ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS

Transcription

1 Date : 01/08/2014 Dossier : INFRASTRUCTURE DE GESTION DE CLES MINISTERE DE L INTERIEUR Titre : ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS Références : Etat : AA100008/PCA0012 version 2 IGC-MI_PC_AC_CERTIFICATS APPROUVE Page1/36

2 VERSIONS SUCCESSIVES Version Date Objet de la modification Auteur Statut /08/2011 Création Ministère Intérieur Approuvé /08/2014 Renouvellement des AC Déléguées Ajout de nouveaux certificats serveurs Ministère Intérieur Approuvé AA100008/PCA0012 Version 2 du 01/08/2014 Page 2 / 36

3 Référence Référence Version et date Titre [IGC/A-PC] Version 2.1 du 18 août 2011 IGC/A Politique de Certification concernant les Autorités de certification racines gouvernementales OID : AA100008/PCA0012 Version 2 du 01/08/2014 Page 3 / 36

4 TABLE DES MATIERES 1. INTRODUCTION OBJET DOMAINE D'APPLICATION ACRONYMES IGC-MI DIRECTORY INFORMATION TREE DIT DE L IGC-MI DN DES CERTIFICATS POUR LA PLATE FORME DE PRODUCTION REGLES D INTERPRETATION DES DN AC RACINE ACD POLICE NATIONALE * et ** ACD ADMINISTRATION CENTRALE * et ** ACD ADMINISTRATION TERRITORIALE * et ** ACD SERVEUR * et ** CERTIFICAT UTILISATEURS FINAUX Règles pour les DN des certificats de TEST porteur émis par la plate-forme de production REGLES POUR LES DN DES CERTIFICATS POUR LA PLATE FORME DE TEST ARBORESCENCE DE CERTIFICATION DE I IGC-MI OID POLITIQUES DE CERTIFICATION OID Ministère de l intérieur Plan d attribution des OID politiques de certification pour l arborescence de production Plan d attribution des OID politiques de certification pour l arborescence de test FORMAT DES CERTIFICATS Certificat AC Racine Certificat AC Déléguée Certificats des agents Certificats Cachet Certificats Machine FORMAT DES LAR ET LCR Format LAR Format LCR Format OCSP AA100008/PCA0012 Version 2 du 01/08/2014 Page 4 / 36

5 1. INTRODUCTION 1.1. OBJET Ce document est l annexe 1 de la Politique de certification de l IGC-MI. La version 2 du présent document modifie la version 1 dans les paragraphes suivants : Présent chapitre pour ajout des nouvelles ACD générées en 2014 Paragraphe 2.2 avec l insertion des appellations des nouvelles ACD générées en 2014 Paragraphe 2.5 avec l insertion des OID liés aux nouvelles ACD générées en 2014 Paragraphe 2.6 décrivant les certificats 1.2. DOMAINE D'APPLICATION Il s applique à l IGC-MI ACRONYMES Pour les besoins du présent document, les sigles suivants s appliquent : AA Autorité Administrative AC ACD ACR AE CN DIT DN FQDN IGC IGC/A ISO LAR LCR OCSP OID PC RSA Autorité de Certification Autorité de Certification Déléguée Autorité de Certification Racine Autorité d Enregistrement Common name ; nom commun Directory Identification Tree : arborescence d informations d annuaire Distinguished Name ; nom distinctif Fully Qualified Domain Name Infrastructure de Gestion de Clés Infrastructure de Gestion de clés de l Administration International Organization for Standardization Liste des certificats d AC Révoqués Liste des Certificats Révoqués Online Certificate Status Protocol Object Identifier (Identifiant d Objet) Politique de Certification Rivest Shamir Adelman SHA-1 Secure Hash Algorithm version 1 AA100008/PCA0012 Version 2 du 01/08/2014 Page 5 / 36

