ANNEXE 1 POLITIQUE DE Titre : CERTIFICATION FORMAT DES … · ANNEXE 1 POLITIQUE DE CERTIFICATION...

Ministère de l’Intérieur

Page1/25

Date : 07/06/2017

Dossier : INFRASTRUCTURE DE GESTION DE CLES

MINISTERE DE L’INTERIEUR

Titre : ANNEXE 1 POLITIQUE DE

CERTIFICATION FORMAT DES CERTIFICATS

Références : AA100008/PCA0012 version 3

IGC-MI_PC_AC_CERTIFICATS

Etat : APPROUVE

ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS


AA100008/PCA0012 Version 3 du 31/07/20147 / 25

VERSIONS SUCCESSIVES Version Date Objet de la modification Auteur Statut

1.0 08/08/2011 Création Ministère Intérieur Approuvé

2.0 01/08/2014 Renouvellement des AC Déléguées

Ajout de nouveaux certificats serveurs

Ministère Intérieur Approuvé

3.0 07/06/2017 Renouvellement des AC Déléguées

Ajout de nouveaux certificats serveurs

Ministère Intérieur Approuvé



AA100008/PCA0012 Version 3 du 31/07/20147 / 25

Référence

Référence Version et date Titre

[IGC/A-PC] Version 2.1 du 18 août 2011

IGC/A – Politique de Certification concernant les Autorités de certification racines gouvernementales

OID : 1.2.250.1.223.1.1.2.



AA100008/PCA0012 Version 3 du 31/07/20147 / 25

TABLE DES MATIERES

1. INTRODUCTION ....................................................................................................................................... 5 1.1. OBJET ............................................................................................................................................... 5 1.2. DOMAINE D'APPLICATION ............................................................................................................. 5 1.3. ACRONYMES ................................................................................................................................... 5

2. IGC-MI DIRECTORY INFORMATION TREE............................................................................................ 6 2.1. DIT DE L’IGC-MI ............................................................................................................................... 6 2.2. DN DES CERTIFICATS POUR LA PLATE FORME DE PRODUCTION ......................................... 7

2.2.1. Règles d’interprétation des DN ................................................................................................. 7 2.2.2. AC Racine ................................................................................................................................. 7 2.2.3. ACD police nationale * et ** ...................................................................................................... 7 2.2.4. ACD administration centrale * et ** ........................................................................................... 7 2.2.5. ACD administration territoriale * et ** ........................................................................................ 7 2.2.6. ACD serveur * et ** ................................................................................................................... 7 2.2.7. Certificats utilisateurs finaux ..................................................................................................... 7 2.2.8. Règles pour les DN des certificats de test porteur émis par la plate-forme de production....... 8

2.3. REGLES POUR LES DN DES CERTIFICATS POUR LA PLATE FORME DE TEST ..................... 8 2.4. ARBORESCENCE DE CERTIFICATION DE I’IGC-MI ..................................................................... 8

2.4.1. OID Ministère de l’intérieur ........................................................................................................ 8 2.4.2. Plan d’attribution des OID politiques de certification pour les ACD 2017 ................................. 9 2.4.3. Plan d’attribution des OID politiques de certification pour l’arborescence de test .................. 10

2.5. FORMAT DES CERTIFICATS ........................................................................................................ 10 2.5.1. Certificat AC Racine ................................................................................................................ 10 2.5.2. Certificat AC Déléguée ............................................................................................................ 11 2.5.3. Certificats des agents .............................................................................................................. 12 2.5.4. Certificats Cachet .................................................................................................................... 16 2.5.5. Certificats Machine .................................................................................................................. 19

2.6. FORMAT DES LAR ET LCR ........................................................................................................... 23 2.6.1. Format LAR ............................................................................................................................. 23 2.6.2. Format LCR ............................................................................................................................. 24 2.6.3. Format OCSP .......................................................................................................................... 25



AA100008/PCA0012 Version 3 du 31/07/20147 / 25

1. INTRODUCTION

1.1. OBJET

Ce document est l’annexe 1 de la Politique de certification de l’IGC-MI.

