Zum Hauptinhalt springen

2.16. New Section 5.3.19.16 - Certificate Request Template (Zertifikatsanforderungsvorlage)

2.16. New Section 5.3.19.16 - Certificate Request Template (Zertifikatsanforderungsvorlage)

Der folgende Unterabschnitt führt die PKI-Allgemeine-Nachricht unter Verwendung von id-it-certReqTemplate ein. Details sind in Abschnitt 4.3 des Lightweight CMP-Profils [RFC9483] spezifiziert.

Fügen Sie diesen Abschnitt nach dem neuen Abschnitt 5.3.19.15 ein:

5.3.19.16. Certificate Request Template

Dies KANN vom Client verwendet werden, um eine Vorlage mit Anforderungen für Zertifikatsanforderungsattribute und -erweiterungen zu erhalten. Die Steuerelemente id-regCtrl-algId und id-regCtrl-rsaKeyLen KÖNNEN Details zu den Arten von öffentlichen Subjektschlüsseln enthalten, die die CA zu zertifizieren bereit ist.

Das Steuerelement id-regCtrl-algId KANN verwendet werden, um einen anderen kryptografischen Algorithmus als rsaEncryption zu identifizieren (siehe Abschnitt 4.1.2.7 von [RFC5280]). Das Feld algorithm MUSS einen kryptografischen Algorithmus identifizieren. Der Inhalt des optionalen Parameterfelds variiert je nach identifiziertem Algorithmus. Wenn beispielsweise der Algorithmus auf id-ecPublicKey gesetzt ist, identifizieren die Parameter die zu verwendende elliptische Kurve; siehe [RFC5480].

Das Steuerelement id-regCtrl-rsaKeyLen MUSS für den Algorithmus rsaEncryption verwendet werden und MUSS die beabsichtigte Modulus-Bitlänge des RSA-Schlüssels enthalten.

GenMsg:    {id-it 19}, < absent >
GenRep:    {id-it 19}, CertReqTemplateContent | < absent >
CertReqTemplateValue  ::= CertReqTemplateContent

CertReqTemplateContent ::= SEQUENCE {
  certTemplate           CertTemplate,
  keySpec                Controls OPTIONAL }

Controls  ::= SEQUENCE SIZE (1..MAX) OF AttributeTypeAndValue

id-regCtrl-algId OBJECT IDENTIFIER ::= { iso(1)
   identified-organization(3) dod(6) internet(1) security(5)
   mechanisms(5) pkix(7) pkip(5) regCtrl(1) 11 }

AlgIdCtrl ::= AlgorithmIdentifier{ALGORITHM, {...}}

id-regCtrl-rsaKeyLen OBJECT IDENTIFIER ::= { iso(1)
   identified-organization(3) dod(6) internet(1) security(5)
   mechanisms(5) pkix(7) pkip(5) regCtrl(1) 12 }

RsaKeyLenCtrl ::= INTEGER (1..MAX)

Der CertReqTemplateValue enthält die vorbefüllte certTemplate, die für eine zukünftige Zertifikatsanforderung verwendet werden soll. Das publicKey-Feld in der certTemplate DARF NICHT verwendet werden. Falls die PKI-Verwaltungsentität unterstützte öffentliche Schlüsselalgorithmen spezifizieren möchte, MUSS das keySpec-Feld verwendet werden. Ein AttributeTypeAndValue pro unterstütztem Algorithmus oder RSA-Schlüssellänge MUSS verwendet werden.

Hinweis: Der ASN.1-Typ controls ist in Abschnitt 6 von CRMF [RFC4211] definiert.

Letztes Update am