6 SHA-2 Secure Hash Algorithm version 2 AA100008/PCA0012 Version 2 du 01/08/2014 Page 6 / 36

7 2. IGC-MI DIRECTORY INFORMATION TREE 2.1. DIT DE L IGC-MI L IGC MI utilise les services d annuaire pour la publication des certificats et des listes de révocation. La structure de DIT de l IGC-MI est décrite ci dessous : O = MINISTERE INTERIEUR OU = CN = AC RACINE MINISTERE INTERIEUR CN = AC POLICE NATIONALE PERSONNES 1 ETOILE CN = AC POLICE NATIONALE PERSONNES 2 ETOILES CN = AC ADMINISTRATION CENTRALE PERSONNES 1 ETOILE CN = AC ADMINISTRATION CENTRALE PERSONNES 2 ETOILES CN = AC ADMINISTRATION TERRITORIALE PERSONNES 1 ETOILE CN = AC ADMINISTRATION TERRITORIALE PERSONNES 2 ETOILES CN = AC SERVEURS 1 ETOILE CN = AC SERVEURS 2 ETOILES CN = POLICE NATIONALE 1E CN = POLICE NATIONALE 2E CN = ADMINISTRATION CENTRALE 1E CN = ADMINISTRATION CENTRALE 2E CN = ADMINISTRATION TERRITORIALE 1E CN = ADMINISTRATION TERRITORIALE 2E CN = SERVEUR 1E CN = SERVEUR 2E OU = PERSONNES CN= «Prénom Nom n RIO» SN = «Nom» GN = «Prénom» UID= «n RIO» OU = SERVEURS CN= «FQDN» CN= «Service Applicatif» 2.2. DN DES CERTIFICATS POUR LA PLATE FORME DE PRODUCTION REGLES D INTERPRETATION DES DN AC RACINE Le DN de L AC RACINE : {CN=AC RACINE MINSTERE INTERIEUR,,, } AA100008/PCA0012 Version 2 du 01/08/2014 Page 7 / 36

8 ACD POLICE NATIONALE * ET ** Le DN de L AC POLICE * 2011: {CN=AC POLICE NATIONALE PERSONNES 1 ETOILE, OU= ,, } Le DN de L AC POLICE ** 2011: {CN=AC POLICE NATIONALE PERSONNES 2 ETOILES, OU= ,, } Le DN de L AC POLICE * 2014 : {CN=POLICE NATIONALE 1E,, O=MINISTERE INTERIEUR, } Le DN de L AC POLICE ** 2014 : {CN=POLICE NATIONALE 2E,, O=MINISTERE INTERIEUR, } ACD ADMINISTRATION CENTRALE * ET ** Le DN de L AC CENTRALE * 2011: {CN=AC ADMINISTRATION CENTRALE PERSONNES 1 ETOILE,,, } Le DN de L AC CENTRALE ** 2011: {CN= AC ADMINISTRATION CENTRALE PERSONNES 2 ETOILES,,, } Le DN de L AC CENTRALE * 2014 : {CN=ADMINISTRATION CENTRALE 1E,,, } Le DN de L AC CENTRALE ** 2014 : {CN= ADMINISTRATION CENTRALE 2E,,, } ACD ADMINISTRATION TERRITORIALE * ET ** Le DN de L AC TERRITORIALE * 2011 : {CN=AC ADMINISTRATION TERRITORIALE PERSONNES 1 ETOILE,,, } Le DN de L AC TERRITORIALE ** 2011 : {CN=AC ADMINISTRATION TERRITORIALE PERSONNES 2 ETOILES,,, } Le DN de L AC TERRITORIALE * 2014 : {CN=ADMINISTRATION TERRITORIALE 1E, OU= ,, } Le DN de L AC TERRITORIALE ** 2014 : {CN=ADMINISTRATION TERRITORIALE 2E, OU= ,, } ACD SERVEUR * ET ** Le DN de L AC SERVEUR * 2011 : {CN=AC SERVEURS 1 ETOILE,,, } Le DN de L AC SERVEUR ** 2011 : {CN=AC SERVEURS 2 ETOILES,,, } Le DN de L AC SERVEUR * 2014 : {CN= SERVEUR 1E, INTERIEUR, }, O=MINISTERE Le DN de L AC SERVEUR ** 2014 : {CN=SERVEUR 2E,, O=MINISTERE INTERIEUR, } CERTIFICAT UTILISATEURS FINAUX CERTIFICATS DES PORTEURS AA100008/PCA0012 Version 2 du 01/08/2014 Page 8 / 36