La version 2 du présent document modifie la version 1 dans les paragraphes suivants :

Présent chapitre pour ajout des nouvelles ACD générées en 2017

Paragraphe 0 avec l’insertion des appellations des nouvelles ACD générées en 2017

Paragraphe Erreur ! Source du renvoi introuvable. avec l’insertion des OID liés aux nouvelles ACD générées en 2017

Paragraphe 0 décrivant les certificats

1.2. DOMAINE D'APPLICATION

Il s’applique à l’IGC-MI.

1.3. ACRONYMES

Pour les besoins du présent document, les sigles suivants s’appliquent :

AA Autorité Administrative

AC Autorité de Certification

ACD Autorité de Certification Déléguée

ACR Autorité de Certification Racine

AE Autorité d’Enregistrement

CN Common name ; nom commun

DIT Directory Identification Tree : arborescence d’informations d’annuaire

DN Distinguished Name ; nom distinctif

FQDN Fully Qualified Domain Name

IGC Infrastructure de Gestion de Clés

IGC/A Infrastructure de Gestion de clés de l’Administration

ISO International Organization for Standardization

LAR Liste des certificats d’AC Révoqués

LCR Liste des Certificats Révoqués

OCSP Online Certificate Status Protocol

OID Object Identifier (Identifiant d’Objet)

PC Politique de Certification

RSA Rivest Shamir Adelman

SHA-1 Secure Hash Algorithm version 1

SHA-2 Secure Hash Algorithm version 2



AA100008/PCA0012 Version 3 du 31/07/20147 / 25

2. IGC-MI DIRECTORY INFORMATION TREE

2.1. DIT DE L’IGC-MI

L’IGC–MI utilise les services d’annuaire pour la publication des certificats et des listes de révocation.

La structure de DIT de l’IGC-MI est décrite ci dessous :

C=FR

O = MINISTERE INTERIEUR

CN = AC POLICE NATIONALE PERSONNES 1 ETOILE

CN = AC POLICE NATIONALE PERSONNES 2 ETOILES

CN = AC ADMINISTRATION CENTRALE PERSONNES 1 ETOILE

CN = AC ADMINISTRATION CENTRALE PERSONNES 2 ETOILES

CN = AC ADMINISTRATION TERRITORIALE PERSONNES 1 ETOILE

CN = AC ADMINISTRATION TERRITORIALE PERSONNES 2 ETOILES

CN = POLICE NATIONALE 1E

CN = POLICE NATIONALE 2E

CN = ADMINISTRATION CENTRALE 1E

CN = ADMINISTRATION CENTRALE 2E

CN = ADMINISTRATION TERRITORIALE 1E

CN = ADMINISTRATION TERRITORIALE 2E

CN = AC SERVEURS 1 ETOILE

CN = AC SERVEURS 2 ETOILES

CN = SERVEUR 1E

CN = SERVEUR 2E

OU = 0002 110014016

CN = AC RACINE MINISTERE INTERIEUR

OU = PERSONNES

CN= « Prénom Nom n°RIO»

SN = « Nom »

GN = « Prénom »

UID= «n°RIO»

OU = SERVEURS

CN= « FQDN »

CN= « Service Applicatif »

CN = POLICE NATIONALE 1E 2017

CN = POLICE NATIONALE 2E 2017

CN = ADMINISTRATION CENTRALE 1E 2017

CN = ADMINISTRATION CENTRALE 2E 2017

CN = ADMINISTRATION TERRITORIALE 1E 2017

CN = ADMINISTRATION TERRITORIALE 2E 2017

CN = SERVEUR 1E 2017

CN = SERVEUR 2E 2017



AA100008/PCA0012 Version 3 du 31/07/20147 / 25

2.2. DN DES CERTIFICATS POUR LA PLATE FORME DE PRODUCTION

2.2.1. REGLES D’INTERPRETATION DES DN

2.2.2. AC RACINE

Le DN de L’AC RACINE : {CN=AC RACINE MINSTERE INTERIEUR, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}

2.2.3. ACD POLICE NATIONALE * ET **

Le DN de L’AC POLICE * 2017 : {CN=POLICE NATIONALE 1E 2017, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}

