1. はじめに
この節では, CSR 属性 OID と値, ASN.1 構文, id-ExtensionReq, CertificationRequestInfoTemplate, Base64 の例, ASN.1 ダンプ出力, IANA 登録, セキュリティ考慮事項を含む EST CSR Attributes に関する RFC 本文を保持する.
RFC 原文
1. はじめに
この文書は RFC 7030 を更新し, EST サーバーが Certificate Signing
Request (CSR) Attributes Response を用いて CSR 属性 OID と CSR 属性値の
両方を指定する方法を明確化する. 特に, サーバーは, 後続の CSR に
クライアントが含めることを期待する X.509 拡張値を指定できる必要がある.
"Enrollment over Secure Transport" [RFC7030] は幅広いアプリケーション
で使用されてきた. 特に, [RFC8994] と [RFC8995] は Autonomic Control
Plane (ACP) [RFC8368] を構築するためにそれを使用する方法を説明している.
ACP をブートストラップするとき, 各ノードには非常に特定の subjectAltName
を与える必要がある. ACP 仕様である [RFC8994] では, EST サーバーが
CSR Attributes ("/csrattrs") Request ([RFC7030] の Section 2.6 で規定)
を使用して, CSR に入り, 最終的に End Entity (EE) 証明書に入る必要が
ある実際の subjectAltName を EST クライアントに伝えることが規定されて
いる.
いくつかの実装上の課題の結果, CSR Attributes のこの特定の使用方法が
普遍的に合意されているわけではないことが明らかになり, [RFC7030] の
Section 2.6 に反するのではないかと指摘された.
[RFC7030] の Section 2.6 は, CSR Attributes が "can provide
additional descriptive information that the EST server cannot access
itself" と述べている. これは, EST サーバーが使用を要求する値を提供
できる方法を説明するよう拡張される.
かなりの議論の後, [RFC7030] の Section 4.5 は読むのが十分に難しく,
解釈も曖昧であるため, 明確化が必要であると判断された.
また, [RFC7030] の Section 4.5.2 は, 既存の ASN.1 構文 [X.680]
[X.690] の使用を明確化するために拡張される.
これはすべての用途を対象とし, [RFC8994] と [RFC8995] の要件への対応を
含め, 既存の使用と完全に後方互換である.