9 Le DN du certificat d un porteur : {CN= «Prénom Nom n RIO», SN = «Nom», GN = «Prénom», UID = «n RIO», OU=PERSONNES,,, } CERTIFICATS DES SERVEURS Le DN d un certificat serveur de type authentification SSL/TLS est : {CN= «FQDN du serveur», OU=SERVEURS, OU=0002 «n SIRET»,, } Le DN d un certificat pour un autre service applicatif est : {CN= «Service Applicatif», OU=SERVEURS, OU=0002 «n SIRET»,, }. Dans ce cas le CN doit contenir un nom significatif du service. Le numéro SIRET est l un des numéros SIRET valide pour une entité rattachée au Ministère de l Intérieur REGLES POUR LES DN DES CERTIFICATS DE TEST PORTEUR EMIS PAR LA PLATE- FORME DE PRODUCTION Dans le cas où une AC de production souhaite émettre des certificats de test de porteur, l attribut commonname du DN du champ issuer du certificat doit également être préfixé par «TEST». Le choix du délimiteur séparant «TEST» du reste du texte renseigné dans l attribut commonname est l espace REGLES POUR LES DN DES CERTIFICATS POUR LA PLATE FORME DE TEST Les certificats d AC ou de porteurs utilisés à des fins de test doivent répondre aux mêmes exigences que celles définies pour les certificats de production. De plus, ils doivent être identifiables comme certificats de test. Pour cela la règle suivante s applique : Le nom d une AC de test (renseigné dans l attribut commonname des champs issuer et, pour les certificats d AC, dans le champ subject) doit être préfixé par «TEST». Le choix du délimiteur séparant «TEST» du reste du texte renseigné dans l attribut commonname est l espace ARBORESCENCE DE CERTIFICATION DE I IGC-MI L arborescence de certification du ministère de l intérieur est décrite ci dessous : AA100008/PCA0012 Version 2 du 01/08/2014 Page 9 / 36

10 AC RACINE IGC/A AC RACINE MINISTERE INTERIEUR AC POLICE NATIONALE PERSONNES 1 ETOILE POLICE NATIONALE 1E AC POLICE NATIONALE PERSONNES 2 ETOILES POLICE NATIONALE 2E AC ADMINISTRATION CENTRALE PERSONNES 1 ETOILE ADMINISTRATION CENTRALE 1E AC ADMINISTRATION CENTRALE PERSONNES 2 ETOILES ADMINISTRATION CENTRALE 2E AC ADMINISTRATION TERRITORIALE PERSONNES 1 ETOILE ADMINISTRATION TERRITORIALE 1E AC ADMINISTRATION TERRITORIALE PERSONNES 2 ETOILES ADMINISTRATION TERRITORIALE 2E AC SERVEURS 1 ETOILE SERVEUR 1E AC SERVEURS 2 ETOILES SERVEUR 2E AC Déléguées générées en 2011 AC Déléguées générées en 2014 AA100008/PCA0012 Version 2 du 01/08/2014 Page 10 / 36

11 2.5. OID POLITIQUES DE CERTIFICATION OID MINISTERE DE L INTERIEUR L'identifiant OID attribué par l'afnor pour le ministère de l intérieur est : Identifiant (OID) Id-MI:= { iso(1) member-body(2) fr(250) type-org(1) ministère-intérieur(152) } Identifiant (OID) Id-MI : PLAN D ATTRIBUTION DES OID POLITIQUES DE CERTIFICATION POUR L ARBORESCENCE DE PRODUCTION Le renouvellement des AC Déléguées en 2014 a donné lieu à la création de nouvelles AC Déléguées, dont l OID est distinct (dérivé de l OID original). De nouveaux usages de certificats serveurs ont aussi été introduits. Remarque : pour le niveau de confiance «une étoile», il n est pas prévu de certificats de signature ou de confidentialité (au moins dans cette phase du projet), les OID sont définies dans ces deux cas pour une éventuelle évolution. AA100008/PCA0012 Version 2 du 01/08/2014 Page 11 / 36

