Page tree
Skip to end of metadata
Go to start of metadata

Profile X.509 są obiektami konfiguracji definiującymi strukturę tworzonych przez system obiektów danych takich jak certyfikaty i listy CRL/ARL.
System QR-CERT umożliwia utworzenie profili X.509:

  • Certyfikat subskrybenta
  • Certyfikat SubCA
  • Certyfikat RootCA
  • Certyfikat wzajemny
  • Lista CRL
  • Lista Delta CRL

Wskazówka

Na końcu rozdziału zostały umieszczone Przykładowe profile certyfikatów.

Opis uruchomienia okna umożliwiającego wybór profilu X.509 został opisany we wcześniejszym rozdziale Profile (X.509, CVC).

Profil X.509 certyfikatu

Uwaga

Opis zawarty w niniejszym rozdziale dotyczy wszystkich typów certyfikatów zgodnych z X.509, czyli:

  • Certyfikat Subskrybenta
  • Certyfikat RootCA
  • Certyfikat SubCA
  • Certyfikat wzajemny

Po wybraniu opcji tworzenia nowego profilu X.509 ponawia się okno tworzenia nowego profilu, z którego należy wybrać profil certyfikatu do utworzenia.

Rysunek: Okno tworzenia nowego profilu certyfikatu

 

Parametry obowiązkowe do wypełnienia:

Typ – typ profilu X.509 (Certyfikat subskrybenta, Certyfikat RootCA, Certyfikat SubCA, Certyfikat wzajemny)

Nazwa – dowolna nazwa jednoznacznie identyfikująca profil certyfikatu w systemie QR-CERT

Opis profilu – bardziej szczegółowe informacje o profilu.

Wskazówka

Poprzez kliknięcie na ikonie można uzyskać informację czy profil X.509 o wybieranej nazwie istnieje w systemie QR-CERT. Pozwala to upewnić się, że dany profil jest możliwy do utworzenia.

Pola podstawowe:

Numer wersji certyfikatu – nr wersji standardu, wg którego utworzony zostanie profil certyfikatu (większość dostępnych implementacji zakłada stosowanie wersji 3)

Funkcja skrótu – funkcja skrótu która będzie używana przy podpisywaniu certyfikatu (md5, sha1, sha224, sha256, sha384, sha512)

Uwaga

Starsze systemy operacyjne, np: Windows XP, Windows Server 2003 błędnie interpretują funkcje skrótu z rodziny sha-2. W takiej sytuacji niezbędne jest zastosowanie poprawki opisanej na stronach Microsoft Support.

Typ algorytmu podpisu – algorytm który będzie używany do przy tworzeniu podpisu (RSA, DSA, ECDSA)

Parametry klucza podpisu – rozmiar bitowy klucza podpisu (1024,1280, 1536, 2048, 3072, 4096, 8192). Opcja dostępna tylko dla typów algorytmu podpisu: RSA i DSA.

Typ krzywej eliptycznej – typ krzywej eliptycznej która będzie użyta przy tworzeniu podpisu (secp192r1, secp192r2, secp192r3, secp224r1, secp239r1, secp239r2, secp239r3, secp256r1, secp384r1, secp521r1, brainpoolP160r1, brainpoolP160t1, brainpoolP192r1, brainpoolP192t1, brainpoolP224r1, brainpoolP224t1, brainpoolP256r1, brainpoolP256t1, brainpoolP320r1, brainpoolP320t1, brainpoolP384r1, brainpoolP384t1, brainpoolP512r1, brainpoolP512t1). Opcja dostępna tylko dla typu algorytmu podpisu: ECDSA.

Profil zawiera rozszerzenia certyfikatu – pozwala na dodanie rozszerzeń do certyfikatu (np. cRLDistributionPoints, SubjectKayIdentifier).

Dane wiążące tożsamość podmiotu z kluczem znajdują się tylko w „Subject Alternative Name" – pozwala na wiązanie tożsamości podmiotu tylko z rozszerzeniem Subject Alternative Name (okno „Pola podstawowe" w zakładce „Pola opisujące tożsamość" jest niedostępne)

 

Zakładka Pola opisujące tożsamość umożliwia zdefiniowanie danych identyfikujących właściciela certyfikatu, wymaganych podczas wydawania certyfikatu zgodnie z tym profilem.

Dodaj - wciśnięcie przycisku powoduje wywołanie okna z możliwością dodania atrybutu.

Usuń - wciśnięcie przycisku powoduje usunięcie zaznaczonego atrybutu.

Przesuń w górę - wciśnięcie przycisku powoduje przesunięcie w górę zaznaczonego atrybutu.

Przesuń w dół - wciśnięcie przycisku powoduje przesunięcie w dół zaznaczonego atrybutu.

Ważne

Kolejność atrybutów opisujących tożsamość (Pola podstawowe) może mieć znaczenie. W zależności od aplikacji/systemu w jakim będą wykorzystywane certyfikaty należy odpowiednio uporządkować atrybuty pola Subject. Należy również pamiętać, że w systemach operacyjnych z rodziny Windows kolejność atrybutów opisujących tożsamość (Pola podstawowe) w  polu Subject jest zawsze wyświetlana odwrotnie w stosunku do kolejności ustawionej z wykorzystaniem aplikacji QR-CERT Operator. Informujemy, że jest to wynik specyficznego sposobu działania systemowej przeglądarki certyfikatów, a nie błąd w oprogramowaniu QR-CERT Operator.

