개정일 : 2006 년 12 월 27 일 T T A S t a n d a r d 전자서명인증서프로파일 Digital Signature Certificate Profile
개정일 : 2006 년 12 월 27 일 전자서명인증서프로파일 Digital Signature Certificate Profile 본문서에대한저작권은 TTA 에있으며, TTA 와사전협의없이이문서의전체또는일부를 상업적목적으로복제또는배포해서는안됩니다. Copyrightc Telecommunications Technology Association 2006. All Rights Reserved.
서문 1. 표준의목적 전자서명법상에서구축된전자서명인증관리체계내에서의인증서생성및처리에대 한상호연동성및확장성을보장하고국제적인호환성을유지하기위하여전자서명용 인증서프로파일에대한표준을정의한다. 2. 주요내용요약 본표준은 RFC3280을준수하여전자서명인증체계에서사용되는인증서프로파일규격을정의하고있다. 첫번째로본문에서는인증서내기본필드와확장필드의사용목적및구조체등을정의하고있으며, 두번째로부록에서는최상위인증기관과공인인증기관및가입자소프트웨어가인증서를생성하고처리하는데필요한요구사항들을명시하고있다. 3. 표준적용산업분야및산업에미치는영향 본표준은국내전자서명인증관리체계에서사용되는인증서프로파일의정의를통해 전자서명인증서비스구현시발생할수있는혼란을최소화하고, 나아가인증관련기 술의발전과관련응용서비스활성화에기여할것이다. 4. 참조표준 ( 권고 ) 4.1. 국외표준 ( 권고 ) - IETF, RFC3280, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List(CRL) Profile, April 2002. - ITU-T Recommendation X.509(1997), Information technology - Open Systems Interconnection - The Directory : Authentication Framework - ISO/IEC 9594-8(1997), Information technology - Open Systems Interconnection - The Directory : Authentication Framework 4.2. 국내표준 - TTA, TTAS.KO-12.0013, 전자서명인증서효력정지및폐지목록프로파일표준, 2001.06. - TTA, TTAS.KO-12.0029, 식별번호를이용한본인확인기술, 2005.12. i
4.3. 기타 - KISA, KCAC.TS.DSCP, 전자서명인증서프로파일규격 v1.1, 2004.06. - KISA, KCAC.TS.CRL, 전자서명인증서효력정지및폐지목록프로파일기술규격 v1.1, 2004.06. - KISA, KCAC.TS.DSAS, 전자서명알고리즘규격 v1.0, 2004.09. - KISA, KCAC.DN, 전자서명인증관리체계 DN 규격 v1.1, 2003.06. 5. 참조표준 ( 권고 ) 과의비교 5.1. 참조표준 ( 권고 ) 과의관련성 본표준에서는 IETF RFC3280 을기반으로하여전자서명법상에서구축된전자서명 인증관리체계에서사용되는인증서프로파일을규정한다. 5.2. 참조한표준 ( 권고 ) 과본표준의비교표 IETF RFC3280 비고 최상위인증기관, 공인인증기관및사용자인증서프로파일을국내에적합토록정의 - 수정 6. 지적재산권관련사항 본표준의 지적재산권확약서 제출현황은 TTA 웹사이트에서확인할수있다. 본표준을이용하는자는이용함에있어지적재산권이포함되어있을수있으므로, 확인후이용한다. 본표준과관련하여접수된확약서이외에도지적재산권이존재할수있다. 7. 시험인증관련사항 7.1. 시험인증대상여부 - 해당사항없음 7.2. 시험표준제정현황 - 해당사항없음 ii
8. 표준의이력정보 8.1. 표준의이력 판수제정 개정일제정 개정내역 제 1 판 2000.12.20. 제 2 판 2006.12.27. 제정 TTAS.KO-12.0012 개정 8.2. 주요개정사항 - 해당사항없음 iii
Preface 1. Purpose of Standard To facilitate the interoperability of certificate generation and process in the Digital Signature Certification Management System constructed by Digital Signature Act, and to support the international compatability, this standard specifies certificate profile for digital signature. 2. Summary of Contents This standard defines the certificate profile abide by RFC3280. First, the basic and extension fields of certificate are defined in the body. Second, the requirements of root CA and accredited CAs for certificate creation and treatment are defined in appendix. 