3.7 Certificate Request Payload (証明書要求ペイロード)

3.7 Certificate Request Payload (証明書要求ペイロード)

Certificate Request ペイロードは本文書では CERTREQ と記し, IKE 経由で望ましい証明書を要求する手段である. IKE_SA_INIT 応答および/または IKE_AUTH 要求に現れてよい. 受信側の証明書が必要なとき交換に含めてよい (MAY).

                        1                   2                   3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   | Next Payload  |C|  RESERVED   |         Payload Length        |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   | Cert Encoding |                                               |
   +-+-+-+-+-+-+-+-+                                               |
   ~                    Certification Authority                    ~
   |                                                               |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

               Figure 13: Certificate Request Payload Format

• Certificate Encoding (1 オクテット) - 要求する証明書の型/形式. 値は第 3.6 節.

• Certification Authority (可変長) - 要求型に対して受け入れ可能な認証局の符号化.

ペイロード型は 38 である.

Certification Authority フィールドは信頼 CA の公開鍵の SHA-1 を連結したものである. 各 20 オクテットは信任錨証明書の Subject Public Key Info ([PKIX] 4.1.2.7) の SHA-1 である. 他の整形はない.

内容は X.509 (型 4, 12, 13) にのみ定義される. 他の値は標準化文書があるまで使うべきではない (SHOULD NOT).

「Certificate Request」という名称はやや誤解を招く. 証明書以外の値も Certificate ペイロードに定義され, それらの要求も現れうるが, その場合の構文は本文書にない.

処理は Cert Encoding で型を持つか確認し, あれば Certification Authority で指定 CA まで検証できる証明書があるか見る. チェーンがありうる.

条件を満たすエンドエンティティ証明書があり, 受信者が証明書認証を使い, CERT を送ってよく, 現在の交渉の CA 信頼方針に合い, CERTREQ の CA に連なる時点・用途が適切な証明書が少なくとも 1 つあれば, 証明書またはチェーンを送り返すべきである (SHOULD). 失効確認を考慮すること. 異なる 2 CA を設定していてもクロス認証は選択ロジックで支持すべきである.

CERTREQ に厳密に従い代替証明書を拒否して通信を妨げる意図はない. CERTREQ は提案であり強制ではない. 証明書がなければ CERTREQ は無視する. エラーではない. 優先 CA があっても別 CA が (オペレータ確認後など) 受け入れられうる.

HTTP_CERT_LOOKUP_SUPPORTED 通知は CERTREQ を含められるメッセージに含めてよい (MAY). 送信者が HTTP URL で証明書を引ける (その形式を好む) ことを示す.