Rysunek: Okno pól opisujących tożsamość z przykładowo wypełnionymi danymi

 

Opis konfiguracji pól podstawowych przedstawiono w rozdziale Pola opisujące tożsamość (Podstawowe).

Opis konfiguracji pól rozszerzonych przedstawiono w rozdziale Pola opisujące tożsamość (pola rozszerzenia Subject Alternative Name).

Zakładka Rozszerzenia certyfikatu umożliwia wprowadzenie informacji dotyczących rozszerzeń certyfikatu, aby dostosować go do określonych zastosowań.

Rysunek: Okno rozszerzeń certyfikatu

 

Dodane wpisy pól można usuwać, zamieniać ich kolejność i modyfikować po dwukrotnym kliknięciu wpisu.

Uwaga

Zawartość pola w kolumnie Krytyczny zmienia wartość na przeciwną (Tak na Nie i odwrotnie) po dwukrotnym kliknięciu na wartości wpisu w polu.

Opis konfiguracji rozszerzeń certyfikatu przedstawiono w rozdziale konfigurację rozszerzeń certyfikatów.

Pola opisujące tożsamość (podstawowe)

Pola podstawowe certyfikatu opisujące tożsamość umożliwiają skomponowanie pola Subject certyfikatu wg standardu X.509. 

Aby dodać element do pola Subject należy kliknąć przycisk Dodaj w grupie pól podstawowych

Rysunek 66 Okno dodawania elementu RelativeDistinguishedName

 

Etykieta - stanowi opisową nazwę ułatwiającą późniejsze wypełnianie zawartości przy tworzeniu certyfikatów na podstawie danego profilu.

Typ elementu RDN - to typ obiektu Relative Distinguished Name  (RDN), które można użyć w polu Subject certyfikatu.

W systemie QR-CERT zaimplementowano następujące typy elementów RDN:

Rysunek: Okno dostępnych typów elementu RDN

 

Najczęściej używane elementy RelativeDistinguishedNames (RDN):

  • commonName – używany do zapisania imienia i nazwiska
  • organizationName – używany do zapisu nazwy organizacji
  • organizationalUnitName – używany do zapisu nazwy działu/departamentu
  • countryName – używany do zapisu dwu znakowego kodu kraju
  • emailAddress – używany do zapisania adresu poczty elektronicznej właściciela certyfikatu

Pełny opis wszystkich dostępnych elementów RelativeDistinguishedNames dostępny jest pod adresem: https://tools.ietf.org/html/rfc5280.

Przykładowe zestawienie elementów RDN przedstawia rysunek: Okno pól opisujących tożsamość z przykładowo wypełnionymi danymi.

Wartość domyślna - to wartość elementu która zostanie użyta jako „podpowiedź" przy tworzeniu elementu pola „Subject" certyfikatu tworzonego na podstawie danego profilu.

Typ danych - może przyjmować wartości:

  • utf8 – kodowanie znaków w formacie UTF8
  • printable – kodowanie znaków w alfabecie łacińskim (bez znaków narodowych, stosowany do kodowania conutryName)
  • ia5 – kodowanie adresów internetowych (URL, email, itp.)

Uwaga

 W systemie QR-CERT zaimplementowano możliwość dowolnego połączenia typu pola z typem RDN (chociaż w opisach standardu pola RDN mają przydzielone typy), jest to spowodowane tym że na rynku dostępne są certyfikaty niezgodne ze standardem X.509 i czasami zachodzi konieczność wygenerowania certyfikatu o takim profilu.

Pozostałe opcje:

Pole wymagalne - zaznaczenie opcji oznacza, że dane pole musi posiadać wartość aby można było utworzyć certyfikat na podstawie danego profilu.

Pole edytowalne - zaznaczenie opcji oznacza, że wartość pola można zmodyfikować przy tworzeniu certyfikatu na podstawie danego profilu.

Pole ukryte - zaznaczenie opcji oznacza pole, które będzie zawarte w polu Subject certyfikatu ale nie będzie widoczne przy jego tworzeniu na podstawie danego profilu.

Informacja

Dodane wpisy pól można usuwać, zamieniać ich kolejność i modyfikować po dwukrotnym kliknięciu wpisu na polach od Etykieta do Wartość domyślna. Zawartość pól Wymagalne, Edytowalne, Ukryte zmienia wartość na przeciwną (Tak na Nie i odwrotnie) po dwukrotnym kliknięciu na wartości wpisu pola. Kolejność elementów można zmieniać po przez zaznaczenie pojedynczego wiersza (pojedyncze kliknięcie myszą) i użycie przycisków Przesuń w górę lub Przesuń w dół.

Pola opisujące tożsamość (rozszerzenie Subject Alternative Name)

Rozszerzone pola certyfikatu opisujące tożsamość umożliwiają konfigurację pola Subject Alternative Name certyfikatu.

Aby dodać element do pola Subject Alternative Name należy kliknąć przycisk Dodaj w grupie pól rozszerzenia Subject Alternative Name.

Przykładowe użycie atrybutu rfc822Name w polu Subject Alternative Name przedstawia rysunek: Okno pól rozszerzonych opisujących tożsamość.

