Bildirim

Duet AI'ın adı Google Workspace için Gemini olarak değişti. Daha fazla bilgi

S/MIME sertifika profilleri

Bu makalede, şifreli veya S/MIME imzalı e-postalarda kullanıma yönelik güvenilir bir sertifika olarak kabul edilebilmesi için X.509 zincirindeki her bir sertifikanın yerine getirmesi gereken şartlar açıklanmaktadır.

Bu şartlara ek olarak zincirin, Google tarafından bu amaç doğrultusunda açık olarak güvenilir kabul edilen bir Sertifika Yetkilisi'ne (CA) bağlanması gereklidir. Güvendiğiniz CA'lara ait kök sertifikaları da kabul edebilirsiniz. Daha fazla bilgi edinmek için kök sertifika yönergeleri sayfasına göz atın.

Notlar:

  • Google, Gmail'in S/MIME için güvenilir kabul ettiği CA sertifikalarının listesini sağlar ve bu listeyi güncel tutar. Listelenen CA'lara güvenip güvenmeme kararı yalnızca Google'ın takdirine bağlıdır. Google herhangi bir zamanda, bildirimde bulunmaksızın kök CA'ları kaldırma hakkını saklı tutar.
  • Yüklenen uzantıların aynı sertifikadaki farklı uzantılarla çelişmediğinden emin olun. Örneğin, nsCertTypes tanımlanmışsa, bunların anahtar kullanımı uzantısı, uzatılmış anahtar kullanımı uzantısı ve temel kısıtlamalar uzantısıyla tam olarak aynı kullanımları kapsaması gerekir.

Sertifika zinciri kuralları

Kök CA

Alan Değer

Sertifikayı veren DN

CA'yı tanımlaması zorunludur.

Örneğin, DN'nin değeri "Sertifika Yetkilisi" gibi genel bir değer olamaz.

Konu DN

Kodlanmış biçimin her bir baytının, Sertifikayı veren DN'nin her bir baytıyla birebir aynı olması zorunludur.

Konunun Ortak Anahtar Bilgileri

RSA modülü 2048, 3072 veya 4096 olan rsaEncryption. secp256r1 veya secp384r1 kullanan ecPublicKey.

Sertifikayı veren ara CA dışındaki ara CA sertifikaları

Bu bilgiyi, kök ve son varlık arasında, doğrudan veya dolaylı olarak birden fazla Ara CA varsa kullanın.

Sertifikayı veren ara CA, son varlık sertifikasını veren ara CA'dır. Bu bölüm, sertifikayı veren ara CA'nın dışında zincirdeki tüm ara CA'lar için geçerlidir.

Alan Değer
Sürüm Sürüm 3
Seri Numarası     Sıfırdan (0) büyük olması zorunludur. Bir TAM SAYI olarak DER kodlamasına sahipse, 20 bayt veya bunun altında olması gerekir.
İmza Algoritması     SHA‐256, SHA‐384 veya SHA‐512'ye sahip RSA. Alternatif olarak, SHA‐256, SHA‐384 veya SHA‐512'ye sahip ECDSA.
Sertifikayı veren DN    

Her bir baytının, Sertifikayı veren DN'nin Konu DN'sinin her bir baytıyla birebir aynı olması zorunludur.
Geçerlilik Süresi     Bir koşul belirlenmemiştir
Konu DN     Bir koşul belirlenmemiştir
Konunun Ortak Anahtar Bilgileri    

RSA modülü 2048, 3072 veya 4096 olan rsaEncryption.  Alternatif olarak, secp256r1 veya secp384r1 kullanan ecPublicKey
Uzantı Mevcudiyet Kritik Değer
Anahtar Kullanımı Zorunlu Evet

keyCertSign için bit konumlarının ayarlanması zorunludur
Başka bit konumları da ayarlanabilir
Temel Kısıtlamalar Zorunlu Evet cA alanı true olarak ayarlanmalıdır
pathLenConstraint alanı mevcut olmalıdır
CRL Dağıtım Noktaları Zorunlu Hayır

En az bir tane herkes tarafından erişilebilen HTTP
uniformResourceIdentifier mevcut olmalıdır
(not) İptal sunucuları, Genel Kullanım Amaçlı Güvenilir Sertifikaların Verilmesi ve Yönetimi ile ilişkili CA/Tarayıcı Forumu Temel Gereksinimler Sertifika Politikası'nın 1.3.2 veya daha sonraki bir sürümünde yer alan aşağıdaki bölümlere uygun olmalıdır:
  • 4.9.7. CRL Sertifika Verme Sıklığı
  • 4.9.9. İnternet Üzerinden Sertifika İptali/Durum Kontrolü Kullanılabilirliği

  • 4.9.10. İnternet Üzerinden Sertifika İptali Kontrol Gereksinimleri
    4.10.2 Hizmet Kullanılabilirliği
Diğer uzantılar Mevcut olabilir

Son varlık için sertifika veren ara CA sertifikası 

Önemli: Zincirde en az bir ara CA sertifikası bulunmalıdır. Bir başka deyişle, kök CA doğrudan son varlık sertifikaları vermemelidir.

