I den här artikeln beskrivs alla krav som vart och ett av certifikaten i en X.509-kedja måste uppfylla innan det kan användas för e-post som krypteras eller signeras med S/MIME.
Utöver dessa krav måste kedjan vara förankrad i ett certifikat från en certifikatutfärdare (certificate authority eller CA) som uttryckligen har godkänts av Google för detta syfte. Du kan också välja att acceptera rotcertifikat från certifikatutfärdare som du litar på. Mer information finns i riktlinjer för rotcertifikat.
Obs!
- Google tillhandahåller och underhåller en lista över betrodda CA-certifikat som är betrodda av Gmail för S/MIME. Certifikatutfärdarna på listan är betrodda uteslutande enligt Googles eget gottfinnande. Google förbehåller sig rätten att när som helst ta bort rotcertifikatutfärdare utan förhandsmeddelande.
- Kontrollera att installerade tillägg inte strider mot andra tillägg i samma certifikat. Exempel: Om nsCertTypes har definierats måste de täcka exakt samma användningsområden som tillägget för nyckelanvändning, tillägget för utökad nyckelanvändning och tillägget för grundläggande begränsningar.
Regler för certifikatkedja
Rotcertifikatutfärdare
| Fält | Värde |
|---|---|
|
Unikt namn för utfärdaren |
Namnet måste identifiera certifikatutfärdaren. Namnet får alltså inte vara ett allmänt värde, t.ex. Certifikatutfärdare. |
|
Unikt namn för ämnet |
Den kodade formen måste vara identiskt byte för byte med utfärdarens unika namn. |
|
Information om offentlig nyckel för ämne |
rsaEncryption med en RSA-modul på 2048, 3072 eller 4096. Eller en ecPublicKey som använder secp256r1 eller secp384r1. |
Alla mellanliggande CA-certifikat som inte utfärdar slutenhetscertifikatet
Använd denna information om det finns fler än en mellanliggande certifikatutfärdare mellan rot- och slutenheten, antingen direkt eller indirekt.
Den utfärdande mellanliggande certifikatutfärdaren är den mellanliggande certifikatutfärdare som utfärdar slutenhetscertifikatet. Det här avsnittet gäller för alla mellanliggande certifikatutfärdare i kedjan förutom den utfärdande mellanliggande certifikatutfärdaren.
| Fält | Värde | ||
|---|---|---|---|
| Version | Version 3 | ||
| Serienummer | Numret måste vara högre än noll (0). Om det är DER-kodat som ett HELTAL måste det vara lägre än eller lika med 20 byte. | ||
| Signaturalgoritm | RSA med SHA‐256, SHA‐384 eller SHA‐512. Eller ECDSA med SHA‐256, SHA‐384 eller SHA‐512 | ||
| Unikt namn för utfärdaren |
Måste vara identiskt byte för byte med det unika ämnesnamnet för det utfärdande CA-certifikatet. |
||
| Giltighetsperiod | Inga bestämmelser | ||
| Unikt namn för ämnet | Inga bestämmelser | ||
| Information om offentlig nyckel för ämne |
rsaEncryption med en RSA-modul på 2048, 3072 eller 4096. Eller en ecPublicKey som använder secp256r1 eller secp384r1 |
||
| Tillägg | Närvaro | Kritiskt | Värde |
| Nyckelanvändning | Obligatoriskt | Ja |
Bitpositioner måste anges för: keyCertSign |
| Grundläggande begränsningar | Obligatoriskt | Ja | Fältet cA måste anges som sant Fältet pathLenConstraint field ska finnas |
| Distributionsplatser för lista över återkallade certifikat (CRL) | Obligatoriskt | Nej |
Minst en offentligt tillgänglig HTTP |
| (kommentar) | Återkallningsservrar måste följa kraven i följande avsnitt av CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates version 1.3.2 eller senare:
|
||
| Andra tillägg | Kan finnas | ||
Mellanliggande CA-certifikat som utfärdar slutenheten
Obs! Minst ett mellanliggande CA-certifikat måste finnas i kedjan. Detta innebär att certifikat för slutenheter inte får utfärdas direkt av roten.
