2.2. New Section 4.5 - Extended Key Usage (拡張鍵用途)

2.2. New Section 4.5 - Extended Key Usage (拡張鍵用途)

以下のサブセクションは, エンドエンティティに代わって鍵ペアを集中的に生成する権限を与えられた CMP サーバー用の新しい拡張鍵用途を導入します。

[RFC4210] のセクション 4.4.3 の後にこのセクションを挿入します:

4.5. Extended Key Usage

拡張鍵用途 (extended key usage, EKU) 拡張は, 認証された鍵ペアが使用される目的を示します。したがって, 証明書の使用を特定のアプリケーションに制限します。

CA は, その職務の一部を他の PKI 管理エンティティに委任したい場合があります。このセクションは, この委任を証明し, この委任の認可をチェックするための自動化された手段を有効にするメカニズムを提供します。このような委任は, 明示的な構成など, 他の手段によって表現することもできます。

CA から別のエンティティへの役割の委任に対する自動検証を提供するために, CMP メッセージ保護または集中鍵生成用の署名データに使用される証明書は, 委任する CA によって発行されなければならず, それぞれの EKU を含まなければなりません。これは, 以下に説明するように, 委任する CA によってこのエンティティが与えられた役割で行動する認可を証明します。

これらの EKU に使用される OID は次のとおりです:

id-kp-cmcCA OBJECT IDENTIFIER ::= {
   iso(1) identified-organization(3) dod(6) internet(1)
   security(5) mechanisms(5) pkix(7) kp(3) 27 }

id-kp-cmcRA OBJECT IDENTIFIER ::= {
   iso(1) identified-organization(3) dod(6) internet(1)
   security(5) mechanisms(5) pkix(7) kp(3) 28 }

id-kp-cmKGA OBJECT IDENTIFIER ::= {
   iso(1) identified-organization(3) dod(6) internet(1)
   security(5) mechanisms(5) pkix(7) kp(3) 32 }

注意: [RFC6402] のセクション 2.10 は, CMS 上の証明書管理 (Certificate Management over CMS, CMC) CA および CMC RA の OID を指定しています。CA および RA の機能は, 特定の証明書管理プロトコル (CMC や CMP など) に固有ではないため, これらの EKU は CMP によって再利用されます。

id-kp-cmKGA EKU の意味は次のとおりです:

CMP KGA: CMP 鍵生成機関 (key generation authorities) は CA であるか, id-kp-cmKGA 拡張鍵用途によって識別されます。CMP KGA は, エンドエンティティに代わって生成した秘密鍵を知っています。これは非常に機密性の高いサービスであり, 特定の認可が必要であり, デフォルトでは CA 証明書自体にあります。CA は, 生成された秘密鍵の起源を認証するために使用される証明書に id-kp-cmKGA 拡張鍵用途を配置することによって, その認可を委任できます。認可は, エンドエンティティのローカル構成を通じて決定することもできます。