Profiler för S/MIME-certifikat

I den här artikeln beskrivs alla krav som vart och ett av certifikaten i en X.509-kedja måste uppfylla innan det kan användas för e-post som krypteras eller signeras med S/MIME.

Utöver dessa krav måste kedjan vara förankrad i ett certifikat från en certifikatutfärdare (certificate authority eller CA) som uttryckligen har godkänts av Google för detta syfte. Du kan också välja att acceptera rotcertifikat från certifikatutfärdare som du litar på. Mer information finns i riktlinjer för rotcertifikat.

Obs!

  • Google tillhandahåller och underhåller en lista över betrodda CA-certifikat som är betrodda av Gmail för S/MIME. Certifikatutfärdarna på listan är betrodda uteslutande enligt Googles eget gottfinnande. Google förbehåller sig rätten att när som helst ta bort rotcertifikatutfärdare utan förhandsmeddelande.
  • Kontrollera att installerade tillägg inte strider mot andra tillägg i samma certifikat. Exempel: Om nsCertTypes har definierats måste de täcka exakt samma användningsområden som tillägget för nyckelanvändning, tillägget för utökad nyckelanvändning och tillägget för grundläggande begränsningar.

Regler för certifikatkedja

Rotcertifikatutfärdare

Fält Värde

Unikt namn för utfärdaren

Namnet måste identifiera certifikatutfärdaren.

Namnet får alltså inte vara ett allmänt värde, t.ex. Certifikatutfärdare.

Unikt namn för ämnet

Den kodade formen måste vara identiskt byte för byte med utfärdarens unika namn.

Information om offentlig nyckel för ämne

rsaEncryption med en RSA-modul på 2048, 3072 eller 4096. Eller en ecPublicKey som använder secp256r1 eller secp384r1.

Alla mellanliggande CA-certifikat som inte utfärdar slutenhetscertifikatet

Använd denna information om det finns fler än en mellanliggande certifikatutfärdare mellan rot- och slutenheten, antingen direkt eller indirekt.

Den utfärdande mellanliggande certifikatutfärdaren är den mellanliggande certifikatutfärdare som utfärdar slutenhetscertifikatet. Det här avsnittet gäller för alla mellanliggande certifikatutfärdare i kedjan förutom den utfärdande mellanliggande certifikatutfärdaren.

Fält Värde
Version Version 3
Serienummer     Numret måste vara högre än noll (0). Om det är DER-kodat som ett HELTAL måste det vara lägre än eller lika med 20 byte.
Signaturalgoritm     RSA med SHA‐256, SHA‐384 eller SHA‐512. Eller ECDSA med SHA‐256, SHA‐384 eller SHA‐512
Unikt namn för utfärdaren    

Måste vara identiskt byte för byte med det unika ämnesnamnet för det utfärdande CA-certifikatet.
Giltighetsperiod     Inga bestämmelser
Unikt namn för ämnet     Inga bestämmelser
Information om offentlig nyckel för ämne    

rsaEncryption med en RSA-modul på 2048, 3072 eller 4096.  Eller en ecPublicKey som använder secp256r1 eller secp384r1
Tillägg Närvaro Kritiskt Värde
Nyckelanvändning Obligatoriskt Ja

Bitpositioner måste anges för: keyCertSign
Andra bitpositioner kan anges
Grundläggande begränsningar Obligatoriskt Ja Fältet cA måste anges som sant
Fältet pathLenConstraint field ska finnas
Distributionsplatser för lista över återkallade certifikat (CRL) Obligatoriskt Nej

Minst en offentligt tillgänglig HTTP
uniformResourceIdentifier måste finnas
(kommentar) Återkallningsservrar måste följa kraven i följande avsnitt av CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates version 1.3.2 eller senare:
  • 4.9.7. CRL Issuance Frequency
  • 4.9.9. On‐line Revocation/Status Checking Availability

  • 4.9.10. On‐line Revocation Checking Requirements
    4.10.2 Service Availability
Andra tillägg Kan finnas

Mellanliggande CA-certifikat som utfärdar slutenheten 

Obs! Minst ett mellanliggande CA-certifikat måste finnas i kedjan. Detta innebär att certifikat för slutenheter inte får utfärdas direkt av roten.

