2.16. New Section 5.3.19.16 - Certificate Request Template (証明書リクエストテンプレート)

2.16. New Section 5.3.19.16 - Certificate Request Template (証明書リクエストテンプレート)

以下のサブセクションは, id-it-certReqTemplate を使用する PKI 一般メッセージを紹介します。詳細は, 軽量 CMP プロファイル [RFC9483] のセクション 4.3 で指定されています。

新しいセクション 5.3.19.15 の後にこのセクションを挿入します:

5.3.19.16. Certificate Request Template

クライアントはこれを使用して, 証明書リクエスト属性と拡張の要件を含むテンプレートを取得できます。コントロール id-regCtrl-algId と id-regCtrl-rsaKeyLen には, CA が認証する意思のあるサブジェクト公開鍵のタイプに関する詳細が含まれる場合があります。

id-regCtrl-algId コントロールは, rsaEncryption 以外の暗号化アルゴリズム ([RFC5280] のセクション 4.1.2.7 を参照) を識別するために使用できます。algorithm フィールドは暗号化アルゴリズムを識別しなければなりません。オプションのパラメータフィールドの内容は, 識別されたアルゴリズムに応じて変わります。例えば, アルゴリズムが id-ecPublicKey に設定されている場合, パラメータは使用する楕円曲線を識別します; [RFC5480] を参照してください。

id-regCtrl-rsaKeyLen コントロールは, アルゴリズム rsaEncryption に使用されなければならず, RSA 鍵の意図されたモジュラスビット長を含まなければなりません。

GenMsg:    {id-it 19}, < absent >
GenRep:    {id-it 19}, CertReqTemplateContent | < absent >

CertReqTemplateValue  ::= CertReqTemplateContent

CertReqTemplateContent ::= SEQUENCE {
  certTemplate           CertTemplate,
  keySpec                Controls OPTIONAL }

Controls  ::= SEQUENCE SIZE (1..MAX) OF AttributeTypeAndValue

id-regCtrl-algId OBJECT IDENTIFIER ::= { iso(1)
   identified-organization(3) dod(6) internet(1) security(5)
   mechanisms(5) pkix(7) pkip(5) regCtrl(1) 11 }

AlgIdCtrl ::= AlgorithmIdentifier{ALGORITHM, {...}}

id-regCtrl-rsaKeyLen OBJECT IDENTIFIER ::= { iso(1)
   identified-organization(3) dod(6) internet(1) security(5)
   mechanisms(5) pkix(7) pkip(5) regCtrl(1) 12 }

RsaKeyLenCtrl ::= INTEGER (1..MAX)

CertReqTemplateValue には, 将来の証明書リクエストに使用される事前入力された certTemplate が含まれます。certTemplate の publicKey フィールドは使用してはなりません。PKI 管理エンティティがサポートされる公開鍵アルゴリズムを指定したい場合, keySpec フィールドを使用しなければなりません。サポートされるアルゴリズムまたは RSA 鍵長ごとに 1 つの AttributeTypeAndValue を使用しなければなりません。

注意: コントロール ASN.1 タイプは CRMF [RFC4211] のセクション 6 で定義されています。