2009年04月19日

RFC 5280 の 4.2.1.14. Inhibit anyPolicy

「全ポリシー禁止」って訳されてます。
この拡張は認証局に対して発行される証明証に使われます。
id-ce-inhibitAnyPolicy OBJECT IDENTIFIER ::=  { id-ce 54 }

InhibitAnyPolicy ::= SkipCerts

SkipCerts ::= INTEGER (0..MAX)
4.2.1.4. Certificate Policies で anyPolicy ってありました。
OID は 2.5.29.32.0 で、全てのポリシーにマッチする、という意味でした。
ポリシーを制限しないときに使いました。
anyPolicy って何でもありってのは sub CA に何されるか制御できないので、
「全ポリシー禁止」は anyPolicy が他のポリシーにマッチすることを禁止します。
但し証明証が自己署名な中間証明証である場合を除きます。

具体的には整数が指定されます。
その証明証以降何枚目から anyPolicy が使えなくなるか指定します。
例えば 1 であれば、
「全ポリシー禁止」が記載されている証明証のサブジェクトが発行した
証明証に記載されている anyPolicy は有効としても良いけれども、
それ以降の証明証に記載される anyPolicy は無効となります。

「全ポリシー禁止」はクリティカルにしましょう。
posted by OJH at 23:58| Comment(0) | TrackBack(0) | 注疏 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。