12 id-mi : igc : 2 igc de test : 9002 politique-certification : 1 centrale : 1 1etoile : 1 sign : 1 conf : 2 auth : 3 2etoiles : 2 sign : 1 conf : 2 auth : 3 police : 2 1etoile : 1 sign : 1 conf : 2 auth : 3 2etoiles: 2 sign : 1 conf : 2 auth : 3 territoriale : 3 1etoile : 1 sign : 1 conf : 2 auth : 3 2etoiles : 2 sign : 1 conf : 2 auth : 3 serveurs : 4 1etoile : 1 timestamp : 1 sslserver : 2 sslclient : 3 dc-ms : 4 sign : 5 ocsp : 6 xkms : 7 2etoiles : 2 centrale2014 : 12 1etoile : 1 sign : 1 conf : 2 auth : 3 2etoiles : 2 sign : 1 conf : 2 auth : 3 police2014 : 22 1etoile : 1 sign : 1 conf : 2 auth : 3 2etoiles : 2 sign : 1 conf : 2 auth : 3 territoriale2014 : 32 1etoile : 1 sign : 1 conf : 2 auth : 3 2etoiles : 2 sign : 1 conf : 2 auth : 3 timestamp : 1 sslserver : 2 sslclient : 3 dc-ms : 4 sign : 5 ocsp : 6 xkms : 7 serveurs2014 : 42 1etoile : 1 timestamp : 1 sslserver : 2 sslserver san: 21 sslclient : 3 sslclientsan : 31 dc-ms : 4 sign : 5 ocsp : 6 xkms : 7 signcode : 8 2etoiles : 2 timestamp : 1 sslserver : 2 sslserver san: 21 sslclient : 3 sslclientsan : 31 dc-ms : 4 sign : 5 ocsp : 6 xkms : 7 signcode : 8 AA100008/PCA0012 Version 2 du 01/08/2014 Page 12 / 36

13 PLAN D ATTRIBUTION DES OID POLITIQUES DE CERTIFICATION POUR L ARBORESCENCE DE TEST Le plan d attribution des OID pour l IGC de test est quasi identique à celui de l IGC de production, la différence étant que l identifiant d application est 9002 au lieu de 2. Se reporter au diagramme précédent pour le schéma. AA100008/PCA0012 Version 2 du 01/08/2014 Page 13 / 36

14 2.6. FORMAT DES CERTIFICATS CERTIFICAT AC RACINE Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN=AC RACINE MINISTERE INTERIEUR Validity Not before : << Date d émission >> NotAfter: << Date d émission + 12 années >> Subject CN=AC RACINE MINISTERE INTERIEUR Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (4096bits) SignatureValue Valeur de la signature Extensions CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique KeyCertSign, CRLSign Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Critique CA = true CertificatePolicies Non Critique OID = CPSuri = AA100008/PCA0012 Version 2 du 01/08/2014 Page 14 / 36

15 CERTIFICAT AC DELEGUEE Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN=AC RACINE MINSTERE INTERIEUR Validity Not before : << Date d émission >> NotAfter: << Date d émission + 6 years >> Subject CN= «Nom de l AC DELEGUE» Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (4096bits) SignatureValue Valeur de la signature Extensions CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique KeyCertSign CrlSign, Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Critique CA = true pathlenconstraint = 0 CertificatePolicies Non Critique OID = [1 ou 2, 3 4, 12, 22, 32, 42] CPSuri = CRLDistributionPoint Non Critique Uri = AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : Le pathlenconstraint rend invalide un certificat qui serait émis pas une sous-autorité de celle-ci. Certificat AC racine autosigné ou certificat AC Racine émis par l IGC/A Page15/36

