Bu makalede, şifreli veya S/MIME imzalı e-postalarda kullanıma yönelik güvenilir bir sertifika olarak kabul edilebilmesi için X.509 zincirindeki her bir sertifikanın yerine getirmesi gereken şartlar açıklanmaktadır.
Bu şartlara ek olarak zincirin, Google tarafından bu amaç doğrultusunda açık olarak güvenilir kabul edilen bir Sertifika Yetkilisi'ne (CA) bağlanması gereklidir. Güvendiğiniz CA'lara ait kök sertifikaları da kabul edebilirsiniz. Daha fazla bilgi edinmek için kök sertifika yönergeleri sayfasına göz atın.
Notlar:
- Google, Gmail'in S/MIME için güvenilir kabul ettiği CA sertifikalarının listesini sağlar ve bu listeyi güncel tutar. Listelenen CA'lara güvenip güvenmeme kararı yalnızca Google'ın takdirine bağlıdır. Google herhangi bir zamanda, bildirimde bulunmaksızın kök CA'ları kaldırma hakkını saklı tutar.
- Yüklenen uzantıların aynı sertifikadaki farklı uzantılarla çelişmediğinden emin olun. Örneğin, nsCertTypes tanımlanmışsa, bunların anahtar kullanımı uzantısı, uzatılmış anahtar kullanımı uzantısı ve temel kısıtlamalar uzantısıyla tam olarak aynı kullanımları kapsaması gerekir.
Sertifika zinciri kuralları
Kök CA
Alan | Değer |
---|---|
Sertifikayı veren DN |
CA'yı tanımlaması zorunludur. Örneğin, DN'nin değeri "Sertifika Yetkilisi" gibi genel bir değer olamaz. |
Konu DN |
Kodlanmış biçimin her bir baytının, Sertifikayı veren DN'nin her bir baytıyla birebir aynı olması zorunludur. |
Konunun Ortak Anahtar Bilgileri |
RSA modülü 2048, 3072 veya 4096 olan rsaEncryption. secp256r1 veya secp384r1 kullanan ecPublicKey. |
Sertifikayı veren ara CA dışındaki ara CA sertifikaları
Bu bilgiyi, kök ve son varlık arasında, doğrudan veya dolaylı olarak birden fazla Ara CA varsa kullanın.
Sertifikayı veren ara CA, son varlık sertifikasını veren ara CA'dır. Bu bölüm, sertifikayı veren ara CA'nın dışında zincirdeki tüm ara CA'lar için geçerlidir.
Alan | Değer | ||
---|---|---|---|
Sürüm | Sürüm 3 | ||
Seri Numarası | Sıfırdan (0) büyük olması zorunludur. Bir TAM SAYI olarak DER kodlamasına sahipse, 20 bayt veya bunun altında olması gerekir. | ||
İmza Algoritması | SHA‐256, SHA‐384 veya SHA‐512'ye sahip RSA. Alternatif olarak, SHA‐256, SHA‐384 veya SHA‐512'ye sahip ECDSA. | ||
Sertifikayı veren DN |
Her bir baytının, Sertifikayı veren DN'nin Konu DN'sinin her bir baytıyla birebir aynı olması zorunludur. |
||
Geçerlilik Süresi | Bir koşul belirlenmemiştir | ||
Konu DN | Bir koşul belirlenmemiştir | ||
Konunun Ortak Anahtar Bilgileri |
RSA modülü 2048, 3072 veya 4096 olan rsaEncryption. Alternatif olarak, secp256r1 veya secp384r1 kullanan ecPublicKey |
||
Uzantı | Mevcudiyet | Kritik | Değer |
Anahtar Kullanımı | Zorunlu | Evet |
keyCertSign için bit konumlarının ayarlanması zorunludur |
Temel Kısıtlamalar | Zorunlu | Evet | cA alanı true olarak ayarlanmalıdır pathLenConstraint alanı mevcut olmalıdır |
CRL Dağıtım Noktaları | Zorunlu | Hayır |
En az bir tane herkes tarafından erişilebilen HTTP |
(not) | İptal sunucuları, Genel Kullanım Amaçlı Güvenilir Sertifikaların Verilmesi ve Yönetimi ile ilişkili CA/Tarayıcı Forumu Temel Gereksinimler Sertifika Politikası'nın 1.3.2 veya daha sonraki bir sürümünde yer alan aşağıdaki bölümlere uygun olmalıdır:
|
||
Diğer uzantılar | Mevcut olabilir |
Son varlık için sertifika veren ara CA sertifikası
Önemli: Zincirde en az bir ara CA sertifikası bulunmalıdır. Bir başka deyişle, kök CA doğrudan son varlık sertifikaları vermemelidir.