3. Applicable Fields of Industry and its Effect This standard contributes to minimize a confusion in implementation of certificate application services by defining of certificate profile used in the Domestic Digital Signature Certification Management System. Also, it'll bring the increment of PKI application scope. 4. Reference Standards(Recommendations) 4.1. International Standards(Recommendations) - IETF, RFC3280, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List(CRL) Profile, April 2002. - ITU-T Recommendation X.509(1997), Information technology - Open Systems Interconnection - The Directory : Authentication Framework - ISO/IEC 9594-8(1997), Information technology - Open Systems Interconnection - The Directory : Authentication Framework 4.2. Domestic Standards - TTA, TTAS.KO-12.0013, Digital Signature Certificate Revocation List Profile, June 2001. - TTA, TTAS.KO-12.0029, Subscriber Identification Based on VID, December 2005. iv
4.3. Other Standards - KISA, KCAC.TS.DSCP, Digital Signature Certificate Profile v1.1, Dec 2005. - KISA, KCAC.TS.CRL, Accredited Digital Signature Certificate Revocation List Profile v1.1, June 2004. - KISA, KCAC.TS.DSAS, Digital Signature Algorithm Specification v1.0, September 2004. - KISA, KCAC.DN, Distinguished Name Specification v1.1, June 2003. 5. Relationship to Reference Standards(Recommendations) 5.1. Relationship of Reference Standards(Recommendations) This standard is based on the RFC3280. 5.2. Differences between Reference Standard(Recommendation) and this Standard Certificate profile of RootCA and Accredited CA and userunder the Domestic Digital Signature Certification Management System is defined. IETF RFC3280 - Modified 6. Statement of Intellectual Property Rights IPRs related to the present document may have been declared to TTA. The information pertaining to these IPRs, if any, is available on the TTA Website. No guarantee can be given as to the existence of other IPRs not referenced on the TTA website. And, please make sure to check before applying the standard. 7. Statement of Testing and Certification 7.1. Object of Testing and Certification - None 7.2. Standards of Testing and Certification - None v
8. History of Standard 8.1. Change History Edition Issued date Outline The 1st edition 2000.12.20. The 2nd edition 2006.12.27. Established TTAS.KO-12.0012 Revised 8.2. Revisions - None vi
목차 1. 개요 1 2. 표준의구성및범위 1 3. 용어정의 1 4. 약어 1 5. 전자서명인증서기본필드 1 6. 전자서명인증서확장필드 3 부록 Ⅰ. 전자서명인증서프로파일요약 10 vii
Contents 1. Introduction 1 2. Scope of this standard 1 3. Definitions 1 4. Abbreviations 1 5. Basic field 1 6. Extension field 3 AppendixⅠ. Certificate profile summary table 10 viii