Alan Değer
Sürüm Sürüm 3
Seri Numarası Sıfırdan (0) büyük olması ve bir TAM SAYI olarak DER kodlamasına sahipse, 20 bayt veya bunun altında olması zorunludur.
İmza Algoritması

SHA‐256, SHA‐384 veya SHA‐512'ye sahip RSA. Alternatif olarak, SHA‐256, SHA‐384 veya SHA‐512'ye sahip ECDSA.
Sertifikayı veren DN    

Her bir baytının, Sertifikayı veren DN'nin Konu DN'sinin her bir baytıyla birebir aynı olması zorunludur.
Geçerlilik Süresi    

notBefore ve notAfter arasındaki fark

10 yıldan uzun olmaması tercih edilir ve 20 yıldan uzun olmamalıdır.
Konu DN    

CA'nın kullanım amacını belirtmesi gerekir.
Konunun Ortak Anahtar Bilgileri    

RSA modülü 2048, 3072 veya 4096 olan rsaEncryption.  Alternatif olarak, secp256r1 veya secp384r1 kullanan ecPublicKey
Uzantı Mevcudiyet Kritik Değer
Anahtar Kullanımı Zorunlu Evet

Aşağıdaki öğe için bit konumlarının ayarlanması zorunludur:
    keyCertSign
Aşağıdaki öğeler için bit konumu ayarlanabilir:
    cRLSign
    digitalSignature
Doğrudan OCSP yanıtlarının imzalanması için kullanılıyorsa aşağıdaki öğenin mevcut olması zorunludur:
    digitalSignature

Diğer bit konumları ayarlanmamalıdır
Uzatılmış Anahtar Kullanımı Zorunlu İki durumdan biri Aşağıdaki öğe mevcut olmalıdır:
    emailProtection
Aşağıdaki öğeler mevcut olmamalıdır:
    serverAuth
    codeSigning
    timeStamping
​    anyExtendedKeyUsage

Temel Kısıtlamalar

 Zorunlu Evet

cA alanı true olarak ayarlanmalıdır
pathLenConstraint alanı mevcut OLMALIDIR ve değeri 0 OLMALIDIR
Sertifika Politikaları İsteğe bağlı Hayır

CA'nın bağlı olduğu politikayı tanımlayan bir policyIdentifier'ın tanımlanması ve bunun değerinin anyPolicy olmaması GEREKİR.
cps'nin (mevcutsa), geçerli bir HTTP veya HTTPS bağlantısı içermesi zorunludur.
CRL Dağıtım Noktaları Zorunlu Hayır

En az bir tane herkes tarafından erişilebilen HTTP
uniformResourceIdentifier mevcut olmalıdır.
(not)    

İptal sunucuları, Genel Kullanım Amaçlı Güvenilir Sertifikaların Verilmesi ve Yönetimi ile ilişkili CA/Tarayıcı Forumu Temel Gereksinimler Sertifika Politikası'nın 1.3.2 veya daha sonraki bir sürümünde yer alan aşağıdaki bölümlere uygun olarak işletilmelidir:

  •   4.9.7. CRL Sertifika Verme Sıklığı
  •   4.9.9. İnternet Üzerinden Sertifika İptali/Durum Kontrolü Kullanılabilirliği
  •   4.9.10. İnternet Üzerinden Sertifika İptali Kontrol Gereksinimleri
  •   4.10.2. Hizmet Kullanılabilirliği
Diğer uzantılar İsteğe bağlı Hayır 

Mevcut olabilir.

Son varlık sertifikası

Alan Değer
Sürüm Sürüm 3
Seri Numarası

Sıfırdan (0) büyük olması ve tahmin edilemeyen en az 64 bit içermesi zorunludur.

Not: CA/Tarayıcı Forumu Temel Gereksinimler Sertifika Politikası son varlık seri numarası entropi gereksinimlerini yansıtacak şekilde güncellenecektir.
İmza Algoritması SHA‐256, SHA‐384 veya SHA‐512'ye sahip RSA. Alternatif olarak, SHA‐256, SHA‐384 veya SHA‐512'ye sahip ECDSA.
Sertifikayı veren DN

Her bir baytının, Sertifikayı veren DN'nin Konu DN'sinin her bir baytıyla birebir aynı olması zorunludur.
Geçerlilik Süresi

notBefore ve notAfter arasındaki fark 27 aydan uzun olmamalıdır.

notBefore zamanının, imza saatinden 48 saat öncesine veya sonrasına kadar olan bir zaman dilimini temsil ediyor olması zorunludur.
Konu DN    

E-posta adresi haricinde tüm Konuyla Bağlantılı Ayırt Edici Adların, sertifikanın verilmesinden önce, kamuya açık şekilde belgelenmiş ve denetlenmiş bir prosedür kullanılarak titiz şekilde doğrulanmış olması zorunludur.  Genel Kullanım Amaçlı Güvenilir Sertifikaların Verilmesi ve Yönetimi ile ilişkili CA/Tarayıcı Forumu Temel Gereksinimler Sertifika Politikası'nın 1.3.2 veya daha sonraki bir sürümünde, 3.2.3 numaralı bölümde kabul edilen prosedürle ilgili bilgilere ulaşabilirsiniz.

