Aller au contenu principal

2.16. New Section 5.3.19.16 - Certificate Request Template

2.16. New Section 5.3.19.16 - Certificate Request Template

La sous-section suivante introduit le message général PKI utilisant id-it-certReqTemplate. Les détails sont spécifiés dans la Section 4.3 du profil CMP allégé [RFC9483].

Insérez cette section après la nouvelle Section 5.3.19.15:

5.3.19.16. Certificate Request Template

Ceci PEUT être utilisé par le client pour obtenir un modèle contenant les exigences pour les attributs et extensions de demande de certificat. Les contrôles id-regCtrl-algId et id-regCtrl-rsaKeyLen PEUVENT contenir des détails sur les types de clés publiques de sujet que la CA est disposée à certifier.

Le contrôle id-regCtrl-algId PEUT être utilisé pour identifier un algorithme cryptographique (voir Section 4.1.2.7 de [RFC5280]) autre que rsaEncryption. Le champ algorithm DOIT identifier un algorithme cryptographique. Le contenu du champ de paramètres optionnel variera selon l'algorithme identifié. Par exemple, lorsque l'algorithme est défini sur id-ecPublicKey, les paramètres identifient la courbe elliptique à utiliser; voir [RFC5480].

Le contrôle id-regCtrl-rsaKeyLen DOIT être utilisé pour l'algorithme rsaEncryption et DOIT contenir la longueur de bit de modulus prévue de la clé RSA.

GenMsg:    {id-it 19}, < absent >
GenRep:    {id-it 19}, CertReqTemplateContent | < absent >
CertReqTemplateValue  ::= CertReqTemplateContent

CertReqTemplateContent ::= SEQUENCE {
  certTemplate           CertTemplate,
  keySpec                Controls OPTIONAL }

Controls  ::= SEQUENCE SIZE (1..MAX) OF AttributeTypeAndValue

id-regCtrl-algId OBJECT IDENTIFIER ::= { iso(1)
   identified-organization(3) dod(6) internet(1) security(5)
   mechanisms(5) pkix(7) pkip(5) regCtrl(1) 11 }

AlgIdCtrl ::= AlgorithmIdentifier{ALGORITHM, {...}}

id-regCtrl-rsaKeyLen OBJECT IDENTIFIER ::= { iso(1)
   identified-organization(3) dod(6) internet(1) security(5)
   mechanisms(5) pkix(7) pkip(5) regCtrl(1) 12 }

RsaKeyLenCtrl ::= INTEGER (1..MAX)

Le CertReqTemplateValue contient le certTemplate prérempli à utiliser pour une future demande de certificat. Le champ publicKey dans le certTemplate NE DOIT PAS être utilisé. Au cas où l'entité de gestion PKI souhaite spécifier les algorithmes de clé publique pris en charge, le champ keySpec DOIT être utilisé. Un AttributeTypeAndValue par algorithme pris en charge ou longueur de clé RSA DOIT être utilisé.

Note: Le type ASN.1 controls est défini dans la Section 6 de CRMF [RFC4211].

Dernière mise à jour le