전자서명인증서프로파일 (Digital Signature Certificate Profile) 1. 개요 본표준에서는전자서명법상에서구축된전자서명인증체계에서공인인증기관이제공 하는유 무선 PKI 간인증서비스의상호연동을위해필수적으로요구되는전자서명공인인 증서 ( 이하인증서 ) 프로파일을규정한다. 2. 표준의구성및범위 본표준은 RFC3280을준수하여전자서명인증체계에서사용되는인증서프로파일규격을정의하고있다. 첫번째로본문에서는인증서내기본필드와확장필드의사용목적및구조체등을정의하고있으며, 두번째로부록에서는최상위인증기관과공인인증기관, 사용자소프트웨어가인증서를생성하고처리하기위한요구사항들을명시하고있다. 3. 용어정의 - 해당사항없음 4. 약어 DN ASN.1 CPS Distinguished Name, 식별명칭 Abstract Syntax Notation One, 추상적구문표기 Certificate Policy Statement, 인증업무준칙 5. 전자서명인증서기본필드 인증서기본필드는인증서의버전, 발급자, 유효기간등인증서의기본정보를나타낸 다. 아래정의된기본필드는공인인증서에모두포함되어야하며, 가입자소프트웨어는 이를처리해야한다. 1
5.1. 버전 (Version) 버전필드는공인인증서형식을구별할수있는기능을제공하는데본규격에서는정 수 2 값을갖는버전 3 인증서만허용한다. Version ::= INTEGER { v1(0), v2(1), v3(2) } 5.2. 일련번호 (Serial Number) 일련번호필드는공인인증기관이발급하는공인인증서에부여하는유일한양의정수이다. 이값은공인인증서효력정지및폐지목록에서더이상유효하지않는목록들에대한참조정보로사용된다. 모든인증서의일련번호는 20바이트를넘을수없으며, 가입자소프트웨어는최대 20 바이트길이의일련번호를처리할수있어야한다. 5.3. 서명알고리즘 (Signature) 서명알고리즘필드는공인인증기관이인증서를생성할때사용하는서명알고리즘의 OID 값을가진다. 사용하는서명알고리즘은 [TTA-120021] 과 [TTAS.KO- 12.0001/R1] 을준수해야한다. 5.4. 발급자 (Issuer) 발급자필드는공인인증서를발급한인증기관의명칭을 DN 형식으로표현하며반드시 값을가져야한다. 여기서 DN 형식은 [KCAC.TS.DN] 을준수해야한다. 5.5. 유효기간 (Validity) 유효기간필드는공인인증기관이공인인증서의상태를보증해주는기간을나타낸다. 이필드는다음과같이공인인증서유효기간의시작을나타내는시작시각 (notbefore) 과유효기간의종료시점을나타내는종료시각 (notafter) 에시작정보를저장하여유효기간을표현한다. Validity ::= SEQUENCE { notbefore Time, notafter Time } 시각정보 (Time) 는 GMT 로표현하며 2049 년까지 UTCTime 형식을사용하고 2050 년부 터는 GeneralizedTime 형식을사용해야한다. 2
5.6. 소유자 (Subject) 소유자필드는공인인증서소유자의명칭을 DN 형식으로표현하며반드시값을가져 야한다. 여기서 DN 형식은 [KCAC.TS.DN] 을준수해야한다. 5.7. 소유자공개키정보 (Subject Public Key Info) 소유자공개키정보필드는소유자의공개키에대한알고리즘및공개키정보를나타 낸다. SubjectPublicKeyInfo ::= SEQUENCE { algorithm AlgorithmIdentifier, subjectpublickey BIT STRING } algorithm 은알고리즘의고유정보를 OID 로나타내며사용되는알고리즘은 [TTA-120021] 과 [TTAS.KO-12.0001/R1] 을준수해야한다. 6. 전자서명인증서확장필드 6.1. 발급자공개키식별자 (Authority Key Identifier) 발급자공개키식별자확장필드는인증서를서명하는데사용된인증기관개인키에대 응되는공개키를식별하기위해사용된다. AuthorityKeyIdentifier ::= SEQUENCE { KeyIdentifier [0] KeyIdentifier OPTIONAL, authoritycertissuer [1] GeneralNames OPTIONAL, authoritycertserialnumber [2] CertificateSerialNumber OPTIONAL } 발급자공개키를식별하기위하여 KeyIdentifier와 authoritycertissuer, authoritycertserialnumber를모두사용해야한다. KeyIdentifier는발급자인증서의소유자공개키정보확장필드의 subjectpublickey 값을 SHA-1 알고리즘으로해쉬한 160비트값을 OCTET STRING 형태로저장한다. 발급자공개키식별자는공인인증기관과사용자인증서에포함되어야하고가입자소프트웨어는이확장필드를처리해야한다. 이확장필드는 non-critical로설정되어야한다. 3
6.2. 소유자공개키식별자 (Subject Key Identifier) 소유자공개키식별자확장필드는인증기관으로부터인증받은공개키를식별한다. SubjectKeyIdentifier ::= KeyIdentifier KeyIdentifier는인증서내소유자공개키정보확장필드의 subjectpublickey 값을 SHA-1 알고리즘으로해쉬하여 160비트값을 OCTET STRING 형태로저장한다. 소유자공개키식별자는인증서에포함되어야하고가입자소프트웨어는이확장필드는처리해야한다. 이확장필드는 non-critical로설정되어야한다. 6.3. 키사용목적 (Key Usage) 키사용목적확장필드는인증서에포함된소유자의공개키가사용되는목적을명시한 다. KeyUsage ::= BIT STRING { digitalsignature(0), nonrepudiation (1), keyencipherment (2), dataencipherment (3), keyagreement (4), keycertsign (5), crlsign (6), encipheronly (7), decipheronly (8) } 인증기관인증서는키사용목적확장필드의값으로 KeyCertSign과 crlsign을사용해야하며, 사용자인증서는 digitalsignature와 nonrepudiation을사용해야한다. 가입자소프트웨어는이확장필드를처리할수있어야하며이확장필드는 critical로설정되어야한다. 4