W systemie QR-CERT zaimplementowano następujące typy elementów GeneralName do komponowania pola Subject Alternative Name certyfikatu:

Informacja

Zawarty poniżej ogólny opis rozszerzonych pól certyfikatu X.509 został szczegółowo opisy w RFC 5280. Konfigurowanie poszczególnych opcji aplikacji oraz ich działanie jest zgodne ze wskazanym RFC.

Pozostałe opcje:

Pole wymagalne - zaznaczenie opcji oznacza, że dane pole musi posiadać wartość aby można było utworzyć certyfikat na podstawie danego profilu.

Pole edytowalne - zaznaczenie opcji oznacza, że wartość pola można zmodyfikować przy tworzeniu certyfikatu na podstawie danego profilu.

Pole ukryte - zaznaczenie opcji oznacza pole, które będzie zawarte w polu Subject certyfikatu ale nie będzie widoczne przy jego tworzeniu na podstawie danego profilu.

Informacja

Dodane wpisy pól można usuwać, zamieniać ich kolejność i modyfikować po dwukrotnym kliknięciu wpisu na polach od Etykieta do Wartość domyślna. Zawartość pól Wymagalne, Edytowalne, Ukryte zmienia wartość na przeciwną (Tak na Nie i odwrotnie) po dwukrotnym kliknięciu na wartości wpisu pola. Kolejność elementów można zmieniać po przez zaznaczenie pojedynczego wiersza (pojedyncze kliknięcie myszą) i użycie przycisków Przesuń w górę lub Przesuń w dół.

otherName

principalName

Etykieta - stanowi opisową nazwę ułatwiającą późniejsze wypełnianie zawartości przy tworzeniu certyfikatów

principalName - nazwa użytkownika systemu Windows w ActiveDirectory w formacie adresu pocztowego (tzw. UPN).

Rysunek: Element proncipalName z typu otherName

ntdsReplicationGUID

Etykieta - stanowi opisową nazwę ułatwiającą późniejsze wypełnianie zawartości przy tworzeniu certyfikatów

ntdsReplicationGUID - unikalny identyfikator GUID instalacji Microsoft Active Directory.

Rysunek: Element ntdsReplicationGUID z typu otherName

permanentIdentifiler

Etykieta - stanowi opisową nazwę ułatwiającą późniejsze wypełnianie zawartości przy tworzeniu certyfikatów

permanetIdentifier - identyfikator jednoznacznie identyfikujący tożsamość właściciela certyfikatu (wszystkie certyfikaty zawierające tą samą wartość tego identyfikatora należą do tej samej osoby).

assigner - identyfikator OID urzędu nadającego identyfikatory tożsamości właściciela certyfikatu, o ile jest inny niż wydawca certyfikatu.

Rysunek: Element permanentIdentifiler z typu otherName

DER

Rozszerzenie DER pozwala na zdefiniowanie „własnego” rozszerzenia, a właściwe umożliwia wprowadzenie dowolnego nie zaimplementowanego rozszerzenia poprzez podanie jego kodowania DER.

Etykieta - stanowi opisową nazwę ułatwiającą późniejsze wypełnianie zawartości przy tworzeniu certyfikatów

Nazwa - jest używana do zidentyfikowania rozszerzenia podczas tworzenia obiektu certyfikatu (bądź listy CRL).

ID - stanowi przydzielony identyfikator rozszerzenia zgodny z formatem Object Identifier (OID).

wartość DER - zawiera wartość rozszerzenia w kodowaniu DER.

Rysunek: Własna definicja poprzez DER dla typu otherName

rfc822Name

Etykieta - stanowi opisową nazwę ułatwiającą późniejsze wypełnianie zawartości przy tworzeniu certyfikatów

rfc822Name - zgodnie z normą, jeżeli pole Subject Alternative Name ma zawierać adres poczty internetowej, to musi on być przechowywany właśnie w tym polu.

Rysunek: Konfiguracja elementu rfc822Name

dNSName

Etykieta - stanowi opisową nazwę ułatwiającą późniejsze wypełnianie zawartości przy tworzeniu certyfikatów

dNSName - pole umożliwiające wprowadzenie nazwy DNS.

Rysunek: Konfiguracja elementu dNSName

directoryName

Etykieta - stanowi opisową nazwę ułatwiającą późniejsze wypełnianie zawartości przy tworzeniu certyfikatów

directoryName - pole umożliwiające wprowadzenie alternatywnej nazwy dla Relative Distinguished Name  (RDN) zdefiniowanej w polu Subject.

Po kliknięciu przycisku Name pojawia się okno umożliwiające dodanie atrybutów RDN do elementu directoryName.

Rysunek: Okno dodawania komponentów RDN

Po kliknięciu przycisku Dodaj jest możliwość dodania nowych atrybutów RDN. Proces dodawania atrybutów RDN został szczegółowo opisany w rozdziale Pola opisujące tożsamość (podstawowe).

Rysunek: Ostateczna konfiguracja elementu directoryName

ediPartyName

Etykieta - stanowi opisową nazwę ułatwiającą późniejsze wypełnianie zawartości przy tworzeniu certyfikatów

nameAssigner - pole umożliwiające wprowadzenie nazwy cedenta. Możliwe kodowania: utf8, printable, ia5.

partyName - pole umożliwiające wprowadzenie nazwy EDI. Możliwe kodowania: utf8, printable, ia5.

