cuối
Lưu ý quan trọng: Phải có ít nhất một chứng chỉ CA trung gian trong chuỗi. Tức là không được phát hành trực tiếp chứng chỉ thực thể cuối.
| Trường | Giá trị | ||
|---|---|---|---|
| Phiên bản | Phiên bản 3 | ||
| Số sê-ri | Phải lớn hơn 0 và khi được mã hoá DER dưới dạng một số nguyên, phải nhỏ hơn hoặc bằng 20 byte. | ||
| Thuật toán chữ ký |
RSA có SHA‐256, SHA‐384 hoặc SHA‐512. Hoặc ECDSA có SHA‐256, SHA‐384 hoặc SHA‐512. |
||
| DN của tổ chức phát hành |
Phải giống hệt từng byte với DN của chủ thể của CA phát hành. |
||
| Thời hạn hiệu lực |
Sự khác biệt giữa notBefore và notAfter Không được dài hơn 10 năm và không được dài hơn 20 năm. |
||
| Tên phân biệt của chủ thể |
Phải cho biết việc sử dụng CA. |
||
| Thông tin về khoá công khai của đối tượng |
rsaEncryption với một mô-đun RSA là 2048, 3072 hoặc 4096. Hoặc ecPublicKey bằng cách sử dụng secp256r1 hoặc secp384r1 |
||
| Tiện ích | Sự hiện diện | Quan trọng | Giá trị |
| Sử dụng khoá | Bắt buộc | Có |
Bạn phải đặt vị trí bit cho: Bạn không được đặt các vị trí bit khác |
| Sử dụng Khoá Mở rộng | Bắt buộc | Khi gắn đế và sạc | Phải có: emailProtection Không được có: serverAuth codeSigning timeStamping anyExtendedKeyUsage |
|
Giới hạn cơ bản |
Bắt buộc | Có |
Bạn phải đặt trường cA thành true |
| Chính sách Chứng chỉ | Không bắt buộc | Không |
Bạn NÊN cung cấp một policyIdentifier để xác định chính sách mà CA hoạt động và KHÔNG NÊN là anyPolicy. |
| Điểm phân phối CRL | Bắt buộc | Không |
Bạn phải có ít nhất một uniformResourceIdentifier HTTP |
| (ghi chú) |
Các máy chủ thu hồi phải hoạt động theo các mục sau đây trong Chính sách chứng chỉ theo yêu cầu cơ bản của Diễn đàn CA/Trình duyệt về việc phát hành và quản lý chứng chỉ được tin cậy công khai, phiên bản 1.3.2 trở lên:
|
||
| Các tiện ích khác | Không bắt buộc | Không |
Có thể xuất hiện. |
Chứng chỉ thực thể cuối
| Trường | Giá trị | ||
|---|---|---|---|
| Phiên bản | Phiên bản 3 | ||
| Số sê-ri |
Phải lớn hơn 0 và phải chứa ít nhất 64 bit không dự đoán được. Lưu ý: Sẽ được cập nhật để phản ánh các yêu cầu về entropy số sê-ri của thực thể cuối theo Chính sách về chứng chỉ theo yêu cầu cơ bản của Diễn đàn CA/Trình duyệt. |
||
| Thuật toán chữ ký | RSA có SHA‐256, SHA‐384 hoặc SHA‐512. Hoặc ECDSA có SHA‐256, SHA‐384 hoặc SHA‐512. | ||
| DN của tổ chức phát hành |
Phải giống hệt từng byte với DN của chủ thể của CA phát hành. |
||
| Thời hạn hiệu lực |
Khoảng thời gian giữa notBefore và notAfter không được dài hơn 27 tháng. Thời gian notBefore phải biểu thị thời gian ký cộng hoặc trừ 48 giờ. |
||
| Tên phân biệt của chủ thể |
Mọi Tên phân biệt tương đối của chủ thể khác ngoài địa chỉ email đều phải được xác thực nghiêm ngặt trước khi phát hành, bằng cách sử dụng một quy trình được kiểm tra và ghi lại công khai. Hãy tham khảo Phần 3.2.3 "Xác thực danh tính cá nhân" trong Chính sách về chứng chỉ theo yêu cầu cơ bản của CA/Browser Forum để phát hành và quản lý chứng chỉ được tin cậy công khai, phiên bản 1.3.2 trở lên để biết quy trình được chấp nhận. Mọi địa chỉ email (ví dụ: trong các trường commonName hoặc emailAddress) cũng phải có trong tiện ích Subject Alternate Name dưới dạng rfc822Name. |
||
| Thông tin về khoá công khai của đối tượng |
rsaEncryption với một mô-đun RSA là 2048, 3072 hoặc 4096. Hoặc ecPublicKey bằng cách sử dụng secp256r1 hoặc secp384r1 |
||
| Tiện ích | Sự hiện diện | Quan trọng | Giá trị |
| Mức sử dụng khoá (RSA) | Bắt buộc | Có |
Bạn phải đặt vị trí bit cho: Bạn không được đặt các vị trí bit khác. |
| Sử dụng khoá (ECDH) | Bắt buộc |
Bạn phải đặt vị trí bit cho: Bạn không được đặt các vị trí bit khác. |
|
| Sử dụng Khoá Mở rộng | Bắt buộc | Khi gắn đế và sạc |
Phải có: |
|
Giới hạn cơ bản |
Không bắt buộc | Khi gắn đế và sạc |
Nếu có, bạn không được đặt trường cA thành true |
| Chính sách Chứng chỉ | Bắt buộc | Không |
Phải có: Bạn phải cung cấp một policyIdentifier để xác định chính sách mà theo đó chứng chỉ được cấp và không được là anyPolicy. Có thể xuất hiện: cps, nếu có, phải chứa một đường liên kết HTTP hoặc HTTPS hợp lệ đến CPS mà theo đó chứng chỉ được cấp. |
|
Quyền Truy cập Thông tin Tổ chức Cấp Chứng chỉ |
Không bắt buộc | Không |
caIssuers và ocsp (nếu có) phải chứa ít nhất một uniformResourceIdentifier HTTP có thể truy cập công khai. AccessDescription không được chứa bất kỳ nhãn hoặc tham số nào dành riêng cho một chứng chỉ riêng lẻ. |
| Điểm phân phối CRL | Bắt buộc | Không |
Bạn phải cung cấp ít nhất một HTTPuniformResourceIdentifier |
|
(ghi chú) |
Các máy chủ thu hồi phải hoạt động theo các mục sau đây trong Chính sách chứng chỉ theo yêu cầu cơ bản của Diễn đàn CA/Trình duyệt về việc phát hành và quản lý chứng chỉ được tin cậy công khai, phiên bản 1.3.2 trở lên:
|
||
|
Tên thay thế của chủ đề |
Bắt buộc | Không |
Phải chứa ít nhất một mục thuộc loại rfc822Name. |
|
Các tiện ích khác |
Không bắt buộc | Không | Có thể xuất hiện. |