6.4. 인증서정책 (Certificate Policy) 인증서정책확장필드는인증서를발급하는데적용된인증기관의인증서정책을나타 낸다. certificatepolicies EXTENSION ::= { SYNTAX CertificatePoliciesSyntax IDENTIFIED BY id-ce-certficiatepolicies } certificatepoliciessyntax ::= SEQUENCE SIZE(1..MAX) OF PolicyInformtation PolicyInformation ::= SEQUENCE { policyidentifier CertPolicyId, policyqualifiers SEQUENCE SIZE(1..MAX) OF PolicyQualifierInfo OPTIONAL} CertPolicyID ::= OBJECT IDENTIFIER PolicyQualifierInfo ::= SEQUENCE { policyqualifierid CERT-POLICY-QUALIFIER.&id ({SupportedPolicyQualifiers}), qualifier CERT-POLICY-QUALIFIER.&Qualifier ({SupportedPolicyQualifiers}{@policyQualifierId}) OPTIONAL} policyidentifier 하위필드는인증서정책에대한 OID를값으로갖는다. policyqualfiers 하위필드는 [KCAC.TS.ACRS] 를준수하여 cpsuri와 usernotice를사용해야한다. 이확장필드는최상위인증기관인증서의경우에는 non-critical로설정하고, 공인인증기관및사용자인증서의경우 critical로설정할것을권고한다. 다만, 사용자인증서가전자우편보안용으로사용되는경우에는 non-critical로설정할것을권고한다. 가입자소프트웨어는이확장필드를처리할수있어야한다. 6.5. 인증서정책매핑 (Policy Mappings) 인증서정책매핑확장필드는인증서비스영역간의상호인증시상대방인증서비스영역의인증서정책을받아들이고자하는경우에사용된다. 인증서정책매핑확장필드는상호인증을위해최상위인증기관인증서에서선택적으로사용될수있으며, 가입자소프트웨어는이확장필드는처리할수있어야한다. 이확장필드는 non-critical로설정되어야한다. 5
6.6. 소유자대체명칭 (Subject Alternative Name) 소유자대체명칭확장필드는소유자의추가적인명칭을나타내며, identitydata 필드를사용하여인증서비스영역내에서사용되는고유한식별정보를나타낼수있다. 식별정보의생성및주입위치는 [KCAC.TS.SIVID] 를준수해야한다. 만일공인인증서를전자우편보안용으로사용하고자하는경우, rfc822name에사용자의이메일주소를포함하여야한다. SubjectAltName ::= GeneralNames GeneralNames := SEQUENCE SIZE(1..MAX) of GeneralName GeneralName ::= CHOICE{ othername [0] OtherName, rfc822name [1] IA5String, dnsname [2] IA5String, X400Address [3] ORAddress, directoryname [4] Name, edipartyname [5] EDIPartyName, uniformresourceidentifier [6] IA5String, ipaddress [7] OCTET STRING, registeredid [8] OBJECT IDENTIFIER } id-kisa-identifydata OBJECT IDENTIFIER ::= { id-attribute 1 } identitydata ::= SEQUENCE { realname UTF8String, userinfo SEQUENCE SIZE (1..MAX) OF AttributeTypeAndValue OPTIONAL } 공인인증기관및사용자인증서는소유자식별정보를사용하여본확장필드를사용해 야하며, 가입자소프트웨어는이확장필드를처리할수있어야한다. 이확장필드는 non-critical 로설정되어야한다. 6.7. 발급자대체명칭 (Issuer Alternative Name) 발급자대체명칭확장필드는인증기관의추가적인명칭을나타내며인증서비스영역내에서사용되는고유한식별정보를나타낼수있다. 인증기관의고유정보를나타내고자하는경우에는 6.2.7에서정의한형식을사용한다. 발급자대체명칭확장필드는공인인증기관과가입자인증서에서선택적으로포함될수있으며, 모든가입자소프트웨어는이확장필드를처리할수있어야한다. 이확장필드는 non-critical로설정되어야한다. 6
