前のページ <<< >>> 次のページ

　電子証明書の拡張情報は、バージョン３の電子証明書にのみ現れるフィールドです。ここでは、そのデータ形式を説明します。CryptoAPIでの取り扱いについては、５．２電子証明書の拡張情報とCryptoAPI[http://www.trustss.co.jp/smnDataFormat520.html]で説明します。

　拡張情報は、以下のように規定されています。

Extentions ::= SEQUENCE SIZE (1..MAX) OF Extention

Extention ::= SEQUENCE {
    extnID       OBJECT IDNTIFIER,
    critical     BOOLEAN DEFAULT FALSE,
    extnValue    OCTET STRING
}

拡張情報（Extentions）は、１つ以上の順序付けられたExtentionデータで構成されています。その内容は、規定上指定されていません。具体的な内容は実装によります。
extnIDは、拡張情報の種類を表すオブジェクト識別子（Object IDentifier; 以下OIDと記します）です。
criticalは、重要（クリチカル、値はTRUE）もしくは、非重要（ノンクリチカル、値はFALSE）を表しています。もしこの値がクリチカルであった場合は、この電子証明書を利用するシステムは、この拡張情報を理解しなければなりません。もしそれができないばあいは、そのシステムは、この電子証明書の利用を拒絶しなければなりません。しかしながら、ノンクリチカルとされている拡張情報は、システムが理解できなければ無視してもかまいません。
extnValueは、拡張情報の内容です。

　以下では、一般的な拡張情報について説明します。

　一般的な電子証明書に記載される標準の拡張情報があります。以下では、このような拡張情報について説明しますが、これらは、以下のOIDのメンバーとなります。

id-ce OBJECT IDENTIFIER ::= { joint-iso-ccitt(2) ds(5) 29 }

たとえば、次項のAuthority Key Identifierは、　id-ce 35 ですので、"２．５．２９．３５"となります。

　認証局（CA；Certificate Authority）が複数の鍵ペアを保持している場合に、どの私有鍵を使って署名したかがわかるようにするためのものです。RFC3280に従った電子証明書は、このフィールドが含まれることを要求されています。さらに、このフィールドは、クリチカルであってはなりません。
　以下のように規定されています。

id-ce-authorityKeyIdentifier OBJECT IDENTIFIER ::= { id-ce 35 }

AuthorityKeyIdentifier ::= SEQUENCE {
    keyIdentifier             [0] KeyIdentifier           OPTIONAL,
    authorityCertIssuer       [1] GeneralNames            OPTIONAL,
    authorityCertSerialNumber [2] CertificateSerialNumber OPTIONAL }

KeyIdentifire ::= OCTET STRING

　このSubjectが複数の鍵ペアを所有している場合に、公開鍵を区別するために用いられます。実際の値は、公開鍵から算出されたハッシュ値を使うように要求されています。
エンドエンティティの電子証明書には、このフィールドが含まれるべきである、とされています。さらに、このフィールドは、クリチカルであってはなりません。
以下のように規定されています。

id-ce-subjectKeyIdentifier OBJECT IDENTIFIER ::= { id-ce 14 }

SubjectKeyIdentifier ::= KeyIdentifier

　Key Usageは、電子証明書内の鍵の使用用途（たとえば、暗号化、電子署名など）を表しているものです。利用できる用途をビットごとに組み合わせた値で表します。
このフィールドは、クリチカルであるべきとされています。
以下のように規定されています。

id-ce-keyUsage OBJECT IDENTIFIER ::= { id-ce 15 }

KeyUsage ::= BIT STRING {
    digitalSignature      (0),
    nonRepudiation        (1),
    keyEncipherment       (2),
    dataEncipherment      (3),
    keyAgreement          (4),
    keyCertSign           (5),
    cRLSign               (6),
    encipherOnly          (7),
    decipherOnly          (8) }

それぞれのビットの意味は、以下のとおりです。

ビット	意　味
digitalSignature	電子署名 （keyCertSign、cRLSignを除く）
nonRepudiation	否認防止サービスの署名検証
keyEncipherment	鍵暗号
dataEncipherment	データ暗号
keyAgreement	鍵交換
keyCertSign	電子証明書の署名検証
cRLSign	証明書執行リスト（ＣＲＬ）の署名検証
encipherOnly	鍵交換時の暗号鍵 （keyAgreementがセットされている場合）
decipherOnly	鍵交換時の復号鍵 （keyAgreementがセットされている場合）

