In dit artikel leest u aan welke vereisten elk certificaat in een X.509-keten moet voldoen voordat het kan worden gebruikt met versleutelde of door S/MIME-ondertekende e-mails.
Naast deze vereisten moet de keten ook zijn verbonden aan een certificaat van een certificeringsinstantie (CA) dat voor dit doel wordt vertrouwd door Google. U kunt er ook voor kiezen rootcertificaten te accepteren van CA's die u vertrouwt. Zie Richtlijnen voor rootcertificaten voor meer informatie.
Opmerkingen:
- Google levert en onderhoudt een lijst met CA-certificaten die worden vertrouwd door Gmail voor S/MIME. De CA's worden naar eigen goeddunken vertrouwd door Google. Google behoudt zich het recht voor root-CA's op elk moment te verwijderen, met of zonder reden.
- Zorg dat geïnstalleerde extensies geen conflict opleveren met andere extensies in hetzelfde certificaat. Als er bijvoorbeeld nsCertTypes zijn opgegeven, moeten deze gelden voor exact hetzelfde gebruik als de extensie voor sleutelgebruik, de extensie voor uitgebreid sleutelgebruik en de extensie voor algemene beperkingen.
Regels voor certificaatketens
Hoofd-CA
| Veld | Waarde |
|---|---|
|
Issuer DN (DN uitgever) |
Hierin moet de naam van de CA staan. De DN mag geen algemene waarde zijn, zoals Certificeringsinstantie. |
|
Subject DN (DN onderwerp) |
De gecodeerde vorm moet byte voor byte identiek zijn aan de Issuer DN. |
|
Subject Public Key Info (Gegevens openbare sleutel onderwerp) |
rsaEncryption met een RSA-modulus van 2048, 3072 of 4096. Of ecPublicKey met secp256r1 of secp384r1. |
Andere tussenliggende CA-certificaten dan het uitgevende tussenliggende CA-certificaat
Gebruik deze informatie als er zich meer dan 1 tussenliggend CA-certificaat bevindt tussen de hoofd- en eindentiteit, direct of indirect.
De uitgevende tussenliggende CA is de tussenliggende CA die het certificaat van de eindentiteit uitgeeft. Dit gedeelte geldt voor alle tussenliggende CA's in een keten, behalve de uitgevende tussen-CA.
| Veld | Waarde | ||
|---|---|---|---|
| Version (Versie) | Version 3 (Versie 3). | ||
| Serienummer | Moet groter zijn dan nul (0). Als DER is gecodeerd als INTEGER, moet deze waarde minder dan of gelijk aan 20 bytes zijn. | ||
| Signature Algorithm (Algoritme handtekening) | RSA met SHA‐256, SHA‐384 of SHA‐512. Of ECDSA met SHA‐256, SHA‐384 of SHA‐512 | ||
| Issuer DN (DN uitgever) |
Moet byte voor byte identiek zijn aan de Subject DN van de uitgevende CA. |
||
| Validity Period (Geldigheidsperiode) | Niet van toepassing. | ||
| Subject DN (DN onderwerp) | Niet van toepassing. | ||
| Subject Public Key Info (Gegevens openbare sleutel onderwerp) |
rsaEncryption met een RSA-modulus van 2048, 3072 of 4096. Of ecPublicKey met secp256r1 of secp384r1 |
||
| Extensie | Aanwezigheid | Essentieel | Waarde |
| Key Usage (Sleutelgebruik) | Vereist | Ja |
Bitposities moeten worden ingesteld voor: keyCertSign |
| Basic Constraints (Algemene beperkingen) | Vereist | Ja | Het veld cA moet worden ingesteld op true. Het veld pathLenConstraint moet aanwezig zijn. |
| CRL Distribution Points (CRL-distributiepunten) | Vereist | Nee |
Er moet minstens 1 openbaar toegankelijke HTTP |
| (opmerking) | Intrekkingsservers moeten voldoen aan de vereisten in de volgende gedeelten van de CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates (Basisvereisten voor het certificeringsbeleid van CA-/browserforum voor het uitgeven en beheren van openbaar vertrouwde certificaten) versie 1.3.2 of hoger:
|
||
| Andere extensies | Mogen aanwezig zijn. | ||
Tussenliggend CA-certificaat dat de eindentiteit uitgeeft
Belangrijk: Er moet zich minstens 1 CA-tussencertificaat in de keten bevinden. De root-CA mag dus niet rechtstreeks eindgebruikercertificaten uitgeven.