6.8. 기본제한 (Basic Constraints) 기본제한확장필드는사용자가인증기관의역할을수행하는것을방지하며이를위하 여인증기관의여부및인증경로의길이를제한한다. 이확장필드는인증기관용인증서 에만포함되며사용자인증서에는포함되지말아야한다. BasicConstraintsSyntax ::= SEQUENCE { ca BOOLEAN DEFAULT FALSE, pathlenconstraint INTEGER (0..MAX) OPTIONAL } 최상위인증기관과공인인증기관의인증서는 ca 하위필드의값으로 TRUE 를가진다. 공 인인증기관인증서는 pathlenconstraints 하위필드의값으로 0 을가진다. 이확장필드 는 critical 로설정되며모든가입자소프트웨어는이필드를처리해야한다. 6.9. 명칭제한 (Name Constraints) 명칭제한확장필드는소유자필드및소유자대체명칭확장필드에서사용되는명칭 의범위를제한한다. NameConstraintsSntax ::= SEQUENCE { permittedsubtrees[0] GeneralSubtrees OPTIONAL, excludedsubtrees[1] GeneralSubtrees OPTIONAL } GeneralSubtrees ::= SEQUENCE SIZE (1..MAX) OF GeneralSubtree GeneralSubtree ::= SEQUENCE { base GeneralName, manimum[0] BaseDistance DEFAULT 0, maximum[1] BaseDistance OPTIONAL } BaseDistance ::= INTEGER (0..MAX) 명칭제한은계층적인구조를가지는명칭에대해서만반영되며 6.2.7에서정의한소유자고유정보관련명칭등에는적용되지않는다. 이확장필드는사용자인증서에는포함되지말아야하며, 인증기관은선택적으로생성할수있다. 이확장필드는 critical로설정되며모든가입자소프트웨어는이필드를처리해야한다. 7
6.10. 정책제한 (Policy Constraints) 정책제한확장필드는인증서정책검사의요구및인증서정책매핑에대한금지등 에대한정보를나타낸다. policyconstraintssyntax ::= SEQUENCE{ requireexplicitpolicy [0] SkipCerts OPTIONAL, inhibitpolicymapping [1] SkipCerts OPTIONAL } SkipCerts ::= INTEGER (0..MAX) 이확장필드는공인인증기관인증서에만 critical로설정되어포함되며 requireexplictpolicy 하위필드값으로 0을사용하여사용자인증서의인증서정책을검증하여야한다. 모든가입자소프트웨어는이확장필드를처리해야한다. 6.11. 확장키사용목적 (Extended Key Usage) 확장키사용목적확장필드는키사용목적확장필드에서나타낼수있는것이외의공 개키사용목적을명시하며각각의사용목적에대한 OID 로나타낸다. extkeyusage EXTENSION ::= { SYNTAX SEQUENCE SIZE(1..MAX) OF KeyPurposeId IDENTIFIED BY id-ce-extkeyusage } KeyPurposedId ::= OBJECT IDENTIFIER id-kp-timestamping OBJECT IDENTIFIER ::= { id-kp 8} id-kp-ocspsigning OBJECT IDENTIFIER ::= { id-kp 9} 공인인증기관의 OCSP 서버용및시점확인용인증서인경우이확장필드를반드시사 용해야하며 critical 로설정되어야한다. 모든가입자소프트웨어는이확장필드를처리해야한다. 6.12. 인증서효력정지및폐지목록분배점 (CRL Distribution Points) 인증서효력정지및폐지목록분배점확장필드는인증서의상태정보를확인하는방법 으로인증서효력정지및폐지목록을사용하는경우에이를획득할수있는디렉토리서 버의위치정보를나타낸다. 8
crldistributionpoints EXTENSION ::= { SYNTAX CRLDistPointSyntax IDENTIFIED BYid-ce-cRLDistributionPoints } CRLDistPointSyntax ::= SEQUENCE SIZE (1..MAX) OF DistributionPoint DistribuiontPoint ::= SEQUENCE { distributionpoint [0] DistributionPointName OPTIONAL, reasons [1] ReasonFlags OPTIONAL, crlissuer [2] GeneralNames OPTIONAL } DistributionPointName ::= CHOICE { fullname [0] GeneralNames, namerelativetocrlissuer [1] RelativeDistinguishedName } 공인인증기관과사용자인증서는이확장필드의 distributionpoint 하위필드를반드시포함해야하며, 이경우 DistributionPointName.fullName은 ldap 주소의 uri 형태를사용해야한다. 해당인증서의 CRL이간접CRL인경우에는 crlissuer 하위필드를반드시포함해야한다. 이확장필드는사용해야하며 non-critical로설정되며, 모든가입자소프트웨어는이확장필드를처리해야한다. 6.13. 발급자정보접근 (Authority Information Access) 발급자정보접근확장필드는인증서를발급한인증기관에대한정보를획득하고자하 는경우에사용되며인증기관정보에접근하는방법및위치정보등을포함한다. AuthorityInfoAccessSyntax ::= SEQUENCE SIZE (1..MAX) OF AccessDescription AccessDescription ::= SEQUENCE { accessmethod OBJECT IDENTIFIER, accesslocation GeneralName } id-ad-caissuers OBJECT IDENTIFIER ::= { id-ad 2 } id-ad-ocsp OBJECT IDENTIFIER ::= { id-ad 1 } 이확장필드는사용자인증서에 non-critical로포함되며모든가입자소프트웨어는이확장필드를처리해야한다. id-ad-ocsp를사용하여 ocsp 서버에접근하기위한 URL을나타내야하며, id-ad-caissuers를사용하여최상위인증기관인증서획득정보를포함할수있다. 9
