Profil Sertifikat S/MIME

Artikel ini menjelaskan persyaratan yang harus dipenuhi setiap sertifikat dalam rantai X.509 agar dipercaya untuk digunakan dengan email yang dienkripsi atau bertanda tangan S/MIME.

Selain persyaratan tersebut, rantai harus mengacu pada sertifikat Certificate Authority (CA) yang secara eksplisit dipercaya oleh Google untuk tujuan ini. Anda juga dapat memilih menerima root certificate dari CA yang Anda percaya. Untuk informasi selengkapnya, buka panduan root certificate.

Catatan:

  • Google menyediakan dan mengelola daftar sertifikat CA yang dipercaya oleh Gmail untuk S/MIME. Daftar CA dipercaya semata-mata atas kebijaksanaan Google. Google memiliki hak untuk menghapus root CA kapan pun tanpa pemberitahuan.
  • Pastikan ekstensi yang diinstal tidak bertentangan dengan ekstensi lain di dalam sertifikat yang sama. Misalnya, jika nsCertTypes ditentukan, maka harus mencakup penggunaan yang sama persis dengan ekstensi penggunaan kunci, ekstensi penggunaan kunci yang diperpanjang, dan ekstensi batasan dasar.

Aturan rantai sertifikat

Root CA

Kolom Nilai

DN Penerbit

Harus mengidentifikasi CA.

Misalnya, DN tidak boleh berupa nilai generik seperti "Certificate Authority".

DN Subjek

Bentuk yang dienkode harus identik setiap byte-nya dengan DN Penerbit.

Info Kunci Publik Subjek

rsaEncryption dengan modulus RSA 2048, 3072, atau 4096. Atau ecPublicKey yang menggunakan secp256r1 atau secp384r1.

Sertifikat CA perantara selain dari CA menengah penerbit

Gunakan informasi ini jika terdapat lebih dari satu CA perantara antara root dan entitas akhir, secara langsung atau tidak langsung.

CA perantara penerbit adalah CA perantara yang menerbitkan sertifikat entitas akhir. Bagian ini berlaku untuk CA perantara mana pun dalam rantai selain CA perantara penerbit.

Kolom Nilai
Versi Versi 3
Nomor Seri     Harus lebih besar dari nol (0). Ketika DER dienkode sebagai INTEGER, harus kurang dari atau sama dengan 20 byte.
Algoritme Tanda Tangan     RSA dengan SHA‐256, SHA‐384, atau SHA‐512. Atau ECDSA dengan SHA‐256, SHA‐384, atau SHA‐512
DN Penerbit    

Harus identik setiap byte-nya dengan DN Subjek CA penerbit.

Periode Validitas     Tanpa syarat
DN Subjek     Tanpa syarat
Info Kunci Publik Subjek    

rsaEncryption dengan modulus RSA 2048, 3072, atau 4096.  Atau ecPublicKey yang menggunakan secp256r1 atau secp384r1

Ekstensi Ketersediaan Penting Nilai
Penggunaan Kunci Wajib Ya

Posisi bit harus disetel untuk: keyCertSign
Posisi bit lainnya dapat disetel

Batasan Dasar Wajib Ya Kolom cA harus disetel ke true
kolom pathLenConstraint harus ada
Poin Distribusi CRL Wajib Tidak

Setidaknya satu uniformResourceIdentifier HTTP yang dapat
diakses publik harus ada

(catatan) Server pencabutan harus mematuhi pasal berikut dari Kebijakan Sertifikat Persyaratan Dasar Forum CA/Browser terhadap penerbitan dan Pengelolaan Sertifikat yang Tepercaya secara Publik, versi 1.3.2 atau yang lebih baru:
  • 4.9.7. Frekuensi Penerbitan CRL
  • 4.9.9. Ketersediaan Pemeriksaan Status/Pencabutan Online
  • 4.9.10. Persyaratan Pemeriksaan Pencabutan Online
    4.10.2 Ketersediaan Layanan

Ekstensi lainnya Mungkin ada

Sertifikat CA perantara yang menerbitkan entitas akhir 

Penting: Setidaknya satu sertifikat CA perantara harus ada di dalam rantai. Artinya, root tidak boleh menerbitkan sertifikat entitas akhir secara langsung.

