ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS

Transcription

1 Date : 08/08/2011 Dossier : INFRASTRUCTURE DE GESTION DE CLES MINISTÈRE DE L INTÉRIEUR Titre : ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS Références : Etat : AA100008/PCA0012 version 1 IGC-MI_PC_AC_CERTIFICATS APPROUVE Page1/27

2 VERSIONS SUCCESSIVES Vers. Date Objet de la modification Auteur Statut /08/2011 Création Ministère Intérieur Validé AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 2 / 27

3 Référence Référence Version et date Titre [IGC/A-PC] Version 2.1 du 18 août 2011 IGC/A Politique de Certification concernant les Autorités de certification racines gouvernementales OID : AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 3 / 27

4 TABLE DES MATIERES 1. INTRODUCTION OBJET DOMAINE D'APPLICATION ACRONYMES IGC-MI DIRECTORY INFORMATION TREE DIT DE L IGC-MI DN DES CERTIFICATS POUR LA PLATE FORME DE PRODUCTION REGLES D INTERPRETATION DES DN AC RACINE AC POLICE * et ** AC CENTRALE * et ** AC TERRITORIALE * et ** AC SERVEUR * et ** CERTIFICAT UTILISATEURS FINAUX Règles pour les DN des certificats de TEST porteur émis par la plate-forme de production REGLES POUR LES DN DES CERTIFICATS POUR LA PLATE FORME DE TEST ARBORESCENCE DE CERTIFICATION DE I IGC-MI OID POLITIQUES DE CERTIFICATION OID Ministère de l intérieur Plan d attribution des OID politiques de certification pour l arborescence de production Plan d attribution des OID politiques de certification pour l arborescence de test FORMAT DES CERTIFICATS Certificat AC Racine Certificat AC Déléguée Certificats des agents Certificats Cachet Certificats Machine FORMAT DES LAR ET LCR Format LAR Format LCR Format OCSP...27 AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 4 / 27

5 1. INTRODUCTION 1.1. OBJET Ce document est l annexe 1 de la Politique de certification de l IGC-MI DOMAINE D'APPLICATION Il s applique à l IGC-MI ACRONYMES Pour les besoins du présent document, les sigles suivants s appliquent : AA Autorité Administrative AC ACD ACR AE CN DIT DN FQDN IGC IGC/A ISO LAR LCR OCSP OID PC RSA Autorité de Certification Autorité de Certification Déléguée Autorité de Certification Racine Autorité d Enregistrement Common name ; nom commun Directory Identification Tree : arborescence d informations d annuaire Distinguished Name ; nom distinctif Fully Qualified Domain Name Infrastructure de Gestion de Clés Infrastructure de Gestion de clés de l Administration International Organization for Standardization Liste des certificats d AC Révoqués Liste des Certificats Révoqués Online Certificate Status Protocol Object Identifier (Identifiant d Objet) Politique de Certification Rivest Shamir Adelman SHA-1 Secure Hash Algorithm version 1 SHA-2 Secure Hash Algorithm version 2 AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 5 / 27

6 2. IGC-MI DIRECTORY INFORMATION TREE 2.1. DIT DE L IGC-MI L IGC MI utilise les services d annuaire pour la publication des certificats et des listes de révocation. La structure de DIT de l IGC-MI est décrite ci dessous : 2.2. DN DES CERTIFICATS POUR LA PLATE FORME DE PRODUCTION REGLES D INTERPRETATION DES DN AC RACINE Le DN de L AC RACINE : {CN=AC RACINE MINSTERE INTERIEUR,,, } AC POLICE * ET ** Le DN de L AC POLICE * : {CN=AC POLICE NATIONALE PERSONNES 1 ETOILE, OU= ,, } Le DN de L AC POLICE ** : {CN=AC POLICE NATIONALE PERSONNES 2 ETOILES, OU= ,, } AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 6 / 27

7 AC CENTRALE * ET ** Le DN de L AC CENTRALE * : {CN=AC ADMINISTRATION CENTRALE PERSONNES 1 ETOILE,,, } Le DN de L AC CENTRALE **: {CN=AC ADMINISTRATION CENTRALE PERSONNES 2 ETOILES,,, } AC TERRITORIALE * ET ** Le DN de L AC TERRITORIALE * : {CN=AC ADMINISTRATION TERRITORIALE PERSONNES 1 ETOILE,,, } Le DN de L AC TERRITORIALE **: {CN=AC ADMINISTRATION TERRITORIALE PERSONNES 2 ETOILES,,, } AC SERVEUR * ET ** Le DN de L AC SERVEUR * : {CN=AC SERVEURS 1 ETOILE,, O=MINISTERE INTERIEUR, } Le DN de L AC SERVEUR ** : {CN=AC SERVEURS 2 ETOILES,, O=MINISTERE INTERIEUR, } CERTIFICAT UTILISATEURS FINAUX CERTIFICATS DES PORTEURS Le DN du certificat d un porteur : {CN= «Prénom Nom n RIO», SN = «Nom», GN = «Prénom», UID = «n RIO», OU=PERSONNES,, O=MINIS TERE INTERIEUR, } CERTIFICATS DES SERVEURS Le DN d un certificat serveur de type authentification SSL/TLS est : {CN= «FQDN du serveur», OU=SERVEURS, OU=0002 «n SIRET», O=MINISTERE INT ERIEUR, } Le DN d un certificat pour un autre service applicatif est : {CN= «Service Applicatif», OU=SERVEURS, OU=0002 «n SIRET»,, }. Dans ce cas le CN doit contenir un nom significatif du service. Le numéro SIRET est l un des numéros SIRET valide pour une entité rattachée au Ministère de l Intérieur REGLES POUR LES DN DES CERTIFICATS DE TEST PORTEUR EMIS PAR LA PLATE- FORME DE PRODUCTION Dans le cas où une AC de production souhaite émettre des certificats de test de porteur, l attribut commonname du DN du champ issuer du certificat doit également être préfixé par «TEST». Le choix du délimiteur séparant «TEST» du reste du texte renseigné dans l attribut commonname est l espace AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 7 / 27