부록 Ⅰ 전자서명인증서프로파일요약 가. 최상위인증기관전자서명인증서프로파일 1) 기본필드 지원여부 # 필드명 ASN.1 type Note 생성처리 1 Version INTEGER 0x2( 버전 3) 비고 2 Serial Number INTEGER 자동할당 3 4 5 6 Issuer [KCAC.TS.DN] 준수 type OID C(Country) 는 printablestring, printablestring value 그이외의속성값은 utf8string 또는 utf8string Validity notbefore UTCTime 최상위인증기관 CPS에명시된유효기간준수 notafter UTCTime Subject [KCAC.TS.DN] 준수 type OID C(Country) 는 printablestring, printablestring value 그이외의속성값은 utf8string 또는 utf8string Subject Public Key Info algorithm OID 전자서명인증체계기술규격준수 알고리즘 subjectpublickey BIT STRING m m m m [1] [2] [1] 7 Extensions Extensions [1] C=KR,O=KISA,OU=Korea Certification Authority Central,CN=KISA RootCA 숫자 [2] CA 와 client 는 UTCTime 및 GeneralizedTime 모두를지원하는것을권고함 10
2) 확장필드 # 필드명 ASN.1 type Note C 지원여부비고생성처리 Authority Key Identifier 최상위인증기관인증서는경 1 KeyIdentifier OCTET STRING 로구축대상이아니므로본 - authoritycertissuer GeneralNames 확장필드를생성하지않음 authoritycertserialnumber INTEGER x x 2 Subject Key Identifier OCTET STRING subjectpublickey 정보의 160비트해쉬값 n 3 Key Usage BIT STRING KeyCertSing, crlsign c o m Certificate Policy o m policyidentifier OID 최상위인증기관인증서정책 o m policyqualifiers o m PolicyQualifierId OID CPS, UserNotice o m 4 Qualifier o m CPSuri IA5String 최상위인증기관홈페이지주소 n o m UserNotice o m 5 6 NoticeReference SEQUENCE - - ExplicitText BMPString 공인인증서표시규격준수 o m Policy Mappings issuerdomainpolicy OID subjectdomainpolicy OID Subject Alternative othername Names 7 Issuer Alternative Names othername 국가간상호인증고려 n o m id-kisa-identifydata 에한글실명 id-kisa-identifydata 에한글실명 n o m - x x Basic Constraints 8 ca TRUE c pathlenconstraint INTEGER 국가간상호인증고려 o m Policy Constraints o m 9 requireexplicitpolicy INTEGER c o m inhibitpolicymapping INTEGER - - Name Constraints 10 permittedsubtrees GeneralSubtrees c o m excludedsubtrees GeneralSubtrees 11 Extended Key Usage OID - x x CrlDistributionPoint o m 12 distributionpoint DistributionPointName ARL 획득정보 n o m reasons ReasongFlags o m crlissuer GeneralNames 간접ARL발급시사용 o m Authority Information Access 13 accessmethod OID i d - a d - c a I s s u e r s, - id-ad-ocsp x x accesslocation GeneralName 11