Tüm e-posta adreslerinin (ör. commonName veya emailAddress alanlarındakiler), bir rfc822Name olarak Konu Alternatif Adı uzantısında da mevcut olması zorunludur.
Konunun Ortak Anahtar Bilgileri    

RSA modülü 2048, 3072 veya 4096 olan rsaEncryption. Alternatif olarak, secp256r1 veya secp384r1 kullanan ecPublicKey
Uzantı Mevcudiyet Kritik Değer
Anahtar Kullanımı (RSA) Zorunlu Evet

Bit konumlarının aşağıdakilerden biri için ayarlanması zorunludur:
    digitalSignature
 ve/veya
    nonRepudiation/contentCommitment
Bit konumları aşağıdakiler için ayarlanabilir:
    dataEncipherment
    keyEncipherment

Diğer bit konumları ayarlanmamalıdır.
Anahtar Kullanımı (ECDH)  Zorunlu  

Aşağıdaki öğe için bit konumlarının ayarlanması zorunludur:
    digitalSignature
Aşağıdaki öğeler için bit konumu ayarlanabilir:
    nonRepudiation/contentCommitment
    keyAgreement
    encipherOnly (keyAgreement ayarlandıysa)
    decipherOnly (keyAgreement ayarlandıysa)

Diğer bit konumları ayarlanmamalıdır.
Uzatılmış Anahtar Kullanımı Zorunlu İki durumdan biri

Aşağıdaki öğe mevcut olmalıdır:
   emailProtection
Aşağıdaki öğeler mevcut olmamalıdır:
   serverAuth
   codeSigning
   timeStamping
   anyExtendedKeyUsage

Temel Kısıtlamalar

 İsteğe bağlı İki durumdan biri

Mevcut olduğunda, cA alanı true olarak ayarlanmamalıdır
pathLenConstraint alanı mevcut olmamalıdır
Sertifika Politikaları Zorunlu Hayır

Mevcut olmalıdır: Sertifikanın verildiği politikayı tanımlayan bir policyIdentifier sağlanmalı ve bu, anyPolicy olmamalıdır. 

Mevcut olabilir: cps (mevcutsa), sertifikanın verildiği CPS'ye yönelik geçerli bir HTTP veya HTTPS bağlantısı içermelidir.

Yetkili Bilgi Erişimi

 İsteğe bağlı Hayır

caIssuers ve varsa ocsp'nin genel olarak erişilebilen en az bir tane HTTP uniformResourceIdentifier içermesi zorunludur.

AccessDescription, belirli bir sertifikaya özgü etiket veya parametreler içermemelidir.
CRL Dağıtım Noktaları Zorunlu Hayır

En az bir tane herkes tarafından erişilebilen
HTTPuniformResourceIdentifier mevcut olmalıdır.

(not)

    

İptal sunucuları, Genel Kullanım Amaçlı Güvenilir Sertifikaların Verilmesi ve Yönetimi ile ilişkili CA/Tarayıcı Forumu Temel Gereksinimler Sertifika Politikası'nın 1.3.2 veya daha sonraki bir sürümünde yer alan aşağıdaki bölümlere uygun olarak işletilmelidir:

  •    4.9.7. CRL Sertifika Verme Sıklığı
  •    4.9.9. İnternet Üzerinden Sertifika İptali/Durum Kontrolü Kullanılabilirliği
  •    4.9.10. İnternet Üzerinden Sertifika İptali Kontrol Gereksinimleri
  •    4.10.2. Hizmet Kullanılabilirliği

Konu Diğer Adı

 Zorunlu Hayır

rfc822Name türünde en az bir öğe içermesi zorunludur.
Aşağıdaki türlerde herhangi bir öğe içermemelidir:
   dNSName
   iPAddress
   uniformResourceIdentifier
İsteği gönderen varlığın, e-posta adresiyle ilişkili e-posta hesabını kontrol ettiğinden veya bu varlığa e-posta hesabının sahibi tarafından kendisi adına işlem yapma yetkisinin verildiğinden emin olunması için her bir rfc822Name'in kamuya açık şekilde belgelenmiş ve denetlenen süreçlerle doğrulanması gereklidir.

Diğer uzantılar

 İsteğe bağlı Hayır Mevcut olabilir.

Bu size yardımcı oldu mu?

Bunu nasıl iyileştirebiliriz?

Daha fazla yardıma mı ihtiyacınız var?

Bir sonraki adımları deneyin:

Yardım topluluğunda yayınlayın Topluluk üyelerinden sorularınıza cevap alın
Bize ulaşın Bize daha fazla bilgi verin, size yardımcı olalım
true
14 günlük ücretsiz deneme sürümünüzü hemen kullanmaya başlayın

Profesyonel e-posta, çevrimiçi depolama, paylaşılan takvimler, video toplantılar ve daha fazlası. G Suite ücretsiz deneme sürümünüzü hemen kullanmaya başlayın.

Arama
Aramayı temizle
Aramayı kapat
Ana menü
6386750613194348627
true
Yardım Merkezinde Arayın
true
true
true
true
true
73010
false
false