Kolom Nilai
Versi Versi 3
Nomor Seri Harus lebih besar dari nol (0), dan, jika DER dienkode sebagai INTEGER, harus kurang dari atau sama dengan 20 byte.
Algoritme Tanda Tangan

RSA dengan SHA‐256, SHA‐384, atau SHA‐512. Atau ECDSA dengan SHA‐256, SHA‐384, atau SHA‐512.

DN Penerbit    

Harus identik setiap byte-nya dengan DN Subjek CA penerbit.

Periode Validitas    

Perbedaan antara notBefore dan notAfter

Sebaiknya tidak lebih dari 10 tahun dan tidak boleh lebih dari 20 tahun.

DN Subjek    

Sebaiknya mengindikasikan penggunaan CA.

Info Kunci Publik Subjek    

rsaEncryption dengan modulus RSA 2048, 3072, atau 4096.  Atau ecPublicKey yang menggunakan secp256r1 atau secp384r1

Ekstensi Ketersediaan Penting Nilai
Penggunaan Kunci Wajib Ya

Posisi bit harus disetel untuk:
    keyCertSign
Posisi bit dapat disetel untuk:
    cRLSign
    digitalSignature
Jika langsung digunakan untuk menandatangani respons OCSP, harus ada:
    digitalSignature

Posisi bit lain tidak boleh disetel

Penggunaan Kunci yang Diperpanjang Wajib Salah satu Harus ada:
    emailProtection
Tidak boleh ada:
    serverAuth
    codeSigning
    timeStamping
​    anyExtendedKeyUsage

Batasan Dasar

Wajib Ya

Kolom cA harus disetel ke true
kolom pathLenConstraint SEBAIKNYA ada dan SEBAIKNYA 0

Kebijakan Sertifikat Opsional Tidak

policyIdentifier SEBAIKNYA disediakan, yang mengidentifikasi kebijakan tempat CA beroperasi, dan SEBAIKNYA TIDAK berupa anyPolicy.
cps, jika ada, harus berisi link HTTP atau HTTPS yang valid.

Poin Distribusi CRL Wajib Tidak

Setidaknya satu HTTP yang dapat diakses publik
uniformResourceIdentifier harus ada.

(catatan)    

Server pencabutan harus beroperasi sesuai dengan pasal berikut dari Kebijakan Sertifikat Persyaratan Dasar Forum CA/Browser untuk Penerbitan dan Pengelolaan Sertifikat yang Tepercaya secara Publik, versi 1.3.2 atau yang lebih baru:

  •   4.9.7. Frekuensi Penerbitan CRL
  •   4.9.9. Ketersediaan Pemeriksaan Status/Pencabutan Online
  •   4.9.10. Persyaratan Pemeriksaan Pencabutan Online
  •   4.10.2. Ketersediaan Layanan
Ekstensi lainnya Opsional Tidak 

Boleh ada.

Sertifikat entitas akhir

Kolom Nilai
Versi Versi 3
Nomor Seri

Harus lebih besar dari nol (0) dan minimal harus terdiri dari 64 bit yang tidak dapat diprediksi.

Catatan: Akan diupdate untuk mencerminkan persyaratan entropi nomor seri entitas akhir “Kebijakan Sertifikat Persyaratan Dasar Forum Browser/CA”.

Algoritme Tanda Tangan RSA dengan SHA‐256, SHA‐384, atau SHA‐512. Atau ECDSA dengan SHA‐256, SHA‐384, atau SHA‐512.
DN Penerbit

Harus identik setiap byte-nya dengan DN Subjek CA penerbit.

Periode Validitas

Perbedaan antara notBefore dan notAfter tidak boleh lebih dari 27 bulan.

Waktu notBefore harus merepresentasikan waktu tanda tangan kurang-lebih 48 jam.