Rysunek: Przykładowa konfiguracja elementu ediPartyName

uniformResourceIdentifier

Etykieta - stanowi opisową nazwę ułatwiającą późniejsze wypełnianie zawartości przy tworzeniu certyfikatów

uniformResourceIdentifier - pole URI umożliwiające wprowadzenie pełnego adresu internetowego.

Rysunek: Konfiguracja elementu uniformResourceIdentifier

iPAddress

Etykieta - stanowi opisową nazwę ułatwiającą późniejsze wypełnianie zawartości przy tworzeniu certyfikatów

iPAddress - pole umożliwiające wprowadzenie adresu IP.

Rysunek: Konfiguracja elementu iPAddress

registeredID

Etykieta - stanowi opisową nazwę ułatwiającą późniejsze wypełnianie zawartości przy tworzeniu certyfikatów

registeredID - pole umożliwiające wprowadzenie numeru rejestracji ID w formacie Object Identifier (OID).

Rysunek: Konfiguracja elementu registeredID

Rozszerzenia certyfikatu

Aby dodać rozszerzenia certyfikatu należy zaznaczyć opcję Profil zawiera rozszerzenia certyfikatu w zakładce Elementy podstawowe w oknie tworzenia nowego profilu X.509 dla certyfikatu, a następnie przejść do zakładki Rozszerzenia certyfikatu i kliknąć przycisk Dodaj.
W systemie QR-CERT zaimplementowano następujące rozszerzenia certyfikatu:

Informacja

Zawarty poniżej ogólny opis rozszerzonych pól certyfikatu X.509 został szczegółowo opisy w RFC 5280. Konfigurowanie poszczególnych opcji aplikacji oraz ich działanie jest zgodne ze wskazanym RFC.

Subject Key Identifier

Rozszerzenie Subject Key Identifier umożliwia wprowadzenie identyfikatora klucza podmiotu, który może być użyty do późniejszego odróżnienia od siebie różnych kluczy tego samego właściciela certyfikatu.

Informacja

Rozszerzenie to jest wymagane w certyfikatach urzędów CA.

Identyfikator klucza można wprowadzić używając:

hash - hash klucza publicznego podmiot

hex string - wpisać go ręcznie jako ciąg heksadecymalny.

Rysunek: Konfiguracja atrybutu Subject Key Identifier

Basic Constraints

Rozszerzenie Basic Constraints wskazuje na ograniczenia certyfikatu. Może ono również obejmować ograniczenie długości ścieżki i wtedy wskazuje na maksymalną liczbę certyfikatów CA, które mogą występować po tym certyfikacie na ścieżce certyfikacji.

Informacja

Pole to jest niezbędne w certyfikatach CA

cA - zaznaczenia pola jest wymagana dla certyfikatu CA.

pathLenConstraint - określenie maksymalnej liczby urzędów CA w ścieżce certyfikacji (jeżeli nie ma potrzeby ograniczania długości ścieżki należy to pole pozostawić puste).

Rysunek: Okno konfiguracji Basic Constraints

Private Key Usage Period

Rozszerzenie Private Key Usage Period umożliwia określenie czasu wykorzystywania klucza prywatnego. Wybór tego rozszerzenia powoduje dodanie go do profilu certyfikatu. Rozszerzenie nie posiada żadnej dodatkowej konfiguracji.

Authority Key Identifier

Rozszerzenie Authority Key Identifier umożliwia zdefiniowanie identyfikatora, który jest unikalnym identyfikatorem klucza, który powinien być użyty do weryfikacji podpisu cyfrowego obliczonego w certyfikacie (lub liście CRL).

keyIdentifier - zaznaczenie pola oznacza zdefiniowanie jako identyfikatora, identyfikator klucza. Ta opcja może być użyta tylko wtedy gdy w certyfikacie występuje rozszerzenie SubjectKeyIdentifier.

Ostrzeżenie

Zaznaczenie opcji keyIdentifier w przypadku gdy urząd CA nie posiada rozszerzenia SubjectKeyIdentifier spowoduje błąd przy generowaniu certyfikatu.

authorityCertIssuer i authorityCertSerialNember - zaznaczenie pola oznacza, że jednoznaczny identyfikator klucza będzie składał się z dwóch wymienionych pól.

Rysunek: Okno konfiguracji Authority Key Identifier

Key Usage

Rozszerzenie Key Usage stanowi ciąg bitów używanych do identyfikacji (lub ograniczenia) funkcji lub usług, które mogą być dostarczone dzięki obecności klucza publicznego zawartego w tym certyfikacie.

Rysunek: Okno konfiguracji Key Usage
Rozszerzenie umożliwia skonfigurowanie następujących użyć certyfikatu:

  • digitalSignature – podpis cyfrowy
  • nonRpuditation – niezaprzeczalny
  • keyEncipherment – szyfrowanie klucza
  • dataEncipherment – szyfrowanie danych
  • keyAgreement – uzgadnianie klucza
  • keyCertSign – podpis certyfikatu
  • cRLSign – podpis listy unieważnień CRL
  • encipherOnly – tylko szyfrowanie
  • decipherOnly – tylko deszyfrowanie

Extended Key Usage

Rozszerzenie Extended Key Usage stanowi sekwencję jednego lub więcej OID, które identyfikują określone wykorzystanie klucza publicznego w certyfikacie.