16 CERTIFICATS DES AGENTS CERTIFICAT D AUTHENTIFICATION Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber Signature Algorithm Issuer alloué automatiquement SHA-256WithRSAEncryption CN= «Nom de l AC DELEGUE» Validity Not before : << Date d émission >> Subject Public Key Algorithm SubjectPublicKey SignatureValue NotAfter: << Date d émission + 3 années maximum>> CN= «Prénom Nom n RIO» SN = «Nom» GN = «Prénom» UID= «n RIO» OU=PERSONNES rsaencryption Clé RSA (2048bits) Valeur de la signature Extensions CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature SubjectAltName Non critique OtherName 1. OID = Value = UPN 2. OID = (Kerberos) Value : Realm, Type : 1, KRB 3. rfc822name Value = Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = [1 ou 2 3, 12, 22, 32].[1 ou 2].3 La valeur de l UPN (User Principal Name) est de la forme prenom.nom.n RIO@minint.fr et se trouve dans le RIO. Le domaine Realm est KRB.MININT.FR La valeur de KRB est de la forme prenom.nom.n RIO.KRB.MININT.FR [centrale :1 ou 12, ou police :2 ou 22, AA100008/PCA0012 Version 2 du 01/08/2014 Page 16 / 36

17 CPSuri = CRLDistributionPoint Non Critique Uri = de la crl> Extended Key Usage Non Critique id-kp-clientauth AuthorityInformation Access Non critique id-kp-smartcard-logon accessmethod : id-ad-caissuers accesslocation : du certificat > ou territoriale :3 ou 32] [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-police-nationale-1etoile.crl ac-police-nationale-2etoiles.crl ac-administration-centrale-1etoile.crl ac-administration-centrale-2etoiles.crl ac-administration-territoriale-1etoile.crl ac-administration-territoriale- 2etoiles.crl police-nationale-1e.crl police-nationale-2e.crl administration-centrale-1e.crl administration-centrale-2e.crl administration-territoriale-1e.crl administration-territoriale-2e.crl Selon l AC émettrice, le certificat est : ac-police-nationale-1etoile.crt ac-police-nationale-2etoiles.crt ac-administration-centrale-1etoile.crt ac-administration-centrale-2etoiles.crt ac-administration-territoriale-1etoile.crt ac-administration-territoriale- 2etoiles.crt police-nationale-1e.crt police-nationale-2e.crt administration-centrale-1e.crt administration-centrale-2e.crt administration-territoriale-1e.crt administration-territoriale-2e.crt CERTIFICAT DE SIGNATURE Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN= «Nom de l AC DELEGUE» AA100008/PCA0012 Version 2 du 01/08/2014 Page 17 / 36

18 Validity Not before : << Date d émission >> Subject Public Key Algorithm SubjectPublicKey SignatureValue Extensions NotAfter: << Date d émission + 3 années maximum >> CN= «Prénom Nom n RIO» SN = «Nom» GN = «Prénom» UID= «n RIO» OU=PERSONNES rsaencryption Clé RSA (2048bits) Valeur de la signature CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique nonrepudiation Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false SubjectAltName Non critique rfc822name Value = CertificatePolicies Non Critique OID = [1ou 2, 3, 12, 22, 32].[1 ou 2].1 CPSuri = CRLDistributionPoint Non Critique Uri = la crl> de [centrale :1 ou 12, ou police :2 ou 22, ou territoriale :3 ou 32,] [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-police-nationale-1etoile.crl ac-police-nationale-2etoiles.crl ac-administration-centrale- 1etoile.crl ac-administration-centrale- 2etoiles.crl ac-administration-territoriale- 1etoile.crl ac-administration-territoriale- 2etoiles.crl police-nationale-1e.crl police-nationale-2e.crl AA100008/PCA0012 Version 2 du 01/08/2014 Page 18 / 36

19 administration-centrale-1e.crl administration-centrale-2e.crl administration-territoriale-1e.crl administration-territoriale-2e.crl AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : du certificat > Selon l AC émettrice, le certificat est : ac-police-nationale-1etoile.crt ac-police-nationale-2etoiles.crt ac-administration-centrale- 1etoile.crt ac-administration-centrale- 2etoiles.crt ac-administration-territoriale- 1etoile.crt ac-administration-territoriale- 2etoiles.crt police-nationale-1e.crt police-nationale-2e.crt administration-centrale-1e.crt administration-centrale-2e.crt administration-territoriale-1e.crt administration-territoriale-2e.crt CERTIFICAT DE CHIFFREMENT Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN= «Nom de l AC DELEGUEE» Validity Not before : << Date d émission >> NotAfter: << Date d émission + 3 années >> Subject CN= «Prénom Nom n RIO» SN = «Nom» GN = «Prénom» UID= «n RIO» OU=PERSONNES AA100008/PCA0012 Version 2 du 01/08/2014 Page 19 / 36

