الملفات الشخصية لشهادات S/MIME

توضّح هذه المقالة المتطلبات التي يجب أن تستوفيها كل شهادة في سلسلة X.509 حتى تصبح موثوقة للاستخدام مع الرسائل الإلكترونية المشفَّرة أو الموقَّعة باستخدام S/MIME.

إضافةً إلى هذه المتطلبات، يجب أن يتم تثبيت السلسلة بشهادة مرجع التصديق (CA) التي قد تم الوثوق بها صراحةً من خلال Google لهذا الغرض. ويمكنك أيضًا اختيار قبول شهادات الجذر من شهادات CA التي تثق بها. ولمزيد من المعلومات، انتقِل إلى إرشادات شهادة الجذر.

ملاحظات:

  • توفّر Google قائمة بشهادات CA الموثوق بها وتحتفظ بها أيضًا، ويتم الوثوق بهذه الشهادات من خلال Gmail لـ S/MIME. ويتم الوثوق بهذه القائمة من شهادات CA وفقًا لتقدير Google وحدها، كما تحتفظ Google بالحق في إزالة شهادات CA الجذر في أي وقت وبدون إشعار مسبق.
  • احرص على عدم تعارض الإضافات المثبتة مع الإضافات الأخرى في الشهادة ذاتها. على سبيل المثال، في حال تحديد nsCertTypes، يجب أن تشمَل الاستخدامات ذاتها مثل إضافة استخدام المفتاح، وإضافة استخدام المفتاح الموسَّع، وإضافة القيود الأساسية.

قواعد سلسلة الشهادات

مرجع تصديق الجذر

الحقل القيمة

الاسم المميَّز لجهة الإصدار

يجب أن يعرِّف مرجع التصديق.

على سبيل المثال، يجب ألا يكون الاسم المميَّز قيمة عامة، مثل "مرجع التصديق".

الاسم المميَّز للموضوع

يجب أن يتطابق النموذج المُشفَّر على مستوى البايت مع الاسم المميَّز لجهة الإصدار.

معلومات المفتاح العام للموضوع

rsaEncryption مع معامل RSA لكلٍ من 2048، أو 3072، أو 4096. أو ecPublicKey باستخدام secp256r1 أو secp384r1.

شهادات CA الوسيطة بخلاف شهادات CA الوسيطة الصادرة

استخدِم هذه المعلومات عند ظهور أكثر من مرجع تصديق وسيط بين الجذر والكيان النهائي، سواء بشكلٍ مباشر أو غير مباشر.

شهادة CA الوسيطة الصادرة هي شهادة CA الوسيطة التي تُصدر شهادة الكيان النهائي. وينطبق هذا القسم على أي شهادة من شهادات CA الوسيطة في السلسلة، بخلاف إصدار شهادة CA الوسيطة الصادرة.

الحقل القيمة
الإصدار الإصدار 3
الرقم التسلسلي     يجب أن يكون أكبر من الصفر (0)، وعند الترميز باستخدام DER كعدد صحيح، يكون أقل من أو يساوي 20 بايت.
خوارزمية التوقيع     RSA مع SHA‐256 أو SHA‐384 أو SHA‐512. أو ECDSA مع SHA‐256 أو SHA‐384 أو SHA‐512
الاسم المميَّز لجهة الإصدار    

يجب أن يتطابق على مستوى البايت مع الاسم المميَّز لموضوع مرجع التصديق لإصدار الشهادات.

مدة الصلاحية     بدون شرط
الاسم المميَّز للموضوع     بدون شرط
معلومات المفتاح العام للموضوع    

rsaEncryption مع معامل RSA لكلٍ من 2048، أو 3072، أو 4096.  أو ecPublicKey باستخدام secp256r1 أو secp384r1

الإضافة التواجد مهم القيمة
استخدام المفتاح إلزامي نعم

يجب تحديد مواضع البت لـ: keyCertSign
ومن الممكن تحديد أي مواضع بت أخرى

القيود الأساسية إلزامي نعم يجب تحديد قيمة حقل cA على "True"
من المفترَض أن يكون حقل pathLenConstraint متوفرًا
نقاط توزيع قائمة الشهادات الباطلة (CRL) إلزامي لا

يجب أن يتوفّر واحد على الأقل من HTTP
uniformResourceIdentifier المتاح للجميع.

(ملاحظة) يجب أن تلتزم خوادم الإبطال بالفقرات التالية من سياسة شهادة المتطلبات الأساسية لإصدار الشهادات الموثوق بها بشكل عام وإدارتها في CA/Browser Forum، الإصدار 1.3.2 أو إصدار أحدث:
  • 4.9.7. تكرار إصدار CRL
  • 4.9.9. مدى توفّر التحقّق من الحالة/الإبطال على الإنترنت
  • 4.9.10. متطلبات التحقق من الإبطال على الإنترنت
    4.10.2 مدى توفُّر الخدمة

أي إضافات قد تكون متوفّرة.