Rysunek: Okno konfiguracji Extended Key Usage

RFC3280 identyfikuje kilka OID związanych z tym rozszerzeniem, m.in.:

  • serverAuth – uwierzytelnianie serwera TLS
  • clientAuth – uwierzytelnianie klienta TLS
  • codeSigninig – podpisywanie kodu
  • emailProtection – ochrona poczty elektronicznej
  • timeStamping – znaczniki czasu
  • OCSPSigning – podpis protokołu stanu certyfikatu OCSP
  • smartCardLogon – uwierzytelnianie za pomocą karty inteligentnej

W celu zaznaczenia/odznaczenia wybranego atrybutu należy kliknąć go lewym klawiszem myszy.

Aby dodać własne rozszerzenie należy wypełnić pola w sekcji Własne ID, a następnie wcisnąć przycisk Dodaj.

Nazwa - nazwa własna rozszerzenia.

OID - numer zgodny z formatem OID.

CRL Distribution Points

Rozszerzenie CRL Distribution Points wskazuje położenie listy CRL, w której znajduje się informacja o unieważnieniu danego certyfikatu.

Rysunek Okno konfiguracji CRL Distribution Points

distributionPoint - pole umożliwia zdefiniowanie lokalizacji dystrybucji listy CRL (punkt CDP). Aplikacja daje możliwość skonfigurowanie punktów CDP, do których dostęp realizowany jest z wykorzystaniem protokołu HTTP (zaznaczone pole generalName, typ uniformResourceIdentifier) lub po protokole LDAP (zaznaczone pole generalName, typ directoryName i podana pełna nazwa Distinguished Name).  Po kliknięciu przycisku Dodaj wyświetli się dodatkowe okno umożliwiające dodanie wpisów o punktach dystrybucji CRL.

cRLIssuer - pole musi zostać zdefiniowane w przypadku jeśli wystawca list CRL jest inny niż wystawca certyfikatów. Po kliknięciu przycisku Dodaj wyświetli się dodatkowe okno umożliwiające dodanie wpisów o punktach dystrybucji CRL.

Uwaga

Dodanie wpisu cRLIssuer zgodnie z RFC wymaga, aby elementu GeneralName był typu directoryName.

Rysunek: Wpis w polu cRLIssuer zgodnie z wymaganym formatem (pełna nazwa DN).

reasons - zaznaczenie pola umożliwia skonfigurowanie powodów unieważnień certyfikatów, które są obsługiwane przez dane CDP:

  • unused
  • keyCompromise
  • cACompromise
  • affiliationChanged
  • superseded
  • cessationOfOperation
  • certificateHold
  • privilageWithdrawn
  • aACompromise

Informacja

Jeśli lista CRL na którą wskazuje konfigurowane CDP zawiera wszystkie wymienione powyżej powody unieważnień certyfikatów, wtedy należy pozostawić pole reasons niezaznaczone.

Certificate policies

Rozszerzenie Certificate policies (Polityki Certyfikacji) wskazuje na sekwencję jednego lub więcej OID oraz opcjonalnych kwalifikatorów związanych z wydawaniem i późniejszym korzystaniem z certyfikatu.

Rysunek: Okno konfiguracji Certificate policies
Aplikacja zgodnie z RFC3280 daje możliwość zdefiniowania dwóch możliwych kwalifikatorów:

  • cPSuri – kwalifikator polityki certyfikacji
  • userNotice – kwalifikator powiadomienia użytkownika

Kwalifikator cPSuri jest identyfikatorem polityki certyfikacji odnoszącej się do danego certyfikatu. Ustawienie kwalifikatora userNotice, umożliwia wprowadzenie adnotacji do certyfikatu z krótką informacją dla jego posiadacza.

Rysunek: Okno konfiguracji userNotice

Subject Alternative Name

Rozszerzenie Subject Alternative Name umożliwia zdefiniowanie alternatywnych form nazwy związanych z właścicielem certyfikatu (np. adres poczty elektronicznej, adres IP itd.). Opis rozszerzeń Subject Alternative Name przedstawiono szerzej w rozdziale Konfigurowanie rozszerzonych pól certyfikatu opisujących tożsamość (pola Subject Alternative Name).

QC-Statements

Rozszerzenie QC-Statements wskazuje na sekwencję jednego lub więcej OID związanych z wydawaniem i późniejszym korzystaniem z certyfikatów kwalifikowanych. Rozszerzenie qcCompliance stanowi oświadczenie wystawcy, że certyfikat jest certyfikatem kwalifikowanym.

Rysunek: Okno konfiguracji rozszerzenia qcCompliance.

 

Rozszerzenie qcLimitValue stanowi limit transakcji, którą jednorazowo można potwierdzić przy pomocy certyfikatu.

Waluta - rodzaj waluty wykorzystanej w transakcji

Amount - kwota transakcji

Exponent - stopień potęgi dla liczny 10, wykorzystywany do wyliczenia całkowitej wartości transakcji: Amount * 10^Exponent. Całkowita wartość transakcji jaka może być potwierdzona certyfikatem z przykładowymi wartościami wpisanymi w polu qcLimitValue, to 10 000 000 PLN.

