Skip to main content

2.16. New Section 5.3.19.16 - Certificate Request Template (证书请求模板)

2.16. New Section 5.3.19.16 - Certificate Request Template (证书请求模板)

以下小节介绍了使用 id-it-certReqTemplate 的 PKI 一般消息。详细信息在轻量级 CMP 配置文件 [RFC9483] 的 Section 4.3 中指定。

在新的 Section 5.3.19.15 之后插入此节:

5.3.19.16. Certificate Request Template

客户端可以使用它来获取包含证书请求属性和扩展要求的模板。控制 id-regCtrl-algId 和 id-regCtrl-rsaKeyLen 可能包含有关 CA 愿意认证的主体公钥类型的详细信息。

id-regCtrl-algId 控制可用于识别 rsaEncryption 之外的加密算法 (参见 [RFC5280] 的 Section 4.1.2.7)。算法字段应识别加密算法。可选参数字段的内容将根据识别的算法而变化。例如, 当算法设置为 id-ecPublicKey 时, 参数标识要使用的椭圆曲线; 参见 [RFC5480]

id-regCtrl-rsaKeyLen 控制应用于算法 rsaEncryption, 并应包含 RSA 密钥的预期模数位长度。

GenMsg:    {id-it 19}, < absent >
GenRep:    {id-it 19}, CertReqTemplateContent | < absent >
CertReqTemplateValue  ::= CertReqTemplateContent

CertReqTemplateContent ::= SEQUENCE {
  certTemplate           CertTemplate,
  keySpec                Controls OPTIONAL }

Controls  ::= SEQUENCE SIZE (1..MAX) OF AttributeTypeAndValue

id-regCtrl-algId OBJECT IDENTIFIER ::= { iso(1)
   identified-organization(3) dod(6) internet(1) security(5)
   mechanisms(5) pkix(7) pkip(5) regCtrl(1) 11 }

AlgIdCtrl ::= AlgorithmIdentifier{ALGORITHM, {...}}

id-regCtrl-rsaKeyLen OBJECT IDENTIFIER ::= { iso(1)
   identified-organization(3) dod(6) internet(1) security(5)
   mechanisms(5) pkix(7) pkip(5) regCtrl(1) 12 }

RsaKeyLenCtrl ::= INTEGER (1..MAX)

CertReqTemplateValue 包含用于未来证书请求的预填充 certTemplate。certTemplate 中的 publicKey 字段不得使用。如果 PKI 管理实体希望指定支持的公钥算法, 则必须使用 keySpec 字段。每个支持的算法或 RSA 密钥长度必须使用一个 AttributeTypeAndValue。

注意: 控制 ASN.1 类型在 CRMF [RFC4211] 的 Section 6 中定义。

Last updated on