| Fält | Värde | ||
|---|---|---|---|
| Version | Version 3 | ||
| Serienummer | Numret måste vara högre än noll (0) och om det är DER-kodat som ett HELTAL måste det vara lägre än eller lika med 20 byte. | ||
| Signaturalgoritm |
RSA med SHA‐256, SHA‐384 eller SHA‐512. Eller ECDSA med SHA‐256, SHA‐384 eller SHA‐512. |
||
| Unikt namn för utfärdaren |
Måste vara identiskt byte för byte med det unika ämnesnamnet för det utfärdande CA-certifikatet. |
||
| Giltighetsperiod |
Skillnaden mellan notBefore och notAfter Ska inte vara längre än 10 år och får inte vara längre än 20 år. |
||
| Unikt namn för ämnet |
Ska indikera hur certifikatutfärdaren används. |
||
| Information om offentlig nyckel för ämne |
rsaEncryption med en RSA-modul på 2048, 3072 eller 4096. Eller en ecPublicKey som använder secp256r1 eller secp384r1 |
||
| Tillägg | Närvaro | Kritiskt | Värde |
| Nyckelanvändning | Obligatoriskt | Ja |
Bitpositioner måste anges för: Andra bitpositioner får inte anges. |
| Utökad nyckelanvändning | Obligatoriskt | Antingen eller | Måste finnas: emailProtection Får inte finnas: serverAuth codeSigning timeStamping anyExtendedKeyUsage |
|
Grundläggande begränsningar |
Obligatoriskt | Ja |
Fältet cA måste anges som sant |
| Certifikatpolicyer | Valfritt | Nej |
En policyIdentifier som identifierar policyn under vilken certifikatutfärdaren verkar SKA tillhandahållas och SKA INTE vara anyPolicy. |
| Distributionsplatser för lista över återkallade certifikat (CRL) | Obligatoriskt | Nej |
Minst en offentligt tillgänglig HTTP |
| (kommentar) |
Återkallningsservrar måste användas i enlighet med följande avsnitt av CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates version 1.3.2 eller senare:
|
||
| Andra tillägg | Valfritt | Nej |
Kan finnas. |
Certifikat för slutenhet
| Fält | Värde | ||
|---|---|---|---|
| Version | Version 3 | ||
| Serienummer |
Numret måste vara högre än noll (0) och måste innehålla minst 64 oförutsägbara bitar. Obs! Detta uppdateras för att reflektera kraven för slutenhetens serienummerentropi från CA/Browser Forum Baseline Requirements Certificate Policy. |
||
| Signaturalgoritm | RSA med SHA‐256, SHA‐384 eller SHA‐512. Eller ECDSA med SHA‐256, SHA‐384 eller SHA‐512. | ||
| Unikt namn för utfärdaren |
Måste vara identiskt byte för byte med det unika ämnesnamnet för det utfärdande CA-certifikatet. |
||
| Giltighetsperiod |
Skillnaden mellan notBefore och notAfter får inte vara längre än 27 månader. Tiden notBefore måste representera tiden för signeringen plus/minus 48 timmar. |
||
| Unikt namn för ämnet |
Alla relativa unika namn (som inte är e-postadresser) för ämnen måste valideras noggrant i en offentligt dokumenterad och granskad procedur innan certifikatet utfärdas. Mer information om godkända procedurer finns i avsnitt 3.2.3 Authentication of Individual Identity i CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates version 1.3.2 eller senare. Alla e-postadresser (t.ex. i fält av typen commonName eller emailAddress) måste även finnas som rfc822Name i tillägget Alternativt ämnesnamn. |
||
| Information om offentlig nyckel för ämne |
rsaEncryption med en RSA-modul på 2048, 3072 eller 4096. Eller ecPublicKey som använder secp256r1 eller secp384r1 |
||
| Tillägg | Närvaro | Kritiskt | Värde |
| Nyckelanvändning (RSA) | Obligatoriskt | Ja |
Bitpositioner måste anges för antingen: Andra bitpositioner får inte anges. |
| Nyckelanvändning (ECDH) | Obligatoriskt |
Bitpositioner måste ställas in för: Andra bitpositioner får inte anges. |
|
| Utökad nyckelanvändning | Obligatoriskt | Antingen eller |
Måste finnas: |
|
Grundläggande begränsningar |
Valfritt | Antingen eller |
Om fältet cA finns får det inte anges som sant |
| Certifikatpolicyer | Obligatoriskt | Nej |
Måste finnas: En policyIdentifier som identifierar policyn under vilken certifikatet utfärdades måste tillhandahållas och får inte vara anyPolicy. Måste finnas: Om det finns cps måste detta innehålla en giltig HTTP- eller HTTPS-länk till det CPS under vilket certifikatet utfärdades. |
|
Tillgång till information om utfärdaren |
Valfritt | Nej |
caIssuers och ocsp (om dessa finns) måste innehålla minst en offentligt tillgänglig HTTPuniformResourceIdentifier. AccessDescription får inte innehålla etiketter eller parametrar som är specifika för ett enskilt certifikat. |
| Distributionsplatser för lista över återkallade certifikat (CRL) | Obligatoriskt | Nej |
Minst en offentligt tillgänglig |
|
(kommentar) |
Återkallningsservrar måste användas i enlighet med följande avsnitt av CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates version 1.3.2 eller senare:
|
||
|
Alternativt namn för ämne |
Obligatoriskt | Nej |
Måste innehålla minst ett objekt av typen rfc822Name. |
|
Andra tillägg |
Valfritt | Nej | Kan finnas. |