Wskazówka

Po naciśnięciu przycisku $ można dokonać wyboru waluty.

Rysunek: Okno konfiguracji rozszerzenia qcLimitValue.

 

Rozszerzenie qcRetentionPeriod określa okres czasu, przez który wystawca certyfikatu zobowiązuje się zarchiwizować i przechowywać wszystkie informacje związane z wystawionym certyfikatem.

Rysunek: Okno konfiguracji rozszerzenia qcRetentionPeriod.

 

Rozszerzenie qcSSCD oznacza, że klucze prywatne skojarzone z certyfikatem są przechowywane w bezpiecznym urządzeniu  SSCD (Signature Secure Creation Device).

Rysunek: Okno konfiguracji rozszerzenia qcSSCD


Rozszerzenie subjectSignatureType umożliwia określenie roli, w której występuje subskrybent, jeśli w polu Subject certyfikatu określono dane sponsora.

Rysunek: Okno konfiguracji rozszerzenia subjectSignatureType

Możliwe określenia roli:

  • we własnym imieniu (1),
  • upoważniony Przedstawiciel (2),
  • członek Organu (3),
  • organ Władzy Publicznej (4)

Authority Information Access

Rozszerzenie Authority Information Access wskazuje, jak uzyskać informacje lub usługi oferowane przez wystawcę certyfikatów.

Metoda dostępu caIssuers pobiera informacje na temat CA, które są nadrzędne wobec wydawcy certyfikatu.

Rysunek: Okno przykład konfiguracji atrybutu caIssuers.

 

Metoda dostępu ocsp służy do wykorzystania usług polegających na sprawdzaniu online na podstawie OCSP.

Rysunek: Okno konfiguracji rozszerzenia ocsp.

 

 

Rysunek: Okno konfiguracji rozszerzenia Authority Information Access.

Uwaga

Informacje dotyczące lokalizacji listy CRL (CDP), nie powinny być umieszczane w tej sekcji. Informacje o lokalizacji listy CRL należy skonfigurować w sekcji CRL Distribution Points.

Subject Information Access

Rozszerzenie Subject Information Access wskazuje, jak uzyskać informacje lub usługi oferowane przez podmiot certyfikatu.

Metoda dostępu caRepository identyfikuje lokalizację repozytorium, w którym CA publikuje informacje o certyfikatach i listach CRL.

Rysunek: Okno przykładowej konfiguracji rozszerzenia caRepository.


Metoda dostępu timeStamp wskazuje, że właściciel identyfikowany w certyfikacie dostarcza usługę znacznika czasu.

 

Rysunek: Okno przykładowej konfiguracji rozszerzenia timeStamp.

 

Rysunek: Okno konfiguracji rozszerzenia Subject Information Access

Subject Directory Attributes

Rozszerzenie Subject Directory Attributes wskazuje na sekwencję atrybutów związaną z właścicielem certyfikatu. Rozszerzenie to w niektórych aplikacjach przekazuje informacje o kontroli dostępu.

Dodanie rozszerzenia typu title.

Stanowisko - pole w którym należy wprowadzić stanowisko właściciela certyfikatu.

Rysunek: Okno konfiguracji atrybutu stanowisko.

 

Dodanie rozszerzenia typu dateOfBirth.

Data urodzenie - pole w które należy wpisać datę urodzenia właściciela certyfikatu.

Rysunek: Okno konfiguracji atrybutu daty urodzin

 

Dodanie rozszerzenia typu placeOfBirth.

Miejsce urodzenia - pole w które należy wpisać miejsce urodzenia właściciela certyfikatu.

Rysunek: Okno konfiguracji atrybutu miejsca urodzenia

 

Dodanie rozszerzenia typu gender.

Płeć - pole w które należy wybrać płeć właściciela certyfikatu.

Rysunek: Okno konfiguracji atrybutu płci

 

Dodanie rozszerzenia typu countryOfCitizenship.

Obywatelstwo - pole w które należy wpisać obywatelstwo właściciela certyfikatu.

Rysunek: Okno konfiguracji atrybutu kraju pochodzenia

 

Dodanie rozszerzenia typu countyOfResidence.

Kraj pobytu - pole w które należy wpisać kraj pobytu właściciela certyfikatu.

Rysunek: Okno konfiguracji atrybutu kraju zamieszkania

 

Dodanie rozszerzenia typu role:

Sposób dodawania elementów oraz poszczególne typy elementu GeneralName zostały opisane w rozdziale Pola opisujące tożsamość.

Rysunek: Okno konfiguracji atrybutu sprawowanych ról

 

Dodanie rozszerzenia typu email:

Adres poczty elektronicznej - pole w które należy wpisać adres poczty elektronicznej  właściciela certyfikatu.

Rysunek: Okno konfiguracji atrybutu poczty elektronicznej.

 

Dodanie rozszerzenia typu serialNumber:

Numer seryjny - pole w które należy wpisać numer identyfikacyjny (ID) właściciela certyfikatu (np. w przypadku obywateli polskich numer PESEL).

Rysunek: Okno konfiguracji atrybutu numer seryjny.

 

Dodanie rozszerzenia typu clearance:

policyID - pole powinno zostać uzupełnione numerem OID polityki.