Fält Värde
Version Version 3
Serienummer Numret måste vara högre än noll (0) och om det är DER-kodat som ett HELTAL måste det vara lägre än eller lika med 20 byte.
Signaturalgoritm

RSA med SHA‐256, SHA‐384 eller SHA‐512. Eller ECDSA med SHA‐256, SHA‐384 eller SHA‐512.
Unikt namn för utfärdaren    

Måste vara identiskt byte för byte med det unika ämnesnamnet för det utfärdande CA-certifikatet.
Giltighetsperiod    

Skillnaden mellan notBefore och notAfter

Ska inte vara längre än 10 år och får inte vara längre än 20 år.
Unikt namn för ämnet    

Ska indikera hur certifikatutfärdaren används.
Information om offentlig nyckel för ämne    

rsaEncryption med en RSA-modul på 2048, 3072 eller 4096.  Eller en ecPublicKey som använder secp256r1 eller secp384r1
Tillägg Närvaro Kritiskt Värde
Nyckelanvändning Obligatoriskt Ja

Bitpositioner måste anges för:
    keyCertSign
Bitposition kan anges för:
    cRLSign
    digitalSignature
Om nyckeln används för signering av OCSP-svar direkt måste följande finnas:
    digitalSignature

Andra bitpositioner får inte anges.
Utökad nyckelanvändning Obligatoriskt Antingen eller Måste finnas:
    emailProtection
Får inte finnas:
    serverAuth
    codeSigning
    timeStamping
​    anyExtendedKeyUsage

Grundläggande begränsningar

 Obligatoriskt Ja

Fältet cA måste anges som sant
Fältet pathLenConstraint SKA finnas och SKA vara 0
Certifikatpolicyer Valfritt Nej

En policyIdentifier som identifierar policyn under vilken certifikatutfärdaren verkar SKA tillhandahållas och SKA INTE vara anyPolicy.
Om det finns cps måste detta innehålla en giltig HTTP- eller HTTPS-länk.
Distributionsplatser för lista över återkallade certifikat (CRL) Obligatoriskt Nej

Minst en offentligt tillgänglig HTTP
uniformResourceIdentifier måste finnas.
(kommentar)    

Återkallningsservrar måste användas i enlighet med följande avsnitt av CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates version 1.3.2 eller senare:

  •   4.9.7. CRL Issuance Frequency
  •   4.9.9. On‐line Revocation/Status Checking Availability
  •   4.9.10. On‐line Revocation Checking Requirements
  •   4.10.2. Service Availability
Andra tillägg Valfritt Nej 

Kan finnas.

Certifikat för slutenhet

Fält Värde
Version Version 3
Serienummer

Numret måste vara högre än noll (0) och måste innehålla minst 64 oförutsägbara bitar.

Obs! Detta uppdateras för att reflektera kraven för slutenhetens serienummerentropi från CA/Browser Forum Baseline Requirements Certificate Policy.
Signaturalgoritm RSA med SHA‐256, SHA‐384 eller SHA‐512. Eller ECDSA med SHA‐256, SHA‐384 eller SHA‐512.
Unikt namn för utfärdaren

Måste vara identiskt byte för byte med det unika ämnesnamnet för det utfärdande CA-certifikatet.
Giltighetsperiod

Skillnaden mellan notBefore och notAfter får inte vara längre än 27 månader.

Tiden notBefore måste representera tiden för signeringen plus/minus 48 timmar.
Unikt namn för ämnet    

Alla relativa unika namn (som inte är e-postadresser) för ämnen måste valideras noggrant i en offentligt dokumenterad och granskad procedur innan certifikatet utfärdas.  Mer information om godkända procedurer finns i avsnitt 3.2.3 Authentication of Individual Identity i CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates version 1.3.2 eller senare.