شهادة CA الوسيطة التي تُصدِر الكيان النهائي 

ملاحظة مُهمّةيجب أن تتوفّر شهادة CA متوسطة واحدة على الأقل في السلسلة. بمعنى أنه يجب ألا يُصدِر الجذر شهادات الكيان النهائي مباشرةً.

الحقل القيمة
الإصدار الإصدار 3
الرقم التسلسلي يجب أن يكون أكبر من الصفر (0)، وعند التشفير باستخدام DER كعدد صحيح، يكون أقل من أو يساوي 20 بايت.
خوارزمية التوقيع

RSA مع SHA‐256 أو SHA‐384 أو SHA‐512. أو ECDSA مع SHA‐256 أو SHA‐384 أو SHA‐512.

الاسم المميَّز لجهة الإصدار    

يجب أن يتطابق على مستوى البايت مع الاسم المميَّز لموضوع مرجع التصديق لإصدار الشهادات.

مدة الصلاحية    

الفرق بين notBefore وnotAfter

من المفترض ألا يزيد الفرق عن 10 أعوام، ويجب ألا يزيد عن 20 عامًا.

الاسم المميَّز للموضوع    

يُفترَض أن يشير إلى استخدام CA.

معلومات المفتاح العام للموضوع    

rsaEncryption مع معامل RSA لكلٍ من 2048، أو 3072، أو 4096.  أو ecPublicKey باستخدام secp256r1 أو secp384r1

الإضافة التواجد مهم القيمة
استخدام المفتاح إلزامي نعم

يجب تحديد مواضع البت لـ:
    keyCertSign
ربما يتم تحديد موضع بت لـ:
    cRLSign
    digitalSignature
في حال الاستخدام المباشر لتوقيع استجابات OCSP، يجب أن يتوفّر:
    digitalSignature

يجب عدم تحديد مواضع بت أخرى.

استخدام مفتاح موسَّع إلزامي أي منهما يجب توفّر:
    emailProtection
يجب عدم توفّر:
    serverAuth
    codeSigning
    timeStamping
​    anyExtendedKeyUsage

القيود الأساسية

إلزامي نعم

يجب تحديد قيمة حقل cA على "True"
من المفترض أن يكون حقل pathLenConstraint متوفّرًا وبالقيمة 0.

سياسات الشهادة اختياري لا

يُفترض تقديم policyIdentifier الذي يحدِّد السياسة التي تشغّل CA بموجبها، وينبغي ألا يكون anyPolicy.
يجب أن يحتوي cps، في حال توفّره، على رابط HTTP أو HTTPS صالحًا.

نقاط توزيع قائمة الشهادات الباطلة (CRL) إلزامي لا

يجب أن يتوفّر واحد على الأقل من HTTP
uniformResourceIdentifier المتاح للجميع.

(ملاحظة)    

يجب تشغيل خوادم الإبطال وفقًا للفقرات التالية من سياسة شهادة المتطلبات الأساسية لإصدار الشهادات الموثوق بها بشكل عام وإدارتها في CA/Browser Forum، الإصدار 1.3.2 أو إصدار أحدث:

  •   4.9.7. تكرار إصدار CRL
  •   4.9.9. مدى توفّر التحقّق من الحالة/الإبطال على الإنترنت
  •   4.9.10. متطلبات التحقق من الإبطال على الإنترنت
  •   4.10.2. مدى توفّر الخدمة
أي إضافات اختياري لا 

قد تكون متوفّرة.

شهادة الكيان النهائي

الحقل القيمة
الإصدار الإصدار 3
الرقم التسلسلي

يجب أن يكون أكبر من الصفر (0)، ويجب أن يحتوى على 64 وحدة بت غير متوقعة على الأقل.

ملاحظة: سيتم التحديث لإظهار متطلبات القيمة العشوائية للرقم التسلسلي للكيان النهائي لسياسة شهادة المتطلبات الأساسية في CA/Browser Forum.

خوارزمية التوقيع RSA مع SHA‐256 أو SHA‐384 أو SHA‐512. أو ECDSA مع SHA‐256 أو SHA‐384 أو SHA‐512.
الاسم المميَّز لجهة الإصدار

يجب أن يتطابق على مستوى البايت مع الاسم المميَّز لموضوع مرجع التصديق لإصدار الشهادات.

مدة الصلاحية

يجب ألا يكون الفرق بين notBefore وnotAfter أكبر من 27 شهرًا.

يجب أن يمثل وقت notBefore وقت التوقيع مع زيادة أو نقصان بمقدار 48 ساعة.

