RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

発行日: 2008年5月
ステータス: 標準化過程プロトコル (Standards Track)
著者: D. Cooper (NIST), S. Santesson (Microsoft), S. Farrell (Trinity College Dublin), S. Boeyen (Entrust), R. Housley (Vigil Security), W. Polk (NIST)
廃止: RFC 3280, RFC 4325, RFC 4630

---

概要 (Abstract)

本文書は、インターネットで使用するためのX.509 v3証明書 (X.509 v3 Certificate) およびX.509 v2証明書失効リスト (Certificate Revocation List, CRL) のプロファイル (Profile) を定義します。導入として、このアプローチとモデルの概要を提供します。X.509 v3証明書形式について詳細に説明し、インターネット名形式のフォーマットとセマンティクスに関する追加情報を提供します。標準証明書拡張について説明し、2つのインターネット固有の拡張を定義します。必須の証明書拡張のセットを規定します。X.509 v2 CRL形式について、標準およびインターネット固有の拡張とともに詳細に説明します。X.509証明書パス検証 (Certification Path Validation) アルゴリズムについて説明します。付録にASN.1モジュールと例を提供します。

---

目次 (Table of Contents)

主要章節

• 1. Introduction (序論)
• 2. Requirements and Assumptions (要件と前提条件)
  • 2.1 Communication and Topology (通信とトポロジー)
  • 2.2 Acceptability Criteria (受容性基準)
  • 2.3 User Expectations (ユーザーの期待)
  • 2.4 Administrator Expectations (管理者の期待)
• 3. Overview of Approach (アプローチの概要)
  • 3.1 X.509 Version 3 Certificate (X.509バージョン3証明書)
  • 3.2 Certification Paths and Trust (証明書パスと信頼)
  • 3.3 Revocation (失効)
  • 3.4 Operational Protocols (運用プロトコル)
  • 3.5 Management Protocols (管理プロトコル)
• 4. Certificate and Certificate Extensions Profile (証明書および証明書拡張プロファイル)
  • 4.1 Basic Certificate Fields (基本証明書フィールド)
  • 4.2 Certificate Extensions (証明書拡張)
• 5. CRL and CRL Extensions Profile (CRLおよびCRL拡張プロファイル)
  • 5.1 CRL Fields (CRLフィールド)
  • 5.2 CRL Extensions (CRL拡張)
  • 5.3 CRL Entry Extensions (CRLエントリ拡張)
• 6. Certification Path Validation (証明書パス検証)
  • 6.1 Basic Path Validation (基本パス検証)
  • 6.2 Using the Path Validation Algorithm (パス検証アルゴリズムの使用)
  • 6.3 CRL Validation (CRL検証)
• 7. Processing Rules for Internationalized Names (国際化名の処理規則)
  • 7.1 Internationalized Names in Distinguished Names (識別名における国際化名)
  • 7.2 Internationalized Domain Names in GeneralName (GeneralNameにおける国際化ドメイン名)
  • 7.3 Internationalized Domain Names in Distinguished Names (識別名における国際化ドメイン名)
  • 7.4 Internationalized Resource Identifiers (国際化リソース識別子)
  • 7.5 Internationalized Electronic Mail Addresses (国際化電子メールアドレス)
• 8. Security Considerations (セキュリティに関する考慮事項)
• 9. IANA Considerations (IANAに関する考慮事項)
• 10. Acknowledgments (謝辞)
• 11. References (参考文献)
  • 11.1 Normative References (規範的参考文献)
  • 11.2 Informative References (参考情報)

付録 (Appendices)

• Appendix A. Pseudo-ASN.1 Structures and OIDs (疑似ASN.1構造とOID)
  • A.1 Explicitly Tagged Module, 1988 Syntax (明示的タグ付きモジュール、1988構文)
  • A.2 Implicitly Tagged Module, 1988 Syntax (暗黙的タグ付きモジュール、1988構文)
• Appendix B. ASN.1 Notes (ASN.1注記)
• Appendix C. Examples (例)
  • C.1 RSA Self-Signed Certificate (RSA自己署名証明書)
  • C.2 End Entity Certificate Using RSA (RSAを使用するエンドエンティティ証明書)
  • C.3 End Entity Certificate Using DSA (DSAを使用するエンドエンティティ証明書)
  • C.4 Certificate Revocation List (証明書失効リスト)

---

関連リソース

• 公式原文: RFC 5280
• 公式ページ: RFC 5280 DataTracker
• 正誤表: RFC Editor Errata
• 更新: RFC 6818, RFC 8398, RFC 8399

---

主要概念の概要

X.509証明書とは？

X.509証明書 (X.509 Certificate) は、インターネット上でアイデンティティを証明し、安全な通信を確立するために使用されるデジタル文書です。HTTPS、TLS/SSL、コード署名、電子メール暗号化などの技術の基盤となります。

主要機能:

• アイデンティティ検証: 「あなたが誰であるか」を証明します
• 公開鍵配布: 公開鍵を安全に配布します
• 信頼チェーン: 認証局 (Certificate Authority, CA) を通じて信頼を確立します

証明書の基本構造

Certificate ::= SEQUENCE {
   tbsCertificate       TBSCertificate,
   signatureAlgorithm   AlgorithmIdentifier,
   signatureValue       BIT STRING
}

主要フィールド:

• Version (バージョン): 証明書のバージョン (v1, v2, v3)
• Serial Number (シリアル番号): CAによって割り当てられた一意の識別子
• Signature Algorithm (署名アルゴリズム): 証明書の署名に使用されるアルゴリズム
• Issuer (発行者): 証明書に署名したエンティティのDN
• Validity (有効期間): 証明書が有効な期間
• Subject (サブジェクト): 公開鍵に関連付けられたエンティティのDN
• Subject Public Key Info (サブジェクト公開鍵情報): 公開鍵とアルゴリズム識別子
• Extensions (拡張): 追加情報 (v3のみ)

---