DIRECCIÓN DE SISTEMAS DE INFORMACIÓN DEPARTAMENTO CERES

Transcripción

1 DIRECCIÓN DE SISTEMAS DE INFORMACIÓN DEPARTAMENTO CERES DEFINICIÓN DE PERFILES CAS DE USUARIOS NOMBRE FECHA Elaborado por: 26/11/2012 Revisado por: Aprobado por: HISTÓRICO DEL DOCUMENTO Versión Fecha Descripción Autor /11/2012 Creación del documento /12/2012 Modificación de OIDs, CRLs, OCSP y tipos de datos (PrintableString para el campo SerialNumber del Subject) 1.2 7/3/2013 Cambio textos en el Subject y OIDs en el Subject Alternative Name /05/2014 Modifico el CN de persona física añadiéndole el NIF. Ahora será: APE1 APE2 NOMBRE - NIF

2 1.4 02/10/2014 Modificación subject CA Subordinada, eliminación de algoritmo sha1 y actualización de punto de distribución de CRL (eliminar publicación http) /08/2016 Modificaciónes para la ETSI Cambios semánticos en el serial number y nuevos atributos en el apartado Qualified Certificate Statements Referencia: Documento clasificado como: Público Página 2 de 9

3 Índice 1. Introducción Perfil CA Subordinada Persona Física Perfil Persona física... 6 Página 3 de 9

4 1. Introducción En el presente documento se describen los perfiles de los certificados de la AC subordinada Usuarios y de los certificados de usuario final (personas físicas). 2. Perfil CA Subordinada Persona Física 1. Version 2. Serial Number 3. Signature Algorithm Campo Contenido Oblig Crit Especificaciones 2 Integer:=2 ([RFC5280] describe la versión del certificado. El valor 2 equivale a decir que el certificados es versión 3 (X509v3) Número identificativo único del certificado. Integer. SerialNumber = ej: Establecido automáticamente por la Entidad de Certificación. [RFC5280]. Será un integer positivo, no mayor 20 octetos ( ). El número de serie se asignará de forma aleatoria. Sha256withRsaEncryption OID: Issuer Distinguish Name Entidad emisora del certificado (CA Raíz) 5. Validity 6. Subject 4.1. Country C=ES Se codificará de acuerdo a ISO alpha-2 code elements. PrintableString, tamaño Organization Denominación (nombre oficial de la organización) del prestador de servicios de certificación (emisor del certificado). o=fnmt-rcm 4.3. Organizational Unit Denominación de la Unidad Organizativa ou = AC RAIZ FNMT-RCM 15 años UTF8 String, tamaño máximo 128 UTF8 String, tamaño máximo Authority Key Identifier 8. Subject Public Key Info 9. Subject Key Identifier 6.1. Country C=ES Se codificará de acuerdo a ISO alpha-2 code elements. PrintableString, tamaño Organization Denominación (nombre oficial de la organización) del prestador de servicios de certificación (emisor del certificado). o=fnmt-rcm 6.3. Organizational Unit Denominación de la Unidad Organizativa ou= Ceres UTF8 String, tamaño máximo 128 UTF8 String, tamaño máximo Common Name cn= AC FNMT Usuarios UTF8 String, tamaño máximo 128 Identificador de la clave pública de la entidad raíz. Medio para identificar la clave pública correspondiente a la clave privada utilizada por la CA para firmar el certificado de esta CA Subordinada Clave pública de la AC Subordinada FNMT Usuarios, codificada según el estándar PKCS#1 de RSA. Identificador de la clave pública de la CA Subordinada. Medio para identificar certificados que contienen una clave pública particular y facilita la construcción de rutas de certificación. RFC 5280: hash SHA-1 de 20 bytes calculado sobre el valor BIT STRING del campo subjectpublickey del emisor del certificado (excluyendo etiqueta, longitud y número de bits no usados). Coincide con el campo Subject Key Identifier de la AC raíz. Campo para transportar la clave pública y para identificar el algoritmo con el cual se utiliza la clave. La longitud de la clave será 2048 RFC 5280: hash SHA-1 de 20 bytes calculado sobre el valor BIT STRING del campo subjectpublickey del sujeto (excluyendo etiqueta, longitud y número de bits no usados). Página 4 de 9