　エンド エンティティの証明書では、ポリシー情報項目は、証明書が発行されたときにもとづいたポリシーと証明書が使用されてよい目的を示します。
一般には、ＣＰＳへのポインターまたは、ユーザー通知の情報を示しています。
　以下のように規定されています。

id-ce-certificatePolices OBJECT IDENTIFIER ::= { id-ce 32 }

certificatePolicies ::= SEQUENCE SIZE (1..MAX) OF PlicyInformations

PolicyInformations ::= SEQUENCE {
    policyIdentifier    CertPolicyId,
    policyQualifiers    SEQUENCE SIZE (1..MAX) OF PolicyQualifierInfo
                                                                OPTIONAL }

CertPolicyId ::= OBJECT IDENTIFIER

PolicyQualifierInfo ::= SEQUENCE {
    policyQualifierId   PolicyQualifierId,
    qualifier           ANY DEFINED BY policyQualifierId }

PolicyQualifierId ::= OBJECT IDENTIFIER { id-qt-cps | id-qt-unotice }

Qualifier ::= CHOICE {
    cPSuri        CPSuri,
    userNotice    UserNotice }

CPSuri ::= IA5String

UserNotice ::= SEQUENCE {
    noticeRef      NoticeReference OPTIONAL,
    explicitText   DisplayText     OPTIONAL }

NoticeReference ::= SEQUENCE {
    organization      DisplayText
    noticeNumbers     SEQUENCE OF INTEGER }

DisplayText ::= CHOICE {
    ia5String         IA5String         (SIZE (1..200)),
    visibleString     VisibleString     (SIZE (1..200)),
    bmpString         BMPString         (SIZE (1..200)),
    utf8String        UTF8String        (SIZE (1..200)) }

　サブジェクト代替名は、追加の識別情報としてサブジェクトに統合されます。その値は、インターネット電子メール アドレス、DNS 名、IP アドレスおよびURI（uniform resource identifier）です。
電子証明書の唯一のサブジェクトの識別情報が、サブジェクト代替名である場合は、サブジェクトが空シーケンスでなければなりませんし、このフィールドがクリチカルでなければなりません。
　以下ように規定されています。

id-ce-subjectAltName OBJECT IDENTIFIER ::= { id-ce 17 }

SubjectAltName ::= GeneralNames

GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName

GeneralName ::= CHOICE {
    otherName                 [0] OtherName,
    rfc822Name                [1] IA5String,
    dNSName                   [2] IA5String,
    x400Address               [3] ORAddress,
    directoryName             [4] Name,
    ediPartyName              [5] EDIPartyName,
    uniformResourceIdentifier [6] IA5String,
    iPAddress                 [7] OCTET STRING,
    registeredID              [8] OBJECT IDENTIFIER }

OtherName ::= SEQUENCE {
    type-id      OBJECT IDENTIFIER,
    value        [0] EXPLICIT ANY DEFINED BY type-id }

EDIPartyName ::= SEQUENCE {
    nameAssigner [0] DirectoryString OPTIONAL,
    partyName    [1] DirectoryString }

　基本制約は、電子証明書のサブジェクトがCAであるか否かということと、この電子証明書を含む正当な認証パスの最大の深さを表します。
　以下のように規定されています。

id-ce-basicConstraints OBJECT IDENTIFIER ::= { id-ce 19 }

BasicConstraints ::= SEQUENCE {
    cA                   BOOLEAN DEFAULT FALSE,
    pathLenConstraint    INTEGER (0..MAX) OPTIONAL }

cA値は、認証された公開鍵がCAに属すか否かを表します。ｃA値が真でない場合は、鍵用途拡張のkeyCertSign ビットがセットされてはなりません。
pathLenConstraintは、正当な認証パスの中でこの証明書に続く自己署名ではない中間の証明書の最大値を表します。

　拡張鍵用途は、公開鍵の使用目的を表します。この情報は、鍵用途フィールドの追加の情報かまたは、代わりの情報となります。
　以下のように規定されています。

id-ce-extKeyUsage OBJECT IDENTIFIER ::= { id-ce 37 }

ExtKeyUsageSyntax ::= SEQUENCE SIZE (1..MAX) OF KeyPurposeId

KeyPurposeId ::= OBJECT IDENTIFIER

　ご質問やご要望は、こちらからお送りください。（匿名でも可能です。）