5. Demander des certificats serveur (Requesting Server Certificates)
5. Demander des certificats serveur (Requesting Server Certificates)
Cette section fournit des règles et des conseils pour les fournisseurs de services concernant ce qu'il faut inclure dans une demande de signature de certificat (CSR).
En général, il est recommandé qu'un fournisseur de services demande un certificat qui contient tous les types d'identifiants requis ou recommandés pour le(s) type(s) de service d'application qui seront sécurisés en utilisant le certificat émis.
Si le certificat peut être utilisé pour tout type de service d'application, il est recommandé que le fournisseur de services demande un certificat contenant uniquement un DNS-ID.
Si le certificat doit être utilisé pour un seul type de service d'application, il est recommandé que le fournisseur de services demande un certificat contenant un DNS-ID et, si approprié pour le type de service d'application, un SRV-ID ou URI-ID qui limite la portée de déploiement du certificat au seul type de service d'application défini.
Si un fournisseur de services offre plusieurs types de services d'application (par exemple, un service Web, un service de messagerie, et un service de messagerie instantanée) et souhaite limiter l'applicabilité des certificats en utilisant des SRV-IDs ou des URI-IDs, il est recommandé que le fournisseur de services demande plusieurs certificats, un pour chaque type de service d'application. Inversement, il n'est pas recommandé qu'un fournisseur de services demande un seul certificat contenant plusieurs SRV-IDs ou URI-IDs identifiant des types de services d'application distincts. Cette directive ne s'applique pas aux "groupes" de types de services d'application utilisés pour identifier différentes méthodes d'accès à la même application sous-jacente, comme une application de messagerie avec des méthodes d'accès représentées par des types de services d'application tels que "imap", "imaps", "pop3", "pop3s", et "submission" comme décrit dans [EMAIL-SRV].