Alla e-postadresser (t.ex. i fält av typen commonName eller emailAddress) måste även finnas som rfc822Name i tillägget Alternativt ämnesnamn.
Information om offentlig nyckel för ämne    

rsaEncryption med en RSA-modul på 2048, 3072 eller 4096. Eller ecPublicKey som använder secp256r1 eller secp384r1
Tillägg Närvaro Kritiskt Värde
Nyckelanvändning (RSA) Obligatoriskt Ja

Bitpositioner måste anges för antingen:
    digitalSignature
 och/eller
    nonRepudiation/contentCommitment
Bitpositioner kan anges för:
    dataEncipherment
    keyEncipherment

Andra bitpositioner får inte anges.
Nyckelanvändning (ECDH)  Obligatoriskt  

Bitpositioner måste ställas in för:
    digitalSignature
Bitpositioner kan ställas in för:
    nonRepudiation/contentCommitment
    keyAgreement
    encipherOnly (om keyAgreement anges)
    decipherOnly (om keyAgreement anges)

Andra bitpositioner får inte anges.
Utökad nyckelanvändning Obligatoriskt Antingen eller

Måste finnas:
   emailProtection
Får inte finnas:
   serverAuth
   codeSigning
   timeStamping
   anyExtendedKeyUsage

Grundläggande begränsningar

 Valfritt Antingen eller

Om fältet cA finns får det inte anges som sant
Fältet pathLenConstraint får inte finnas
Certifikatpolicyer Obligatoriskt Nej

Måste finnas: En policyIdentifier som identifierar policyn under vilken certifikatet utfärdades måste tillhandahållas och får inte vara anyPolicy

Måste finnas: Om det finns cps måste detta innehålla en giltig HTTP- eller HTTPS-länk till det CPS under vilket certifikatet utfärdades.

Tillgång till information om utfärdaren

 Valfritt Nej

caIssuers och ocsp (om dessa finns) måste innehålla minst en offentligt tillgänglig HTTPuniformResourceIdentifier.

AccessDescription får inte innehålla etiketter eller parametrar som är specifika för ett enskilt certifikat.
Distributionsplatser för lista över återkallade certifikat (CRL) Obligatoriskt Nej

Minst en offentligt tillgänglig
HTTPuniformResourceIdentifier måste finnas

(kommentar)

    

Återkallningsservrar måste användas i enlighet med följande avsnitt av CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates version 1.3.2 eller senare:

  •    4.9.7. CRL Issuance Frequency
  •    4.9.9. On‐line Revocation/Status Checking Availability
  •    4.9.10. On‐line Revocation Checking Requirements
  •    4.10.2. Service Availability

Alternativt namn för ämne

 Obligatoriskt Nej

Måste innehålla minst ett objekt av typen rfc822Name.
Får inte innehålla objekt av följande typ:
   dNSName
   iPAddress
   uniformResourceIdentifier
Alla rfc822Name måste verifieras med offentligt dokumenterade och granskade åtgärder i syfte att säkerställa att enheten som skickar in begäran styr e-postkontot som är kopplat till e-postadresserna eller har auktoriserats av kontoägaren att agera för dennes räkning.

Andra tillägg

 Valfritt Nej Kan finnas.

Var det här till hjälp?

Hur kan vi förbättra den?

Behöver du mer hjälp?

Testa detta härnäst:

Gör ett inlägg i hjälpforumet Få svar från communityn
Kontakta oss Berätta mer så hjälper vi dig
true
Testa kostnadsfritt i 14 dagar

E-post för arbetet, onlinelagring, delade kalendrar, videomöten med mera. Påbörja din kostnadsfria provperiod på G Suite i dag.

Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
4113059242634517188
true
Sök i hjälpcentret
true
true
true
true
true
73010
false
false