5 10. Key Usage Uso permitido de las claves certificadas. Normalizado en norma X Certificate Policies Digital Signature Content Commitment Key Encipherment Data Encipherment Key Agreement Key Certificate Signature CRL Signature 0 Permite realizar la operación de firma electrónica. 0 Se refiere a la cualidad de un tipo de certificado que indica al software en el que se usa que debe permitir que el usuario conozca lo que firma. 0 Se utiliza para gestión y transporte de claves para establecimiento de sesiones seguras 0 Se utiliza para cifrar datos que no sean claves criptográficas. 0 Para uso en el proceso de acuerdo de claves 1 Se permite usa para firmar certificados. Este uso se utiliza en los certificados de autoridades de certificación. 1 Se permite para firmar listas de revocación de certificados. Este uso se utiliza en los certificados de autoridades de certificación. Política de certificación Policy Identifier (anypolicy) Atendiendo a la rfc5280: PolicyInformation SHOULD only contain an OID. In a CA certificate,these policy information terms limit the set of policies for certification paths which include this certificate. When a CA does not wish to limit the set of policies for certification paths which include this certificate, it MAY assert the special policy anypolicy, with a value of { } Policy Qualifier Id CPS Pointer IA5String String. URL de las condiciones de uso. 12. CRL Distribution Point User Notice Sujeto a las condiciones de uso expuestas en la Declaración de Prácticas de Certificación de la FNMT-RCM ( C/ Jorge Juan, Madrid-España) UTF8 String. Longitud máxima 200 caracteres Distribution Point 1 Punto de distribución 1 de la CRL (ARL) ldap://ldapfnmt.cert.fnmt.es/cn =CRL,OU=AC%20RAIZ%20FNMT- RCM,O=FNMT- RCM,C=ES?authorityRevocationL ist;binary?base?objectclass=crl DistributionPoint Ruta donde reside la CRL (punto de distribución 1). 13. Basic Constraints Distribution Point 2 Punto de distribución 2 de la CRL (ARL) LFNMTRCM.crl Ruta del servicio LDAP donde reside la CRL (punto de distribución 2). 14. Authority Info ca pathlenconstraint Valor TRUE (CA) De la rfc 5280: The ca boolean indicates whether the certified public key may be used to verify certificate signatures. 0 Un pathlenconstraint de cero indica que ningún no pueden existir más certificados de CA intermedios en la ruta de No certificación. Página 5 de 9

6 Access Access Method 1 Identificador de método de acceso a la información de revocación: (ocsp) Acces Location 1 es/ocspfnmtrcmca/ocsprespond er Access Method 2 Identificador de método de acceso a la información de certificados adicionales necesarios para la validación: (ca cert) Acces Location 2 CRAIZFNMTRCM.crt OCSP ( ) URL del servicio de OCSP Certificado de la CA emisora: De la rfc 5280: the idad-caissuers OID is used when the additional information lists certificates that were issued to the CA that issued the certificate containing this extension. The referenced CA issuers description is intended to aid certificate users in the selection of a certification path that terminates at a point trusted by the certificate user. Ruta para descarga de certificados adicionales para la validación de la cadena de certificación. En este caso la ruta del certificado de la CA raíz de la FNMTRCM. 3. Perfil Persona física 1. Version 2. Serial Number 3. Signature Algorithm Campo Contenido Oblig Crit Especificaciones 2 Integer:=2 ([RFC5280] describe la versión del certificado. El valor 2 equivale a decir que el certificados es versión 3 (X509v3) Número identificativo único del certificado. Integer. SerialNumber = ej: Establecido automáticamente por la Entidad de Certificación. [RFC5280]. Será un integer positivo, no mayor 20 octetos ( ). El número de serie se asignará de forma aleatoria. sha256withrsaencryption Object Identifier OID: Issuer Distinguish Name Entidad emisora del certificado (CA Subordinada) 5. Validity 4.1. Country C=ES Se codificará de acuerdo a ISO alpha-2 code elements. PrintableString, tamaño Organization Denominación (nombre oficial de la organización) del prestador de servicios de certificación (emisor del certificado). o=fnmt-rcm 4.3. Organizational Unit Denominación de la Unidad Organizativa ou= Ceres UTF8 String, tamaño máximo 128 UTF8 String, tamaño máximo Common Name cn= AC FNMT Usuarios UTF8 String, tamaño máximo años 6. Subject 6.1. Country 6.2. SerialNumber Identificación/descripción del titular de las claves certificadas C=ES Se codificará de acuerdo a ISO alpha-2 code elements. PrintableString, tamaño 2 NIF del titular Se codificará de acuerdo a ETSI EN PrintableString. Ejemplo: serialnumber= IDCES T Página 6 de 9