DN Subjek    

Nama yang Dibedakan Relatif Subjek apa pun selain alamat email harus divalidasi secara ketat sebelum penerbitan, menggunakan prosedur yang diaudit dan didokumentasikan secara publik.  Lihat §3.2.3 “Autentikasi Identitas Individual” dari Kebijakan Sertifikat Persyaratan Dasar Forum Browser/CA untuk Penerbitan dan Pengelolaan Sertifikat yang Tepercaya secara Publik versi 1.3.2 atau yang lebih baru untuk prosedur yang diterima.

Alamat email apa pun (misalnya di kolom commonName atau emailAddress) harus ada juga dalam ekstensi Nama Alternatif Subjek sebagai rfc822Name.

Info Kunci Publik Subjek    

rsaEncryption dengan modulus RSA 2048, 3072, atau 4096. Atau ecPublicKey yang menggunakan secp256r1 atau secp384r1

Ekstensi Ketersediaan Penting Nilai
Penggunaan Kunci (RSA) Wajib Ya

Posisi bit harus disetel untuk:
    digitalSignature
 dan/atau
    nonRepudiation/contentCommitment
Posisi bit dapat disetel untuk:
    dataEncipherment
    keyEncipherment

Posisi bit lain tidak boleh disetel.

Penggunaan Kunci (ECDH)  Wajib  

Posisi bit harus disetel untuk:
    digitalSignature
Posisi bit dapat disetel untuk:
    nonRepudiation/contentCommitment
    keyAgreement
    encipherOnly (jika keyAgreement disetel)
    decipherOnly (jika keyAgreement disetel)

Posisi bit lain tidak boleh disetel.

Penggunaan Kunci yang Diperpanjang Wajib Salah satu

Harus ada:
   emailProtection
Tidak boleh ada:
   serverAuth
   codeSigning
   timeStamping
   anyExtendedKeyUsage

Batasan Dasar

Opsional Salah satu

Jika ada, kolom cA tidak boleh disetel ke true
kolom pathLenConstraint tidak boleh ada

Kebijakan Sertifikat Wajib Tidak

Harus ada: policyIdentifier harus disediakan, yang mengidentifikasi kebijakan tempat sertifikat diterbitkan, dan tidak boleh berupa anyPolicy

Boleh ada: cps, jika ada, harus berisi link HTTP atau HTTPS yang valid ke CPS tempat sertifikat diterbitkan.

Akses Informasi Otoritas

Opsional Tidak

caIssuers dan, jika ada, ocsp, harus berisi setidaknya satu HTTP uniformResourceIdentifier yang dapat diakses secara publik.

AccessDescription tidak boleh berisi label atau parameter apa pun yang bersifat khusus untuk sertifikat individual.

Poin Distribusi CRL Wajib Tidak

Setidaknya harus ada satu
HTTPuniformResourceIdentifier yang dapat diakses secara publik

(catatan)

   

Server pencabutan harus beroperasi sesuai dengan pasal berikut dari Kebijakan Sertifikat Persyaratan Dasar Forum Browser/CA untuk Penerbitan dan Pengelolaan Sertifikat yang Tepercaya secara Publik, versi 1.3.2 atau yang lebih baru:

  •    4.9.7. Frekuensi Penerbitan CRL
  •    4.9.9. Ketersediaan Pemeriksaan Status/Pencabutan Online
  •    4.9.10. Persyaratan Pemeriksaan Pencabutan Online
  •    4.10.2. Ketersediaan Layanan

Nama Alternatif Subjek

Wajib Tidak

Harus berisi setidaknya satu item dengan jenis rfc822Name.
Tidak boleh berisi item dengan jenis:
   dNSName
   iPAddress
   uniformResourceIdentifier
Setiap rfc822Name harus diverifikasi dengan tindakan yang didokumentasikan dan diaudit secara publik untuk memastikan entitas yang mengirimkan permintaan mengontrol akun email yang terkait dengan alamat email atau telah diberi otorisasi oleh pemegang akun email untuk bertindak atas nama pemegang akun.

Ekstensi lainnya

Opsional Tidak Boleh ada.

Apakah ini membantu?

Bagaimana cara meningkatkannya?
Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
14279265004836238901
true
Pusat Bantuan Penelusuran
true
true
true
true
true
73010
false
false