W zależności od przyznanego zakresu dostępu dla właściciela certyfikatu należy zaznaczyć odpowiednie pola wyboru:

  • unMarked
  • Unclassified
  • Restricted
  • Confidential
  • Secret
  • Topsecret


Rysunek: Okno konfiguracji atrybutu zakres dostępu

Klikając przycisk Dodaj, istnieje możliwość dodania kategorii bezpieczeństwa.

Rysunek: Okno konfiguracji kategorii bezpieczeństwa

Rozszerzenie DER

Rozszerzenie DER pozwala na zdefiniowanie własnego rozszerzenia, a właściwe umożliwia wprowadzenie dowolnego niezaimplementowanego rozszerzenia poprzez podanie jego kodowania DER.

Nazwa - jest używana do zidentyfikowania rozszerzenia podczas tworzenia obiektu certyfikatu.

OID - stanowi przydzielony identyfikator rozszerzenia,

Data - zawiera wartość rozszerzenia kodowaną w DER.


Rysunek: Konfiguracja własnego rozszerzenia DER

Wskazówka

Klikając ikonę folderu można wczytać plik z rozszerzeniem w formacie DER.

Profil X.509 listy CRL/ARL

Po wybraniu opcji tworzenia nowego profilu X.509 ponawia się okno tworzenia nowego profilu, z którego należy wybrać profil listy CRL/Delta CRL do utworzenia.

Parametry niezbędne do wypełnienia:

Typ profilu – typ profilu X.509 (Lista CRL, Lista Delta CRL)

Nazwa – nazwa identyfikująca profil w systemie QR-CERT

Numer wersji CRL – numer wersji standardu, wg którego utworzony zostanie profil CRL (większość dostępnych implementacji zakłada stosowanie wersji 2)

Funkcja skrótu – funkcja skrótu która będzie używana przy podpisywaniu listy (md5, sha1, sha224, sha256, sha384, sha512)

Wskazówka

Poprzez kliknięcie na ikonie można uzyskać informację czy profil X.509 o wybieranej nazwie istnieje w systemie QR-CERT. Pozwala to upewnić się, że dany profil jest możliwy do utworzenia.

Opcje dodatkowe:

Profil zawiera rozszerzenia CRL – pozwala na dodanie rozszerzeń do listy CRL (np. cRLNumber, deltaCRLIndicator).

Profil zawiera rozszerzenia Entry CRL – pozwala na dodanie rozszerzeń dotyczących wpisów odwołań w CRL.

Rysunek: Okno tworzenia nowego profilu listy CRL

 

Zakładka Rozszerzenia CRL umożliwia wprowadzenie informacji dotyczących rozszerzeń CRL, aby dostosować go do określonych zadań.

Rysunek: Okno rozszerzeń CRL

Dodane wpisy pól można usuwać, zamieniać ich kolejność i modyfikować po dwukrotnym kliknięciu wpisu. Opis konfiguracji przedstawiono w rozdziale Rozszerzenia CRL.

Uwaga

Zawartość pola w kolumnie Krytyczny zmienia wartość na przeciwną (Tak na Nie i odwrotnie) po dwukrotnym kliknięciu na wartości wpisu w polu.

 

Zakładka Rozszerzenia wpisu odwołania CRL umożliwia wprowadzenie dodatkowych informacji dotyczących wpisów na liście CRL np. cRLReason.

Rysunek: Okno rozszerzeń Entry CRL

Dodane wpisy pól można usuwać, zamieniać ich kolejność i modyfikować po dwukrotnym kliknięciu wpisu. Opis konfiguracji przedstawiono w rozdziale Rozszerzenia wpisu odwołania CRL.

Uwaga

Zawartość pola w kolumnie Krytyczny zmienia wartość na przeciwną (Tak na Nie i odwrotnie) po dwukrotnym kliknięciu na wartości wpisu w polu.

Rozszerzenia CRL

Aby dodać rozszerzenia CRL należy zaznaczyć opcję Profil zawiera rozszerzenia CRL w zakładce „Elementy podstawowe" w oknie tworzenia nowego profilu X.509 dla lista CRL, a następnie przejść do zakładki „Rozszerzenia CRL" i kliknąć przycisk Dodaj.
W systemie QR CERT zaimplementowano następujące rozszerzenia list CRL:

Informacja

Zawarty poniżej ogólny opis rozszerzonych pól listy CRL został szczegółowo opisy w RFC 5280. Konfigurowanie poszczególnych opcji aplikacji oraz ich działanie jest zgodne ze wskazanym RFC.

Authority Key Identifier

Rozszerzenie Authority Key Identifier opisano w rozdziale wcześniejszym.

CRL Number

Rozszerzenie CRL Number umożliwia dodanie unikatowego numeru listy CRL lub ARL. Jest to monotonicznie rosnąca liczba całkowita pozwalająca na wykrycie brakujących list CRL.
Wybór tego rozszerzenia powoduje dodanie go do profilu listy CRL/ARL. Rozszerzenie nie posiada żadnej dodatkowej konfiguracji.

Delta CRL Indicator

Rozszerzenie Delta CRL Indicator informuje że dana lista CRL jest listą typu Delta CRL odnoszącą się do podstawowej listy CRL. Wybór tego rozszerzenia powoduje dodanie go do profilu listy CRL/ARL. Rozszerzenie nie posiada żadnej dodatkowej konfiguracji.