| Veld | Waarde | ||
|---|---|---|---|
| Version (Versie) | Version 3 (Versie 3). | ||
| Serienummer | Moet groter zijn dan nul (0). Als DER is gecodeerd als INTEGER, moet deze waarde minder dan of gelijk aan 20 bytes zijn. | ||
| Signature Algorithm (Algoritme handtekening) |
RSA met SHA‐256, SHA‐384 of SHA‐512. Of ECDSA met SHA‐256, SHA‐384 of SHA‐512. |
||
| Issuer DN (DN uitgever) |
Moet byte voor byte identiek zijn aan de Subject DN van de uitgevende CA. |
||
| Validity Period (Geldigheidsperiode) |
Het verschil tussen notBefore en notAfter We raden u aan dit niet langer te maken dan 10 jaar; het mag niet langer zijn dan 20 jaar. |
||
| Subject DN (DN onderwerp) |
Moet het gebruik van de CA aangeven. |
||
| Subject Public Key Info (Gegevens openbare sleutel onderwerp) |
rsaEncryption met een RSA-modulus van 2048, 3072 of 4096. Of ecPublicKey met secp256r1 of secp384r1 |
||
| Extensie | Aanwezigheid | Essentieel | Waarde |
| Key Usage (Sleutelgebruik) | Vereist | Ja |
Bitposities moeten worden ingesteld voor: Er mogen geen andere bitposities worden ingesteld. |
| Extended Key Usage (Uitgebreid sleutelgebruik) | Vereist | Mogelijk | Het volgende moet aanwezig zijn: emailProtection Het volgende mag niet aanwezig zijn: serverAuth codeSigning timeStamping anyExtendedKeyUsage |
|
Basic Constraints (Algemene beperkingen) |
Vereist | Ja |
Het veld cA moet worden ingesteld op true. |
| Certificate Policies (Certificaatbeleid) | Optioneel | Nee |
Er MOET een policyIdentifier worden opgegeven waarmee het beleid wordt geïdentificeerd waaronder de CA werkt. Dit mag NIET anyPolicy zijn. |
| CRL Distribution Points (CRL-distributiepunten) | Vereist | Nee |
Er moet minstens 1 openbaar toegankelijke HTTP |
| (opmerking) |
Intrekkingsservers moeten worden uitgevoerd volgens de volgende gedeelten van de CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates (Basisvereisten voor het certificeringsbeleid van CA-/browserforum voor het uitgeven en beheren van openbaar vertrouwde certificaten) versie 1.3.2 of hoger:
|
||
| Andere extensies | Optioneel | Nee |
Mogen aanwezig zijn. |
Certificaat eindentiteit
| Veld | Waarde | ||
|---|---|---|---|
| Version (Versie) | Version 3 (Versie 3). | ||
| Serienummer |
Moet groter zijn dan nul (0) en moet minstens 64 onvoorspelbare bits bevatten. Opmerking: Wordt geüpdatet zodat het voldoet aan de entropievereisten voor serienummers van eindentiteiten in de CA/Browser Forum Baseline Requirements Certificate Policy (Basisvereisten voor het certificeringsbeleid van CA-/browserforum). |
||
| Signature Algorithm (Algoritme handtekening) | RSA met SHA‐256, SHA‐384 of SHA‐512. Of ECDSA met SHA‐256, SHA‐384 of SHA‐512. | ||
| Issuer DN (DN uitgever) |
Moet byte voor byte identiek zijn aan de Subject DN van de uitgevende CA. |
||
| Validity Period (Geldigheidsperiode) |
Het verschil tussen notBefore en notAfter mag niet meer dan 27 maanden zijn. Het tijdstip in notBefore moet de ondertekeningstijd zijn, plus of min 48 uur. |
||
| Subject DN (DN onderwerp) |
Alle Subject Relative Distinguished Names (DN-namen relatief aan onderwerp) anders dan een e-mailadres moeten streng worden gevalideerd voordat deze worden uitgegeven, volgens een openbaar gedocumenteerde en gecontroleerde procedure. Zie gedeelte 3.2.3 'Authentication of Individual Identity' (Verificatie van individuele identiteit) van de CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates (Basisvereisten voor het certificeringsbeleid van CA-/browserforum voor het uitgeven en beheren van openbaar vertrouwde certificaten) versie 1.3.2 of hoger voor een toegestane procedure. Eventuele e-mailadressen (bijvoorbeeld in het veld commonName of emailAddress) moeten ook aanwezig zijn in de extensie Subject Alternate Name (Alternatieve naam onderwerp) als rfc822Name. |
||
| Subject Public Key Info (Gegevens openbare sleutel onderwerp) |
rsaEncryption met een RSA-modulus van 2048, 3072 of 4096. Of ecPublicKey met secp256r1 of secp384r1 |
||
| Extensie | Aanwezigheid | Essentieel | Waarde |
| Key Usage (RSA) (Sleutelgebruik) | Vereist | Ja |
Bitposities moeten worden ingesteld voor: Er mogen geen andere bitposities worden ingesteld. |
| Key Usage (ECDH) (Sleutelgebruik) | Vereist |
Bitposities moeten worden ingesteld voor: Er mogen geen andere bitposities worden ingesteld. |
|
| Extended Key Usage (Uitgebreid sleutelgebruik) | Vereist | Mogelijk |
Het volgende moet aanwezig zijn: |
|
Basic Constraints (Algemene beperkingen) |
Optioneel | Mogelijk |
Indien aanwezig mag het veld cA niet worden ingesteld op true. |
| Certificate Policies (Certificaatbeleid) | Vereist | Nee |
Het volgende moet aanwezig zijn: Er moet een policyIdentifier worden opgegeven waarmee het beleid wordt geïdentificeerd waaronder het certificaat is uitgegeven. Dit mag niet anyPolicy zijn. Het volgende mag aanwezig zijn: Als cps aanwezig is, moet dit een geldige HTTP- of HTTPS-link bevatten naar de cps waaronder het certificaat is uitgegeven. |
|
Authority Information Access (Toegang tot autoriteitsgegevens) |
Optioneel | Nee |
caIssuers en, indien aanwezig, ocsp moeten minstens 1 openbaar toegankelijke HTTP uniformResourceIdentifier bevatten. AccessDescription mag geen labels of parameters bevatten die specifiek zijn voor een individueel certificaat. |
| CRL Distribution Points (CRL-distributiepunten) | Vereist | Nee |
Er moet minstens 1 openbaar toegankelijke |
|
(opmerking) |
Intrekkingsservers moeten worden uitgevoerd volgens de volgende gedeelten van de CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates (Basisvereisten voor het certificeringsbeleid van CA-/browserforum voor het uitgeven en beheren van openbaar vertrouwde certificaten) versie 1.3.2 of hoger:
|
||
|
Subject Alternative Name (Alternatieve naam onderwerp) |
Vereist | Nee |
Moet minstens 1 item van het type rfc822Name bevatten. |
|
Andere extensies |
Optioneel | Nee | Mogen aanwezig zijn. |