Le DN de L’AC POLICE ** 2017 : {CN=POLICE NATIONALE 2E 2017, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}

2.2.4. ACD ADMINISTRATION CENTRALE * ET **

Le DN de L’AC CENTRALE * 2017 : {CN=ADMINISTRATION CENTRALE 1E 2017, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}

Le DN de L’AC CENTRALE ** 2017 : {CN= ADMINISTRATION CENTRALE 2E 2017, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}

2.2.5. ACD ADMINISTRATION TERRITORIALE * ET **

Le DN de L’AC TERRITORIALE * 2017 : {CN=ADMINISTRATION TERRITORIALE 1E 2017, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}

Le DN de L’AC TERRITORIALE ** 2017 : {CN=ADMINISTRATION TERRITORIALE 2E 2017, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}

2.2.6. ACD SERVEUR * ET **

Le DN de L’AC SERVEUR * 2017 : {CN= SERVEUR 1E 2017, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}

Le DN de L’AC SERVEUR ** 2017 : {CN=SERVEUR 2E 2017, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}

2.2.7. CERTIFICATS UTILISATEURS FINAUX

2.2.7.1. CERTIFICATS DES PORTEURS

Le DN du certificat d’un porteur : {CN= « Prénom Nom n°RIO», SN = « Nom », GN = « Prénom », UID = « n°RIO », OU=PERSONNES, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}

2.2.7.2. CERTIFICATS DES SERVEURS

Le DN d’un certificat serveur de type authentification SSL/TLS est : {CN= « FQDN du serveur », OU=SERVEURS, OU=0002 « n° SIRET », O=MINISTERE INTERIEUR, C=FR} Le DN d’un certificat pour un autre service applicatif est : {CN= « Service Applicatif », OU=SERVEURS, OU=0002 « n° SIRET », O=MINISTERE INTERIEUR, C=FR}. Dans ce cas le CN doit contenir un nom significatif du service.

Le numéro SIRET est l’un des numéros SIRET valide pour une entité rattachée au Ministère de l’Intérieur.



AA100008/PCA0012 Version 3 du 31/07/20147 / 25

2.2.8. REGLES POUR LES DN DES CERTIFICATS DE TEST PORTEUR EMIS PAR LA PLATE-FORME DE PRODUCTION

Dans le cas où une AC de production souhaite émettre des certificats de test de porteur, l’attribut commonName du DN du champ issuer du certificat doit également être préfixé par « TEST ».

Le choix du délimiteur séparant « TEST » du reste du texte renseigné dans l’attribut commonName est l’espace.

2.3. REGLES POUR LES DN DES CERTIFICATS POUR LA PLATE FORME DE TEST

Les certificats d’AC ou de porteurs utilisés à des fins de test doivent répondre aux mêmes exigences que celles définies pour les certificats de production. De plus, ils doivent être identifiables comme certificats de test. Pour cela la règle suivante s’applique : Le nom d’une AC de test (renseigné dans l’attribut commonName des champs issuer et, pour les certificats d’AC, dans le champ subject) doit être préfixé par « TEST ». Le choix du délimiteur séparant « TEST » du reste du texte renseigné dans l’attribut commonName est l’espace.

2.4. ARBORESCENCE DE CERTIFICATION DE I’IGC-MI

L’arborescence de certification du ministère de l’intérieur est décrite ci-dessous.

2.4.1. OID MINISTERE DE L’INTERIEUR

L'identifiant OID attribué par l'AFNOR pour le ministère de l’intérieur est :

Identifiant (OID) Id-MI:= { iso(1) member-body(2) fr(250) type-org(1) ministère-intérieur(152) }

Identifiant (OID) Id-MI : 1.2.250.1.152.