나. 공인인증기관전자서명인증서프로파일 1) 기본필드 # 필드명 ASN.1 type Note 지원여부 생성 처리 비고 1 Version INTEGER 0x2( 버전 3) 2 Serial Number INTEGER 자동할당 3 4 5 6 Issuer [KCAC.TS.DN] 준수 type OID C(Country) 는 printablestring, value printablestring 또는 utf8string 그이외의속성값은 utf8string Validity notbefore UTCTime 최상위인증기관 CPS에명시된유효기간준수 notafter UTCTime Subject [KCAC.TS.DN] 준수 type OID C(Country) 는 printablestring, value Subject Public Key Info printablestring 또는 utf8string 그이외의속성값은 utf8string algorithm OID m m m m m m subjectpublickey BIT STRING 7 Extensions Extensions 12
2) 확장필드 # 필드명 ASN.1 type Note C 지원여부비고생성처리 Authority Key Identifier 1 KeyIdentifier OCTET STRING 3가지값을모두사용 n authoritycertissuer GeneralNames authoritycertserialnumber INTEGER 2 Subject Key Identifier OCTET STRING subjectpublickey 정보의 160비트해쉬값 n 3 Key Usage BIT STRING KeyCertSing, crlsign c Certificate Policy policyidentifier OID 공인인증기관인증서정책 policyqualifiers o m PolicyQualifierId OID CPS, UserNotice o m 4 Qualifier o m CPSuri IA5String 공인인증기관 CPS 주소 c o m UserNotice o m NoticeReference SEQUENCE - - ExplicitText BMPString 공인인증서표시규격준수 o m Policy Mappings 5 issuerdomainpolicy OID - - - subjectdomainpolicy OID 6 Subject Alternative id-kisa-identifydata 에공인인 othername Names 증기관한글실명 n 7 Issuer Alternative Names othername id-kisa-identifydata 에최사위인증기관한글실명 n o m Basic Constraints 8 ca TRUE c pathlenconstraint INTEGER 0 Policy Constraints 9 requireexplicitpolicy INTEGER 0 c inhibitpolicymapping INTEGER - - Name Constraints 10 permittedsubtrees GeneralSubtrees c o m excludedsubtrees GeneralSubtrees 11 Extended Key Usage OID - x x CrlDistributionPoint 12 distributionpoint DistributionPointName ARL 획득정보 [1] n reasons ReasongFlags o m crlissuer GeneralNames 간접ARL발급시사용 o m Authority Information Access 13 accessmethod OID i d - a d - c a I s s u e r s, - id-ad-ocsp x x accesslocation GeneralName [1] uri값으로 ldap://hostname[:portnumber]/dn[?attribute] 형식사용 다. 공인인증기관시점확인및 OCSP 서버용인증서프로파일 13
1) 기본필드 : 공인인증기관전자서명용인증서프로파일과동일 2) 확장필드 # 필드명 ASN.1 type Note C 지원여부비고생성처리 Authority Key Identifier 1 KeyIdentifier OCTET STRING 3가지값을모두사용 n authoritycertissuer GeneralNames authoritycertserialnumber INTEGER 2 Subject Key Identifier OCTET STRING subjectpublickey 정보의 160비트해쉬값 n 3 Key Usage BIT STRING Digital Signature, non-repudiation c Certificate Policy policyidentifier OID 공인인증기관인증서정책 policyqualifiers PolicyQualifierId OID CPS, UserNotice 4 Qualifier CPSuri IA5String 공인인증기관 CPS 주소 c UserNotice NoticeReference SEQUENCE - - ExplicitText BMPString 공인인증서표시규격준수 5 Policy Mappings - - - 6 Subject Alternative id-kisa-identifydata 에가입자 othername n Names 한글실명 7 Issuer Alternative Names othername id-kisa-identifydata 에발급기관한글실명 n o m 8 Basic Constraints - x x 9 Policy Constraints - - - 10 Name Constraints - - - 11 Extended Key Usage OID c CRL Distribution Point 12 distributionpoint DistributionPointName CRL 획득정보 [1] n reasons ReasonFlags o m crlissuer GeneralNames 간접CRL발급시사용 o m Authority Information Access 13 accessmethod OID id-ad-caissuers n o m [2] accesslocation GeneralName 14 OCSP No Check OID id-pkix-ocsp-nocheck n o m [3] [1] uri값으로 ldap://hostname[:portnumber]/dn[?attribute] 형식사용 OCSP 서버용인증서를공인인증기관이발급하는경우에는반드시생성 [2] 시점확인용인증서의경우에는사용하지않음 OCSP 서버용 shortlived 인증서를발행할경우사용 [3] 시점확인용인증서의경우에는사용하지않음 14
