5. Anforderung von Server-Zertifikaten (Requesting Server Certificates)
5. Anforderung von Server-Zertifikaten (Requesting Server Certificates)
Dieser Abschnitt bietet Regeln und Richtlinien für Dienstanbieter darüber, was in eine Zertifikats-Signierungsanforderung (Certificate Signing Request - CSR) aufgenommen werden soll.
Im Allgemeinen wird empfohlen, dass ein Dienstanbieter ein Zertifikat anfordert, das alle Identifikatortypen enthält, die für den/die Anwendungsdienst-Typ(en) erforderlich oder empfohlen sind, die unter Verwendung des ausgestellten Zertifikats gesichert werden sollen.
Wenn das Zertifikat für jeden Anwendungsdienst-Typ verwendet werden kann, wird empfohlen, dass der Dienstanbieter ein Zertifikat anfordert, das nur eine DNS-ID enthält.
Wenn das Zertifikat nur für einen einzigen Anwendungsdienst-Typ verwendet werden soll, wird empfohlen, dass der Dienstanbieter ein Zertifikat anfordert, das eine DNS-ID und, falls für den Anwendungsdienst-Typ zutreffend, eine SRV-ID oder URI-ID enthält, die den Einsatzbereich des Zertifikats auf nur den definierten Anwendungsdienst-Typ beschränkt.
Wenn ein Dienstanbieter mehrere Anwendungsdienst-Typen anbietet (z. B. einen Webdienst, einen E-Mail-Dienst und einen IM-Dienst) und die Anwendbarkeit der Zertifikate mithilfe von SRV-IDs oder URI-IDs einschränken möchte, wird empfohlen, dass der Dienstanbieter mehrere Zertifikate anfordert, eines für jeden Anwendungsdienst-Typ. Umgekehrt wird einem Dienstanbieter nicht empfohlen, ein einzelnes Zertifikat anzufordern, das mehrere SRV-IDs oder URI-IDs enthält, die unterschiedliche Anwendungsdienst-Typen identifizieren. Diese Richtlinie gilt nicht für "Bündel" von Anwendungsdienst-Typen, die verwendet werden, um verschiedene Zugriffsmethoden auf dieselbe zugrunde liegende Anwendung zu identifizieren, wie z. B. eine E-Mail-Anwendung mit Zugriffsmethoden, die durch Anwendungsdienst-Typen wie "imap", "imaps", "pop3", "pop3s" und "submission" dargestellt werden, wie in [EMAIL-SRV] beschrieben.