AC RACINE IGC/A

AC RACINE MINISTERE INTERIEUR

SERVEUR 2E 2017

AC Déléguées 2017 1 Etoile

POLICE NATIONALE 1E 2017 POLICE NATIONALE 2E 2017

ADMINISTRATION CENTRALE 1E 2017 ADMINISTRATION CENTRALE 2E 2017

ADMINISTRATION TERRITORIALE 1E 2017 ADMINISTRATION TERRITORIALE 2E 2017

SERVEUR 1E 2017

AC Déléguées 2017 2 Etoiles



AA100008/PCA0012 Version 3 du 31/07/20147 / 25

2.4.2. PLAN D’ATTRIBUTION DES OID POLITIQUES DE CERTIFICATION POUR LES ACD 2017

Le renouvellement des AC Déléguées en 2017 a donné lieu à la création de nouvelles AC Déléguées, dont l’OID est distinct (dérivé de l’OID original). De nouveaux usages de certificats serveurs ont aussi été introduits.

Remarque : pour le niveau de confiance « une étoile », il n’est pas prévu de certificats de signature ou de confidentialité (au moins dans cette phase du projet), les OID sont définies dans ces deux cas pour une éventuelle évolution.

id-mi : 1.2.250.1.152

igc : 2

politique-certification : 1

igc de test : 9002

centrale2017 : 13

police2017 : 23 territoriale2017 : 33

sign : 1

conf : 2

auth : 3

1etoile : 1

2etoiles : 2

sign : 1

conf : 2

auth : 3

sign : 1

conf : 2

auth : 3

1etoile : 1

2etoiles : 2

sign : 1

conf : 2

auth : 3

sign : 1

conf : 2

auth : 3

1etoile : 1

2etoiles : 2

sign : 1

conf : 2

auth : 3

Serveur 2017:43

sslclient SAN: 31

sslserver : 2

ms-ad : 4

1etoile : 1

timestamp : 1

sslserver SAN: 21

sslsclient : 3

sslclient SAN: 31

sslserver : 2

ms-ad : 4

2etoile : 2

timestamp : 1

sslserver SAN: 21

sslsclient : 3

cachet: 5

xkms: 7

ocsp : 6

cachet : 5

ocsp : 6

xkms : 7



AA100008/PCA0012 Version 3 du 31/07/20147 / 25

2.4.3. PLAN D’ATTRIBUTION DES OID POLITIQUES DE CERTIFICATION POUR L’ARBORESCENCE DE TEST

Le plan d’attribution des OID pour l’IGC de test est quasi identique à celui de l’IGC de production, la différence étant que l’identifiant d’application est 9002 au lieu de 2. Se reporter au diagramme précédent pour le schéma.

2.5. FORMAT DES CERTIFICATS

2.5.1. CERTIFICAT AC RACINE

Champs de base

CHAMP VALEUR REMARQUES

Version 2 (version 3)

CertificateSerialNumber alloué automatiquement

Signature Algorithm SHA-256WithRSAEncryption

Issuer CN = IGC/A AC racine Etat francais

OU = 0002 130007669

O = ANSSI

C = FR

Validity Not before : << Date d’émission >>

NotAfter: << Date d’émission + 12 années >>

Subject CN=AC RACINE MINISTERE INTERIEUR

OU=0002 110014016

O=MINISTERE INTERIEUR

C=FR

Public Key Algorithm rsaEncryption

SubjectPublicKey Clé RSA (4096bits)

SignatureValue Valeur de la signature

Extensions

CHAMP CRITICITE VALEUR REMARQUES

Key Usage Critique KeyCertSign ,

CRLSign

Subject Key identifier Non Critique hash of SubjectPublicKey

BasicConstraint Critique CA = true

CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1

CPSuri=http://crl.interieur.gouv.fr/igca4096.crl


Page11/25

2.5.2. CERTIFICAT AC DELEGUEE

Champs de base





Issuer CN=AC RACINE MINSTERE INTERIEUR

OU=0002 110014016


C=FR


NotAfter: << Date d’émission + 6 years >>

Subject CN= « Nom de l’AC DELEGUE»

OU=0002 110014016


C=FR




Extensions


Key Usage Critique KeyCertSign

CrlSign,

Authority Key identifier Non Critique hash of IssuerPublicKey


BasicConstraint Critique CA = true

pathLenConstraint = 0

Le pathLenConstraint rend invalide un certificat qui serait émis pas une sous-autorité de celle-ci.

CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1. [13,23,33, 43]

CPSuri = http://www.igc.interieur.gouv.fr

CRLDistributionPoint Non Critique Uri =http://crl.interieur.gouv.fr/arl-acr-ministere-interieur.crl

AuthorityInformation Access Non critique accessMethod : id-ad-caIssuers

accessLocation : http://crl.interieur.gouv.fr/acr-ministere-interieur.crt

certificat AC Racine émis par l’IGC/A



AA100008/PCA0012 Version 3 du 31/07/20147 / 25

2.5.3. CERTIFICATS DES AGENTS

2.5.3.1. CERTIFICAT D’AUTHENTIFICATION

Champs de base





Issuer CN= « Nom de l’AC DELEGUE»

OU=0002 110014016


C=FR


NotAfter: << Date d’émission + 3 années maximum>>

Subject CN= « Prénom Nom n°RIO»

SN = « Nom »

GN = « Prénom »

UID= «n°RIO»

OU=PERSONNES

OU=0002 110014016


C=FR




Extensions


Key Usage Critique DigitalSignature

SubjectAltName Non critique OtherName

1. OID = 1.3.6.1.4.1.311.20.2.3

Value = UPN

2. OID = 1.3.6.1.5.2.2 (Kerberos)

Value : Realm, Type : 1, KRB

3. rfc822Name

Value = email

La valeur de l’UPN (User Principal Name) est de la forme prenom.nom.n°[email protected] et se trouve dans le RIO.

Le domaine Realm est KRB.MININT.FR

La valeur de KRB est de la forme prenom.nom.n°RIO.KRB.MININT.FR



BasicConstraint Non Critique CA = false

CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[13,23, 33].[1 ou 2].3


[Centrale :13, police : 23 , territoriale : 33]

[2 étoiles :2 ou 1 étoile :1]



AA100008/PCA0012 Version 3 du 31/07/20147 / 25

CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl>

ACD 2017 :

police-nationale-1e-2017.crl


administration-centrale-1e-2017.crl


administration-territoriale-1e-2017.crl


Extended Key Usage Non Critique id-kp-clientAuth

id-kp-smartcard-logon

AuthorityInformation Access

Non critique accessMethod : id-ad-caIssuers

accessLocation : http://crl.interieur.gouv.fr/<nom du certificat >

ACD 2017 :

police-nationale-1e-2017.crt


administration-centrale-1e-2017.crt


administration-territoriale-1e-2017.crt


2.5.3.2. CERTIFICAT DE SIGNATURE

Champs de base





Issuer CN= « Nom de l’AC DELEGUE»

OU=0002 110014016


C=FR


NotAfter: << Date d’émission + 3 années maximum >>


SN = « Nom »

GN = « Prénom »

UID= «n°RIO»

OU=PERSONNES

OU=0002 110014016


C=FR






AA100008/PCA0012 Version 3 du 31/07/20147 / 25

Extensions


Key Usage Critique nonRepudiation




SubjectAltName Non critique rfc822Name

Value = email

CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[13, 23, 33].[1 ou 2].1


[Centrale:13,Police :23,Territoriale:33]



ACD 2017 :










ACD 2017 :







2.5.3.3. CERTIFICAT DE CHIFFREMENT

Champs de base





Issuer CN= « Nom de l’AC DELEGUEE»

OU=0002 110014016


C=FR




SN = « Nom »

GN = « Prénom »

UID= «n°RIO»

OU=PERSONNES



AA100008/PCA0012 Version 3 du 31/07/20147 / 25

OU=0002 110014016


C=FR




Extensions


Key Usage Critique KeyEncipherment




SubjectAltName Non critique rfc822Name

Value = email

CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[13, 23, 33].[1 ou 2].2


[Centrale:13,Police :23,Territoriale:33]



ACD 2017 :









ACD 2017 :








Page16/25

2.5.4. CERTIFICATS CACHET

2.5.4.1. CERTIFICAT D’HORODATAGE

Champs de base





Issuer CN= « nom de l’AC DELEGUEE SERVEUR »