Alan | Değer | ||
---|---|---|---|
Sürüm | Sürüm 3 | ||
Seri Numarası | Sıfırdan (0) büyük olması ve bir TAM SAYI olarak DER kodlamasına sahipse, 20 bayt veya bunun altında olması zorunludur. | ||
İmza Algoritması |
SHA‐256, SHA‐384 veya SHA‐512'ye sahip RSA. Alternatif olarak, SHA‐256, SHA‐384 veya SHA‐512'ye sahip ECDSA. |
||
Sertifikayı veren DN |
Her bir baytının, Sertifikayı veren DN'nin Konu DN'sinin her bir baytıyla birebir aynı olması zorunludur. |
||
Geçerlilik Süresi |
notBefore ve notAfter arasındaki fark 10 yıldan uzun olmaması tercih edilir ve 20 yıldan uzun olmamalıdır. |
||
Konu DN |
CA'nın kullanım amacını belirtmesi gerekir. |
||
Konunun Ortak Anahtar Bilgileri |
RSA modülü 2048, 3072 veya 4096 olan rsaEncryption. Alternatif olarak, secp256r1 veya secp384r1 kullanan ecPublicKey |
||
Uzantı | Mevcudiyet | Kritik | Değer |
Anahtar Kullanımı | Zorunlu | Evet |
Aşağıdaki öğe için bit konumlarının ayarlanması zorunludur: Diğer bit konumları ayarlanmamalıdır |
Uzatılmış Anahtar Kullanımı | Zorunlu | İki durumdan biri | Aşağıdaki öğe mevcut olmalıdır: emailProtection Aşağıdaki öğeler mevcut olmamalıdır: serverAuth codeSigning timeStamping anyExtendedKeyUsage |
Temel Kısıtlamalar |
Zorunlu | Evet |
cA alanı true olarak ayarlanmalıdır |
Sertifika Politikaları | İsteğe bağlı | Hayır |
CA'nın bağlı olduğu politikayı tanımlayan bir policyIdentifier'ın tanımlanması ve bunun değerinin anyPolicy olmaması GEREKİR. |
CRL Dağıtım Noktaları | Zorunlu | Hayır |
En az bir tane herkes tarafından erişilebilen HTTP |
(not) |
İptal sunucuları, Genel Kullanım Amaçlı Güvenilir Sertifikaların Verilmesi ve Yönetimi ile ilişkili CA/Tarayıcı Forumu Temel Gereksinimler Sertifika Politikası'nın 1.3.2 veya daha sonraki bir sürümünde yer alan aşağıdaki bölümlere uygun olarak işletilmelidir:
|
||
Diğer uzantılar | İsteğe bağlı | Hayır |
Mevcut olabilir. |
Son varlık sertifikası
Alan | Değer | ||
---|---|---|---|
Sürüm | Sürüm 3 | ||
Seri Numarası |
Sıfırdan (0) büyük olması ve tahmin edilemeyen en az 64 bit içermesi zorunludur. Not: CA/Tarayıcı Forumu Temel Gereksinimler Sertifika Politikası son varlık seri numarası entropi gereksinimlerini yansıtacak şekilde güncellenecektir. |
||
İmza Algoritması | SHA‐256, SHA‐384 veya SHA‐512'ye sahip RSA. Alternatif olarak, SHA‐256, SHA‐384 veya SHA‐512'ye sahip ECDSA. | ||
Sertifikayı veren DN |
Her bir baytının, Sertifikayı veren DN'nin Konu DN'sinin her bir baytıyla birebir aynı olması zorunludur. |
||
Geçerlilik Süresi |