20 Public Key Algorithm SubjectPublicKey SignatureValue Extensions rsaencryption Clé RSA (2048bits) Valeur de la signature CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique KeyEncipherment Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false SubjectAltName Non critique rfc822name Value = CertificatePolicies Non Critique OID = [1 ou 2, 3, 12, 22, 32].[1 ou 2].2 CPSuri = CRLDistributionPoint Non Critique Uri = de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : du certificat > [centrale :1 ou 12, ou police :2 ou 22, ou territoriale :3 ou 32] [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-police-nationale-1etoile.crl ac-police-nationale-2etoiles.crl ac-administration-centrale- 1etoile.crl ac-administration-centrale- 2etoiles.crl ac-administration-territoriale- 1etoile.crl ac-administration-territoriale- 2etoiles.crl police-nationale-1e.crl police-nationale-2e.crl administration-centrale-1e.crl administration-centrale-2e.crl administration-territoriale-1e.crl administration-territoriale-2e.crl Selon l AC émettrice, le certificat est : ac-police-nationale-1etoile.crt ac-police-nationale-2etoiles.crt ac-administration-centrale- 1etoile.crt ac-administration-centrale- 2etoiles.crt AA100008/PCA0012 Version 2 du 01/08/2014 Page 20 / 36

21 ac-administration-territoriale- 1etoile.crt ac-administration-territoriale- 2etoiles.crt police-nationale-1e.crt police-nationale-2e.crt administration-centrale-1e.crt administration-centrale-2e.crt administration-territoriale-1e.crt administration-territoriale-2e.crt AA100008/PCA0012 Version 2 du 01/08/2014 Page 21 / 36

22 CERTIFICATS CACHET CERTIFICAT D HORODATAGE Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter: << Date d émission + 3 années >> Subject CN= «Nom du serveur d horodatage» OU=SERVEURS Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature Extensions CHAMP CRITICITE REMARQUES Key Usage Critique DigitalSignature NonRepudiation Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = [4 ou 42].[1 ou 2].1 CPSuri = CRLDistributionPoint Non Critique Uri = de la crl> [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl Page22/36

23 Extended Key Usage Critique id-kp-timestamping AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : du certificat > serveur-1e.crl serveur-2e.crl Selon l AC émettrice, le certificat est : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt serveur-1e.crt serveur-2e.crt CERTIFICAT CACHET SIGNATURE Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter : << Date d émission + 3 années >> Subject CN= «Nom du serveur» OU=SERVEURS Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature Extensions CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature NonRepudiation Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = [4 ou 42].[1 ou 2].5 [2 étoiles :2 ou 1 étoile :1] AA100008/PCA0012 Version 2 du 01/08/2014 Page 23 / 36

24 CPSuri = CRLDistributionPoint Non Critique Uri = de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : du certificat > Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl serveur-1e.crl serveur-2e.crl Selon l AC émettrice, le certificat est : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt serveur-1e.crt serveur-2e.crt CERTIFICAT DE VALIDATION XKMS Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter : << Date d émission + 3 années >> Subject CN= «Nom du serveur» OU=SERVEURS Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature Extensions CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature NonRepudiation AA100008/PCA0012 Version 2 du 01/08/2014 Page 24 / 36

25 Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = [4 ou 42].[1 ou 2].7 CPSuri = CRLDistributionPoint Non Critique Uri = de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : du certificat > [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl serveur-1e.crl serveur-2e.crl Selon l AC émettrice, le certificat est : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt serveur-1e.crt serveur-2e.crt AA100008/PCA0012 Version 2 du 01/08/2014 Page 25 / 36

26 CERTIFICATS MACHINE CERTIFICAT AUTHENTIFICATION SSL SERVER Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter: << Date d émission + 3 années >> Subject CN= «Nom du serveur» OU=SERVEURS Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature Extensions CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature et/ou KeyEncipherment Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = [4 ou 42].[1 ou 2].2 CPSuri = Errata de l ANSSI publié le 23 avril 2012 autorisant temporairement le keyusage digitalsignature en plus de keyencipherment [2 étoiles :2 ou 1 étoile :1] Page26/36

