5. サーバー証明書の要求 (Requesting Server Certificates)

5. サーバー証明書の要求 (Requesting Server Certificates)

このセクションでは、証明書署名要求 (CSR) にどの情報を含めるべきかに関して、サービスプロバイダー向けのルールとガイダンスを提供します。

一般に、サービスプロバイダーは、発行される証明書を使用して保護されるアプリケーションサービスタイプに必要な、または推奨されるすべての識別子タイプを含む証明書を要求することが推奨されます。

証明書があらゆる種類のアプリケーションサービスに使用される可能性がある場合、サービスプロバイダーは DNS-ID のみを含む証明書を要求することが推奨されます。

証明書が単一のタイプのアプリケーションサービスにのみ使用される場合、サービスプロバイダーは DNS-ID を含み、アプリケーションサービスタイプに適切な場合は、証明書の展開範囲を定義されたアプリケーションサービスタイプのみに制限する SRV-ID または URI-ID を含む証明書を要求することが推奨されます。

複数のアプリケーションサービスタイプ（たとえば、ワールドワイドウェブサービス、電子メールサービス、インスタントメッセージングサービス）を提供するサービスプロバイダーが、SRV-ID または URI-ID を使用して証明書の適用可能性を制限したい場合、サービスプロバイダーは、アプリケーションサービスタイプごとに 1 つずつ、複数の証明書を要求することが推奨されます。逆に、サービスプロバイダーは、個別のアプリケーションサービスタイプを識別する複数の SRV-ID または URI-ID を含む単一の証明書を要求することは推奨されません。このガイドラインは、[EMAIL-SRV] に記述されているように、"imap"、"imaps"、"pop3"、"pop3s"、"submission" などのアプリケーションサービスタイプによって表されるアクセス方法を持つ電子メールアプリケーションなど、同じ基盤となるアプリケーションへのさまざまなアクセス方法を識別するために使用されるアプリケーションサービスタイプの「バンドル」には適用されません。