notBefore ve notAfter arasındaki fark 27 aydan uzun olmamalıdır. notBefore zamanının, imza saatinden 48 saat öncesine veya sonrasına kadar olan bir zaman dilimini temsil ediyor olması zorunludur. |
||
Konu DN |
E-posta adresi haricinde tüm Konuyla Bağlantılı Ayırt Edici Adların, sertifikanın verilmesinden önce, kamuya açık şekilde belgelenmiş ve denetlenmiş bir prosedür kullanılarak titiz şekilde doğrulanmış olması zorunludur. Genel Kullanım Amaçlı Güvenilir Sertifikaların Verilmesi ve Yönetimi ile ilişkili CA/Tarayıcı Forumu Temel Gereksinimler Sertifika Politikası'nın 1.3.2 veya daha sonraki bir sürümünde, 3.2.3 numaralı bölümde kabul edilen prosedürle ilgili bilgilere ulaşabilirsiniz. Tüm e-posta adreslerinin (ör. commonName veya emailAddress alanlarındakiler), bir rfc822Name olarak Konu Alternatif Adı uzantısında da mevcut olması zorunludur. |
||
Konunun Ortak Anahtar Bilgileri |
RSA modülü 2048, 3072 veya 4096 olan rsaEncryption. Alternatif olarak, secp256r1 veya secp384r1 kullanan ecPublicKey |
||
Uzantı | Mevcudiyet | Kritik | Değer |
Anahtar Kullanımı (RSA) | Zorunlu | Evet |
Bit konumlarının aşağıdakilerden biri için ayarlanması zorunludur: Diğer bit konumları ayarlanmamalıdır. |
Anahtar Kullanımı (ECDH) | Zorunlu |
Aşağıdaki öğe için bit konumlarının ayarlanması zorunludur: Diğer bit konumları ayarlanmamalıdır. |
|
Uzatılmış Anahtar Kullanımı | Zorunlu | İki durumdan biri |
Aşağıdaki öğe mevcut olmalıdır: |
Temel Kısıtlamalar |
İsteğe bağlı | İki durumdan biri |
Mevcut olduğunda, cA alanı true olarak ayarlanmamalıdır |
Sertifika Politikaları | Zorunlu | Hayır |
Mevcut olmalıdır: Sertifikanın verildiği politikayı tanımlayan bir policyIdentifier sağlanmalı ve bu, anyPolicy olmamalıdır. Mevcut olabilir: cps (mevcutsa), sertifikanın verildiği CPS'ye yönelik geçerli bir HTTP veya HTTPS bağlantısı içermelidir. |
Yetkili Bilgi Erişimi |
İsteğe bağlı | Hayır |
caIssuers ve varsa ocsp'nin genel olarak erişilebilen en az bir tane HTTP uniformResourceIdentifier içermesi zorunludur. AccessDescription, belirli bir sertifikaya özgü etiket veya parametreler içermemelidir. |
CRL Dağıtım Noktaları | Zorunlu | Hayır |
En az bir tane herkes tarafından erişilebilen |
(not) |
İptal sunucuları, Genel Kullanım Amaçlı Güvenilir Sertifikaların Verilmesi ve Yönetimi ile ilişkili CA/Tarayıcı Forumu Temel Gereksinimler Sertifika Politikası'nın 1.3.2 veya daha sonraki bir sürümünde yer alan aşağıdaki bölümlere uygun olarak işletilmelidir:
|
||
Konu Diğer Adı |
Zorunlu | Hayır |
rfc822Name türünde en az bir öğe içermesi zorunludur. |
Diğer uzantılar |
İsteğe bağlı | Hayır | Mevcut olabilir. |