الاسم المميَّز للموضوع    

يجب التحقّق بحرص من صحة أي أسماء مميَّزة ذات صلة بالموضوع بخلاف عنوان البريد الإلكتروني قبل الإصدار باستخدام إجراء تم توثيقه وتدقيقه بشكلٍ عام.  راجِع الفقرة 3.2.3 "مصادقة الهوية الفردية" من سياسة شهادة المتطلبات الأساسية لإصدار الشهادات الموثوق بها بشكل عام وإدارتها في CA/Browser Forum، الإصدار 1.3.2 أو إصدار برقم أكبر لقبول الإجراء.

يجب أيضًا أن تتوفّر أي عناوين بريد إلكتروني (على سبيل المثال، في الحقل commonName أو الحقل emailAddress) في الإضافة "الاسم البديل للموضوع" بصيغة rfc822Name.

معلومات المفتاح العام للموضوع    

rsaEncryption مع معامل RSA لكلٍ من 2048، أو 3072، أو 4096. أو ecPublicKey باستخدام secp256r1 أو secp384r1

الإضافة التواجد مهم القيمة
استخدام المفتاح (RSA) إلزامي نعم

يجب تحديد مواضع البت لـ:
    digitalSignature
 و/أو
    nonRepudiation/contentCommitment
ربما يتم تحديد مواضع البت لـ:
    dataEncipherment
    keyEncipherment

يجب عدم تحديد مواضع بت أخرى.

استخدام المفتاح (ECDH)  إلزامي  

يجب تحديد مواضع البت لـ:
    digitalSignature
ربما يتم تحديد مواضع البت لـ:
    nonRepudiation/contentCommitment
    keyAgreement
    encipherOnly (في حال تحديد keyAgreement)
    decipherOnly (في حال تحديد keyAgreement)

يجب عدم تحديد مواضع بت أخرى.

استخدام مفتاح موسَّع إلزامي أي منهما

يجب توفّر:
   emailProtection
يجب عدم توفّر:
   serverAuth
   codeSigning
   timeStamping
   anyExtendedKeyUsage

القيود الأساسية

اختياري أي منهما

يجب تحديد قيمة حقل cA في حال توفّره على "true"
يجب عدم توفّر حقل pathLenConstraint

سياسات الشهادة إلزامي لا

يجب توفّرها: يجب تقديم policyIdentifier الذي يحدّد السياسة التي تشغّل CA بموجبها، وينبغي ألا يكون anyPolicy

قد تكون متوفّرة: يجب أن يحتوي cps في حال توفّره، على رابط HTTP أو HTTPS صالحًا إلى CPS الذي تم إصدار الشهادة من خلاله.

الوصول إلى معلومات المرجع

اختياري لا

caIssuers، وإن توفّر، يجب أن يحتوي ocsp على HTTP uniformResourceIdentifier واحد على الأقل متاح للجميع.

يجب ألا يحتوي AccessDescription على أي تصنيفات أو مَعلمات محدَّدة لشهادة فردية.

نقاط توزيع قائمة الشهادات الباطلة (CRL) إلزامي لا

يجب أن يتوفّر واحد على الأقل من
HTTPuniformResourceIdentifier المتاح للجميع

(ملاحظة)

   

يجب تشغيل خوادم الإبطال وفقًا للفقرات التالية من سياسة شهادة المتطلبات الأساسية لإصدار الشهادات الموثوق بها بشكل عام وإدارتها في CA/Browser Forum، الإصدار 1.3.2 أو إصدار أحدث:

  •    4.9.7. تكرار إصدار CRL
  •    4.9.9. مدى توفّر التحقّق من الحالة/الإبطال على الإنترنت
  •    4.9.10. متطلبات التحقق من الإبطال على الإنترنت
  •    4.10.2. مدى توفّر الخدمة

الاسم البديل للموضوع

إلزامي لا

يجب أن يحتوي على عنصر واحد على الأقل من نوع rfc822Name.
يجب ألا يحتوي على عناصر من نوع:
   dNSName
   iPAddress
   uniformResourceIdentifier
يجب التحقّق من صحة كل rfc822Name من خلال المقاييس التي تم توثيقها وتدقيقها بشكلٍ عام لضمان أنّ الكيان الذي يرسل الطلب يتحكّم في حساب البريد الإلكتروني المرتبط بعنوان البريد الإلكتروني أو قد تم تفويضه من خلال صاحب حساب البريد الإلكتروني للتصرف بالنيابة عن صاحب الحساب.

أي إضافات

اختياري لا قد تكون متوفّرة.

هل كان ذلك مفيدًا؟

كيف يمكننا تحسينها؟
بحث
محو البحث
إغلاق البحث
القائمة الرئيسية
15075133318030556090
true
مركز مساعدة البحث
true
true
true
true
true
73010
false
false