27 extendedkeyusage Non Critique id-kp-serverauth CRLDistributionPoint Non Critique Uri = de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : du certificat > Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl serveur-1e.crl serveur-2e.crl Selon l AC émettrice, le certificat est : AC 2011 : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt serveur-1e.crt serveur-2e.crt SubjectAltName Non critique contenu du CN du sujet Uniquement pour les AC 2014 et optionnel CERTIFICAT AUTHENTIFICATION SSL CLIENT Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber Signature Algorithm alloué automatiquement SHA-256WithRSAEncryption Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter : << Date d émission + 3 années >> Subject CN= «Nom du serveur» Public Key Algorithm SubjectPublicKey SignatureValue Extensions OU=SERVEURS rsaencryption Clé RSA (2048bits) Valeur de la signature CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature AA100008/PCA0012 Version 2 du 01/08/2014 Page 27 / 36

28 Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = [4 ou 42].[1 ou 2].3 CPSuri = extendedkeyusage Non Critique id-kp-clientauth CRLDistributionPoint Non Critique Uri = de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : du certificat > [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl serveur-1e.crl serveur-2e.crl Selon l AC émettrice, le certificat est : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt serveur-1e.crt serveur-2e.crt SubjectAltName Non critique contenu du CN du sujet Uniquement pour les AC 2014 et optionnel AA100008/PCA0012 Version 2 du 01/08/2014 Page 28 / 36

29 CERTIFICAT CONTROLEUR DU DOMAINE Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber Signature Algorithm alloué automatiquement SHA-256WithRSAEncryption Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter : << Date d émission + 3 années >> Subject CN= «Nom du serveur» Public Key Algorithm SubjectPublicKey SignatureValue Extensions OU=SERVEURS rsaencryption Clé RSA (2048bits) Valeur de la signature CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique KeyEncipherment SubjectAltName Non crtique GUID : DigitalSignature DNS Name : Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = [4 ou 42].[1 ou 2].4 CPSuri = extendedkeyusage Non Critique id-kp-serverauth id-kp-clientauth CRLDistributionPoint Non Critique Uri = de la crl> [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl serveur-1e.crl serveur-2e.crl AA100008/PCA0012 Version 2 du 01/08/2014 Page 29 / 36

30 AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : du certificat > Certificate Template Name Non critique Domain Controller Authentication Selon l AC émettrice, le certificat est : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt serveur-1e.crt serveur-2e.crt CERTIFICAT DE VALIDATION OCSP Note : Les certificats OCSP sont réservés à un usage exclusif du Ministère de l'intérieur. Champs de base CHAMP VALEUR REMARQUE Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN=«nom de l AC DELEGUEE SERVEUR» Validity Notbefore : << Date d émission >> NotAfter: << Date d émission + 3 années >> Subject CN= «Nom du service OCSP» Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature Extensions CHAMP CRITICITE VALEUR REMARQUE Key Usage Critique DigitalSignature Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = [4 ou 42].[1 ou 2].6 CPSuri = [2 étoiles :2 ou 1 étoile :1] AA100008/PCA0012 Version 2 du 01/08/2014 Page 30 / 36

31 Extended Key Usage Critique id-kp-ocspsigning CRLDistributionPoint Non Critique Uri = de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : du certificat > Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl serveur-1e.crl serveur-2e.crl Selon l AC émettrice, le certificat est : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt serveur-1e.crt serveur-2e.crt AA100008/PCA0012 Version 2 du 01/08/2014 Page 31 / 36

32 CERTIFICAT AUTHENTIFICATION SSL SERVER MULTI-SAN Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter: << Date d émission + 3 années >> Subject CN= «Nom du serveur» OU=SERVEURS Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature Extensions CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature et KeyEncipherment Errata de l ANSSI publié le 23 avril 2012 autorisant temporairement le keyusage digitalsignature en plus de keyencipherment SubjectAltName Non critique DNS Name Liste des différents noms DNS Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = [1 ou 2].21 CPSuri = extendedkeyusage Non Critique id-kp-serverauth CRLDistributionPoint Non Critique Uri = de la crl> [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : serveur-1e.crl serveur-2e.crl AuthorityInformation Access Non critique accessmethod : id-ad-caissuers Selon l AC émettrice, le accesslocation : certificat est : du serveur-1e.crt certificat > AA100008/PCA0012 Version 2 du 01/08/2014 Page 32 / 36