OU=0002 110014016


C=FR



Subject CN= « Nom du serveur d’horodatage »

OU=SERVEURS

OU=0002 110014016


C=FR




Extensions

CHAMP CRITICITE REMARQUES


NonRepudiation




CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.43.[1 ou 2].1



CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl> ACD 2017 :

serveur-1e-2017.crl

serveur-2e-2017.crl

Extended Key Usage Critique id-kp-timestamping


accessLocation: http://crl.interieur.gouv.fr/<nom du certificat>



AA100008/PCA0012 Version 3 du 31/07/20147 / 25

2.5.4.2. CERTIFICAT CACHET SIGNATURE

Champs de base






OU=0002 110014016


C=FR


NotAfter : << Date d’émission + 3 années >>

Subject CN= « Nom du serveur »

OU=SERVEURS

OU=0002 110014016


C=FR




Extensions



NonRepudiation








ACD 2017 :

serveur-1e-2017.crl

serveur-2e-2017.crl

AuthorityInformation Access Non critique AccessMethod : id-ad-caIssuers


ACD 2017 :

serveur-1e-2017.crt

serveur-2e-2017.crt



AA100008/PCA0012 Version 3 du 31/07/20147 / 25

2.5.4.3. CERTIFICAT DE VALIDATION XKMS

Champs de base






OU=0002 110014016


C=FR




OU=SERVEURS

OU=0002 110014016


C=FR




Extensions



NonRepudiation




CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1. 43.[1 ou 2].7




ACD 2017:

serveur-1e-2017.crl

serveur-2e-2017.crl



ACD 2017 :

serveur-1e-2017.crt

serveur-2e-2017.crt


Page19/25

2.5.5. CERTIFICATS MACHINE

2.5.5.1. CERTIFICAT AUTHENTIFICATION SSL SERVER

Champs de base






OU=0002 110014016


C=FR




OU=SERVEURS

OU=0002 110014016


C=FR




Extension


Key Usage Critique DigitalSignature et/ou

KeyEncipherment

Errata de l’ANSSI publié le 23 avril 2012 autorisant temporairement le keyUsage digitalSignature en plus de keyEncipherment




CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.43.[1 ou 2].[2 ou 21]



[2 : SIMPLE , 21 : MultiSAN]

extendedKeyUsage Non Critique id-kp-serverAuth


ACD 2017 :

serveur-1e-2017.crl

serveur-2e-2017.crl



AA100008/PCA0012 Version 3 du 31/07/20147 / 25



ACD 2017 :

serveur-1e-2017.crt

serveur-2e-2017.crt

SubjectAltName Non critique contenu du CN du sujet Uniquement pour les MultiSAN

2.5.5.2. CERTIFICAT AUTHENTIFICATION SSL CLIENT

Champs de base






OU=0002 110014016


C=FR




OU=SERVEURS

OU=0002 110014016


C=FR




Extensions






CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[4 ou 43].[1 ou 2].[3 ou 31]



[2 : SIMPLE , 21 : MultiSAN]

extendedKeyUsage Non Critique id-kp-clientAuth


ACD 2017 :

serveur-1e-2017.crl

serveur-2e-2017.crl



ACD 2017 :

serveur-1e-2017.crt

serveur-2e-2017.crt

SubjectAltName Non critique contenu du CN du sujet Uniquement pour les MultiSAN



AA100008/PCA0012 Version 3 du 31/07/20147 / 25

2.5.5.3. CERTIFICAT CONTROLEUR DU DOMAINE

Champs de base






OU=0002 110014016


C=FR




OU=SERVEURS

OU=0002 110014016


C=FR




Extensions


Key Usage Critique KeyEncipherment

DigitalSignature

SubjectAltName Non crtique GUID :

DNS Name :







extendedKeyUsage Non Critique id-kp-serverAuth

id-kp-clientAuth


ACD 2017 :

serveur-1e-2017.crl

serveur-2e-2017.crl



ACD 2017 :

serveur-1e-2017.crt

serveur-2e-2017.crt

Certificate Template Name Non critique Domain Controller Authentication



AA100008/PCA0012 Version 3 du 31/07/20147 / 25

2.5.5.4. CERTIFICAT DE VALIDATION OCSP

Note : Les certificats OCSP sont réservés à un usage exclusif du Ministère de l'Intérieur.