라. 가입자전자서명인증서프로파일 1) 기본필드 : 공인인증기관전자서명용인증서프로파일과동일 2) 확장필드 # 필드명 ASN.1 type Note C 지원여부비고생성처리 Authority Key Identifier 1 KeyIdentifier OCTET STRING 발급자인증서의 KeyID n authoritycertissuer GeneralNames authoritycertserialnumber INTEGER 2 Subject Key Identifier OCTET STRING subjectpublickey 정보의 160비트해쉬값 n 3 Key Usage BIT STRING Digital Signature, non-repudiation c Certificate Policy policyidentifier OID 공인인증기관인증서정책 policyqualifiers PolicyQualifierId OID CPS, UserNotice 4 Qualifier b CPSuri IA5String 공인인증기관 CPS 주소 [1] UserNotice NoticeReference SEQUENCE - - ExplicitText BMPString 공인인증서표시규격준수 6 id-kisa-identifydata 에가입자 Subject Alternative othername 한글실명과 VID n Names rfc822name 가입자이메일주소 o m [2] 7 Issuer Alternative Names othername id-kisa-identifydata 에공인인증기관한글실명 n o m 8 Extended Key Usate OID - x x Basic Constraints 9 ca FALSE - x x pathlenconstraint INTEGER Policy Constraints 10 requireexplicitpolicy INTEGER - - - inhibitpolicymapping INTEGER 11 Name Constraints - - - CRL Distribution Point 12 distributionpoint DistributionPointName CRL 획득정보 [3] n reasons ReasonFlags - - crlissuer GeneralNames 간접CRL 발급시사용 o m Authority Information Access 13 accessmethod OID i d - a d - c a I s s u e r s, n id-ad-ocsp [4] accesslocation GeneralName [1] 전자우편보안에사용하고자하는경우 non-critical설정, 이외에 critical 설정권고 [2] 전자우편보안에사용하고자하는경우 rfc822name 생성권고 [3] uri값으로 ldap://hostname[:portnumber]/dn[?attribute] 형식사용 [4] 전자우편보안에사용하고자하는경우 id-ad-caissuers 생성권고 15
표준작성공헌자 표준번호 : 이표준의제정 개정및발간을위해아래와같이여러분들이공헌하였습니다. 구분성명위원회및직위 과제제안전인경 PG101 위원 표준초안제출전인경 PG101 위원 연락처 (E-mail 등 ) 02-405-5426 ikjeun@kisa.or.kr 02-405-5426 ikjeun@kisa.or.kr 소속사 KISA KISA 이석래 PG101 의장 02-405-5330 sllee@kisa.or.kr KISA 표준초안 진승헌 PG101 부의장 042-860-1254 jinsh@etri.re.kr ETRI 검토및작성 백종현 PG101 간사 02-405-5423 jhbaek@kisa.or.kr KISA 외 PG101 위원 정교일 공통기반기술위원회의장 042-860-1920 kyoil@etri.re.kr ETRI 원유재 공통기반기술위원회부의장 02-405-5360 yjwon@kisa.or.kr KISA 표준안심의 이필중 공통기반기술위원회부의장 054-279-2232 pjl@postech.ac.k 포항공대 김응배 공통기반기술위원회부의장 042-860-5296 ebkim@etri.re.kr ETRI 외 TC1 위원 사무국담당 김선 오흥룡 팀장 과장 031-724-0080 skim@tta.or.kr 031-724-0083 hroh@tta.or.kr TTA TTA 16
정보통신단체표준 ( 국문표준 ) 전자서명인증서프로파일 (Digital Signature Certificate Profile) 발행인 : 김홍구발행처 : 한국정보통신기술협회 463-824, 경기도성남시분당구서현동 267-2 Tel : 031-724-0114, Fax : 031-724-0109 발행일 : 2006.12.