33 serveur-2e.crt CERTIFICAT AUTHENTIFICATION SSL CLIENT MULTI SAN Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter : << Date d émission + 3 années >> Subject CN= «Nom du serveur» OU=SERVEURS Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature Extensions CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature SubjectAltName Non critique DNS Name Liste des différents noms DNS Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = [1 ou 2].3 CPSuri = extendedkeyusage Non Critique id-kp-clientauth CRLDistributionPoint Non Critique Uri = de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : du certificat > [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : serveur-1e.crl serveur-2e.crl Selon l AC émettrice, le certificat est : serveur-1e.crt serveur-2e.crt AA100008/PCA0012 Version 2 du 01/08/2014 Page 33 / 36

34 2.7. FORMAT DES LAR ET LCR FORMAT LAR Champs de base CHAMP VALEUR REMARQUES Version Signature Algorithm V2 SHA-256WithRSAEncryption Issuer CN= «non de l AC émettrice» thisupdate «Date d émission» nextupdate «Date de la prochaine publication» 1 mois et une semaine après la date d émission pour une LAR de l AC RACINE. RevokedCertificates usercertificate revocationdate n de série du certificat date de révocation du certificat signaturealgorithm signaturevalue sha256withrsaencryption Valeur de la signature numérique Extensions CHAMP CRITICITE VALEUR REMARQUES Authority Key Identifier Non Critique hash of IssuerPublicKey CRLnumber Non Critique Numéro de la CRL AA100008/PCA0012 Version 2 du 01/08/2014 Page 34 / 36

35 FORMAT LCR Champs de base CHAMP VALEUR REMARQUES Version Signature Algorithm V2 SHA-256WithRSAEncryption Issuer CN= «non de l AC émettrice» thisupdate «Date d émission» nextupdate «Date de la prochaine publication» 2 jours après la date d émission pour une LCR d une AC Déléguée pour les ACD 2011 RevokedCertificates usercertificate revocationdate n de série du certificat date de révocation du certificat 6 jours après la date d émission pour une LCR d une AC Déléguée pour les ACD 2014 signaturealgorithm signaturevalue sha256withrsaencryption Valeur de la signature numérique Extensions CHAMP CRITICITE VALEUR REMARQUES Authority Key Identifier Non Critique hash of IssuerPublicKey CRLnumber Non Critique Numéro de la CRL AA100008/PCA0012 Version 2 du 01/08/2014 Page 35 / 36

36 FORMAT OCSP FORMAT DE LA REQUETE OSCP CHAMP VALEUR REMARQUES Version V1 (0) Requester Name Optionnel DN du demandeur Non analysé Request List Liste des identifiants des certificats telle que définie dans la RFC 2560 Signature Optionnel sha256withrsaencryption Non vérifiée Les extensions non critiques des requêtes sont ignorées Les extensions critiques ne sont pas supportées (échec de la requête) Extensions champ CRITICITE VALEUR REMARQUES Nonce Non Critique Optionnel FORMAT DE LA REPONSE OCSP CHAMP VALEUR REMARQUES Response Status Comme spécifié RFC 2560 Response Type Version V1 (0) id-pkix-ocsp-basic Responder ID DN du répondeur OCSP. DN du certificat du service de validation OCSP Produced At Generalized Time Date où la réponse a été signée List of Responses Signature Extensions Chaque réponse contient certificate id; certificate status, thisupdate, nextupdate. sha256withrsaencryption CHAMP CRITICITE VALEUR REMARQUES Nonce Non Critique Valeur de l attribut nonce de la requête Inclus si présente dans la requête Le Préfet, Haut fonctionnaire de défense adjoint Philippe Riffaut AA100008/PCA0012 Version 2 du 01/08/2014 Page 36 / 36