7 6.3. Given Name Nombre de pila, de acuerdo con documento de identidad UTF8String. Por ejemplo: givenname=juan 6.4. Surname Apellidos de acuerdo con documento de identificación UTF8String. Por ejemplo: sn=español Español 6.5. Common Name Apellidos, Nombre y NIF del titular UTF8String. Por ejemplo: cn= Español Español Juan T 7. Authority Key Identifier 8. Subject Public Key Info 9. Subject Key Identifier 10. Key Usage Identificador de la clave pública del PSC. Medio para identificar la clave pública correspondiente a la clave privada utilizada por la CA para firmar un certificado. Clave pública del titular, codificada de acuerdo con el algoritmo criptográfico. En este caso RSA Encryption. Identificador de la clave pública del titular. Medio para identificar certificados que contienen una clave pública particular y facilita la construcción de rutas de certificación. Uso permitido de las claves certificadas. RFC 5280: hash SHA-1 de 20 bytes calculado sobre el valor BIT STRING del campo subjectpublickey del emisor del certificado (excluyendo etiqueta, longitud y número de bits no usados). Coincide con el campo Subject Key Identifier de la AC emisora. Campo para transportar la clave pública y para identificar el algoritmo con el cual se utiliza la clave. La longitud de la clave será 2048 bits. RFC 5280: hash SHA-1 de 20 bytes calculado sobre el valor BIT STRING del campo subjectpublickey del sujeto (excluyendo etiqueta, longitud y número de bits no usados). Normalizado en norma X Digital Signature Content Commitment Key Encipherment Data Encipherment Key Agreement Key Certificate Signature CRL Signature 1 Ver X509 y RFC Ver X509 y RFC Ver X509 y RFC Ver X509 y RFC Ver X509 y RFC Ver X509 y RFC Ver X509 y RFC Extended Key Usage Uso mejorado o extendido de las claves Ver X509 y RFC Protection Client Authentication Opcional Ver X509 y RFC Ver X509 y RFC Qualified Certificate Statements Extensiones cualificadas. No ETSI EN y ETSI EN definen la inclusión de ciertas declaraciones para certificados cualificados QcCompliance QcType QcPDS QcEuRetentionPeriod Certificado es cualificado. Indica que el certificado es cualificado. Qct-esign Indica que el certificado es cualificado y se ha emitido para crear firmas electrónicas. { s/pdsacusuarios_es.pdf, es},{ /pds/ PDSACUsuarios _en.pdf, en} Indica un enlace a la PKI Disclosure Statement, así como el idioma del documento. 15 años Número de años a partir de la caducidad del certificado que se dispone de los datos de registro y otra información relevante. Página 7 de 9

8 13. Certificate Policies Política de certificación Policy Identifier Identificador de la política Policy Qualifier Id CPS Pointer / IA5String String. URL de las condiciones de uso Policy Identifier User Notice Certificado cualificado. Sujeto a las condiciones de uso expuestas en la DPC de la FNMT-RCM (C/Jorge Juan Madrid-España) UTF8 String. Longitud máxima 200 caracteres QCP-n: certificate policy for EU qualified certificates issued to natural persons. 14. Subject Alternative Names Identificación/descripción del titular No rfc822 Name Directory Name Correo electrónico del titular Opcional 15. CRL Distribution Point Nombre Apellido Apellido NIF Nombre de pila del titular del certificado Id Campo/Valor: =<Nombre de pila Primer apellido del titular del certificado Id Campo/Valor: =<Apellido 1 Segundo apellido del titular del certificado Id Campo/Valor: =<Apellido 2 Identificador de identidad del titular del certificado. (NIF). Id Campo/Valor: =<NIF Opcional No UTF8 String. Por ejemplo: =JUAN UTF8 String. Por ejemplo: =ESPAÑOL UTF8 String. Por ejemplo: =ESPAÑOL UTF8 String, tamaño 9. Por ejemplo: = R 16. Authority Info Access Distribution Point 1 Punto de distribución 1 de la CRL ldap://ldapusu.cert.fnmt.es/c N=CRL<xxx*>, CN=AC%20FNMT%20Usuarios, OU=CERES, O=FNMT-RCM, C=ES?certificateRevocationLis t;binary?base?objectclass=crl DistributionPoint No Ruta donde reside la CRL (punto de distribución 1). <xxx*> es un identificador que identificará la CRL particionada concreta donde se halla el certificado Access Method 1 Identificador de método de acceso a la información de revocación: (ocsp) Acces Location 1 cspusu/ocspresponder Access Method 2 Identificador de método de acceso a la información de certificados adicionales necesarios para la validación: (ca cert) Acces Location 2 s/acusu.crt OCSP ( ) URL del servicio de OCSP Certificado de la CA emisora: De la rfc 5280: the idad- caissuers OID is used when the additional information lists certificates that were issued to the CA that issued the certificate containing this extension. The referenced CA issuers description is intended to aid certificate users in the selection of a certification path that terminates at a point trusted by the certificate user. Ruta para descarga de certificados adicionales para la validación de la Página 8 de 9

9 17. Basic Constraints ca Esta extensión sirve para identificar si el sujeto de certificación es una CA así como el máximo nivel de profundidad permitido para las cadenas de certificación. cadena de certificación. En este caso la ruta del certificado de la CA subordinada de persona física De la rf5280: This extension MAY appear as a critical or non-critical extension in end entity certificates. Valor FALSE (entidad final) De la rfc 5280: The ca boolean indicates whether the certified public key may be used to verify certificate signatures. Página 9 de 9