Champs de base

CHAMP VALEUR REMARQUE




Issuer CN=« nom de l’AC DELEGUEE SERVEUR »

OU=0002 110014016


C=FR

Validity Notbefore : << Date d’émission >>


Subject CN= « Nom du service OCSP »

OU=0002 110014016


C=FR




Extensions

CHAMP CRITICITE VALEUR REMARQUE





CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1. 43.[1 ou 2].6



Extended Key Usage Critique id-kp-OCSPSigning


ACD 2017 :

serveur-1e-2017.crl

serveur-2e-2017.crl




ACD 2017 :

serveur-1e-2017.crt

serveur-2e-2017.crt



AA100008/PCA0012 Version 3 du 31/07/20147 / 25

2.6. FORMAT DES LAR ET LCR

2.6.1. FORMAT LAR

Champs de base


Version V2


Issuer CN= « non de l’AC émettrice »

OU=0002 110014016


C=FR

thisUpdate « Date d’émission»

nextUpdate « Date de la prochaine publication » 1 mois et une semaine après la date d’émission pour une LAR de l’AC RACINE.

RevokedCertificates

userCertificate n° de série du certificat

revocationDate date de révocation du certificat

signatureAlgorithm sha256WithRSAEncryption

signatureValue Valeur de la signature numérique

Extensions


Authority Key Identifier Non Critique hash of IssuerPublicKey

CRLnumber Non Critique Numéro de la CRL



AA100008/PCA0012 Version 3 du 31/07/20147 / 25

2.6.2. FORMAT LCR

Champs de base


Version V2


Issuer CN= « non de l’AC émettrice »

OU=0002 110014016


C=FR

thisUpdate « Date d’émission»

nextUpdate « Date de la prochaine publication » 2 jours après la date d’émission pour une LCR d’une AC Déléguée pour les ACD 2011

6 jours après la date d’émission pour une LCR d’une AC Déléguée pour les ACD 2014

RevokedCertificates

userCertificate n° de série du certificat

revocationDate date de révocation du certificat

signatureAlgorithm sha256WithRSAEncryption

signatureValue Valeur de la signature numérique

Extensions


Authority Key Identifier Non Critique hash of IssuerPublicKey

CRLnumber Non Critique Numéro de la CRL



AA100008/PCA0012 Version 3 du 31/07/20147 / 25

2.6.3. FORMAT OCSP

2.6.3.1. FORMAT DE LA REQUETE OSCP


Version V1 (0)

Requester Name Optionnel DN du demandeur Non analysé

Request List Liste des identifiants des certificats telle que définie dans la RFC 2560

Les extensions non critiques des requêtes sont ignorées

Les extensions critiques ne sont pas supportées (échec de la requête)

Signature Optionnel sha256WithRSAEncryption Non vérifiée

Extensions

champ CRITICITE VALEUR REMARQUES

Nonce Non Critique Optionnel

2.6.3.2. FORMAT DE LA REPONSE OCSP


Response Status Comme spécifié RFC 2560

Response Type id-pkix-ocsp-basic

Version V1 (0)

Responder ID DN du répondeur OCSP. DN du certificat du service de validation OCSP

Produced At Generalized Time Date où la réponse a été signée

List of Responses Chaque réponse contient certificate id; certificate status, thisUpdate, nextUpdate.

Signature sha256WithRSAEncryption

Extensions


Nonce Non Critique Valeur de l’attribut nonce de la requête

Inclus si présente dans la requête

Le Préfet,

Haut fonctionnaire de défense adjoint

ANNEXE 1 POLITIQUE DE Titre : CERTIFICATION FORMAT DES … · ANNEXE 1 POLITIQUE DE CERTIFICATION...

Documents

Transcript of ANNEXE 1 POLITIQUE DE Titre : CERTIFICATION FORMAT DES … · ANNEXE 1 POLITIQUE DE CERTIFICATION...