Issuing Distribution Point

Rozszerzenie Issuing Distribution Point wskazuje punkt dystrybucji CRL i rodzaje certyfikatów zawarte w CRL (np. tylko certyfikaty subskrybentów, tylko certyfikaty CA itp.).

distributionPoint - pole opcjonalne, umożliwia zdefiniowanie CDP w taki sam sposób jak to zostało opisane we wcześniejszym rozdziale CRL Distribution Points.

onlyContainsUserCerts - pole należy zaznaczyć, jeśli na liście CRL wydanej z tworzonego profilu mają znajdywać się tylko certyfikaty subskrybentów (użytkowników końcowych)

onlyContainsCACerts - pole należy zaznaczyć, jeśli na liście CRL wydanej z tworzonego profilu mają znajdywać się tylko certyfikaty urzędów certyfikacji (CA)

onlySomeReasons - pole należy zaznaczyć, jeśli na liście CRL wydanej z tworzonego profilu mają znajdywać się tylko certyfikaty unieważnione ze wskazanych powodów

indirectCRL - pole musi zostać zaznaczone, jeśli lista CRL będzie zawierała certyfikaty jednego lub wielu wystawców certyfikatów, innych niż wydawca CRL.

onlyContainsAttributeCerts - pole należy zaznaczyć, jeśli na liście CRL wydanej z tworzonego profilu mają znajdywać się tylko certyfikaty atrybutów.

Rysunek: Okno rozszerzeń Issuing Distribution Point.

Freshest CRL

Rozszerzenie Freshest CRL wskazuje najnowszą dostępną informacje o certyfikatach unieważnionych. W praktyce jest to wskaźnik do listy Delta CRL Distribution Point. Konfiguracja rozszerzenia realizowana jest dokładnie w taki sam sposób jak dla pola CRL Distribution Points.

Rozszerzenie DER

Rozszerzenie DER pozwala na zdefiniowanie „własnego" rozszerzenia, a właściwe umożliwia wprowadzenie dowolnego niezaimplementowanego rozszerzenia poprzez podanie jego kodowania DER.

Nazwa - jest używana do zidentyfikowania rozszerzenia podczas tworzenia obiektu listy CRL.

OID - stanowi przydzielony identyfikator rozszerzenia

Data - zawiera wartość rozszerzenia.


Rysunek: Konfiguracja rozszerzenia DER

Wskazówka

Klikając ikonę folderu można wczytać plik z rozszerzeniem w formacie DER.

Rozszerzenia wpisu odwołania CRL

Aby dodać rozszerzenia CRL należy zaznaczyć opcję Profil zawiera rozszerzenia Entry CRL w zakładce „Elementy podstawowe" w oknie tworzenia nowego profilu X.509 dla lista CRL, a następnie przejść do zakładki „Rozszerzenia wpisu odwołania CRL" i kliknąć przycisk Dodaj.
W systemie QRCERT zaimplementowano następujące rozszerzenia list CRL:

Informacja

Zawarty poniżej ogólny opis rozszerzonych pól listy CRL został szczegółowo opisy w RFC 5280. Konfigurowanie poszczególnych opcji aplikacji oraz ich działanie jest zgodne ze wskazanym RFC.

CRL Reason Code

Rozszerzenie CRL Reason Code określa powód unieważnienia certyfikatu, m.in.:

  • unspecified
  • keyCompromise
  • cACompromise
  • affiliationChanged
  • superseded
  • cessationOfOperation
  • certificateHold
  • removeFromCRL
  • privilegeWithdrawn
  • aACompromise

Hold Instruction Code

Rozszerzenie Hold Instruction Code służy do realizacji czasowego zawieszenia certyfikatu. Określa szczegóły akcji jaką musi podjąć aplikacja w przypadku próby użycia zawieszonego certyfikatu.

Ignoruj - wybranie tej wartości jest semantycznie równoważne z nieumieszczeniem tego rozszerzenia w CRL.

Wymagany kontakt z Urzędem CA - przed użyciem certyfikatu wymagany jest bezpośredni kontakt z Urzędem Certyfikacji w celu uzyskania informacji o bieżącym statusie certyfikatu.

Odrzuć - wybranie tej wartości wymusza bezwzględne odrzucenie certyfikatu.

Rysunek: Okno konfiguracji rozszerzenia Hold Instruction Code.

Invalidity Date

Rozszerzenie Invalidity Date pozwala na określenie daty końca ważności – znanego lub przypuszczalnego czasu w którym certyfikat przestał być ważny.

Rozszerzenie DER

Sposób konfiguracji rozszerzenia DER został opisany w poprzednim rozdziale.

Przykładowe profile certyfikatów

Poniżej zostały przygotowane i udostępnione przykładowe profile X.509 certyfikatów dla urzędów certyfikacji i użytkowników oraz profile X.509 list CRL.

Pobierz profile X.509 dla:

Uwaga

Udostępnione profile X.509 można dowolnie modyfikować. W profilach certyfikatów wpisano przykładowe wartości w rozszerzeniach certyfikatów: cRLDistributionPoints oraz authorityInfoAccess, które po wykonaniu importu do docelowej infrastruktury PKI, należy obowiązkowo zmodyfikować wpisując poprane wartości lub usunąć wyżej wymienione rozszerzenia z profilu.

Na tej stronie

Szukaj w dokumentacji