8 2.3. REGLES POUR LES DN DES CERTIFICATS POUR LA PLATE FORME DE TEST Les certificats d AC ou de porteurs utilisés à des fins de test doivent répondre aux mêmes exigences que celles définies pour les certificats de production. De plus, ils doivent être identifiables comme certificats de test. Pour cela la règle suivante s applique : Le nom d une AC de test (renseigné dans l attribut commonname des champs issuer et, pour les certificats d AC, dans le champ subject) doit être préfixé par «TEST». Le choix du délimiteur séparant «TEST» du reste du texte renseigné dans l attribut commonname est l espace ARBORESCENCE DE CERTIFICATION DE I IGC-MI L arborescence de certification du ministère de l intérieur est décrite ci dessous : AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 8 / 27

9 2.5. OID POLITIQUES DE CERTIFICATION OID MINISTERE DE L INTERIEUR L'identifiant OID attribué par l'afnor pour le ministère de l intérieur est : Identifiant (OID) Id-MI:= { iso(1) member-body(2) fr(250) type-org(1) ministère-intérieur(152) } Identifiant (OID) Id-MI : PLAN D ATTRIBUTION DES OID POLITIQUES DE CERTIFICATION POUR L ARBORESCENCE DE PRODUCTION Remarque : pour le niveau de confiance «une étoile», il n est pas prévu de certificats de signature ou de confidentialité (au moins dans cette phase du projet), les OID sont définies dans ces deux cas pour une éventuelle évolution. AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 9 / 27

10 PLAN D ATTRIBUTION DES OID POLITIQUES DE CERTIFICATION POUR L ARBORESCENCE DE TEST AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 10 / 27

11 2.6. FORMAT DES CERTIFICATS CERTIFICAT AC RACINE Version 2 (version 3) CertificateSerialNumber alloué automatiquement Issuer CN=AC RACINE MINISTERE INTERIEUR Validity Not before : << Date d émission >> NotAfter: << Date d émission + 12 années >> Subject CN=AC RACINE MINISTERE INTERIEUR Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (4096bits) SignatureValue Valeur de la signature CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique KeyCertSign, CRLSign Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Critique CA = true CertificatePolicies Non Critique OID = CPSuri = AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 11 / 27

12 CERTIFICAT AC DELEGUEE Version 2 (version 3) CertificateSerialNumber alloué automatiquement Issuer CN=AC RACINE MINSTERE INTERIEUR Validity Not before : << Date d émission >> NotAfter: << Date d émission + 6 years >> Subject CN= «Nom de l AC DELEGUE» Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (4096bits) SignatureValue Valeur de la signature CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique KeyCertSign CrlSign, Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Critique CA = true pathlenconstraint = 0 CertificatePolicies Non Critique OID = [1, 2, 3 ou 4] CPSuri = CRLDistributionPoint Non Critique Uri = AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : Le pathlenconstraint rend invalide un certificat qui serait émis pas une sous-autorité de celle-ci. Certificat AC racine autosigné ou certificat AC Racine émis par l IGC/A Page12/27

13 CERTIFICATS DES AGENTS CERTIFICAT D AUTHENTIFICATION Version 2 (version 3) CertificateSerialNumber alloué automatiquement Issuer CN= «Nom de l AC DELEGUE» Validity Not before : << Date d émission >> NotAfter: << Date d émission + 3 années maximum>> Subject CN= «Prénom Nom n RIO» SN = «Nom» GN = «Prénom» UID= «n RIO» OU=PERSONNES Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature SubjectAltName Non critique OtherName OID = Value = UPN Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = [1, 2 ou 3].[1 ou 2].3 CPSuri = CRLDistributionPoint Non Critique Uri = de la crl> [centrale :1 ou police :2 ou territoriale :3] [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-police-nationale-1etoile.crl ac-police-nationale-2etoiles.crl AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 13 / 27

14 Extended Key Usage Non Critique id-kp-clientauth AuthorityInformation Access Non critique id-kp-smartcard-logon accessmethod : id-ad-caissuers accesslocation : du certificat > ac-administration-centrale-1etoile.crl ac-administration-centrale-2etoiles.crl ac-administration-territoriale-1etoile.crl ac-administration-territoriale-2etoiles.crl Selon l AC émettrice, le certificat est : ac-police-nationale-1etoile.crt ac-police-nationale-2etoiles.crt ac-administration-centrale-1etoile.crt ac-administration-centrale-2etoiles.crt ac-administration-territoriale-1etoile.crt ac-administration-territoriale-2etoiles.crt CERTIFICAT DE SIGNATURE Version 2 (version 3) CertificateSerialNumber Issuer alloué automatiquement CN= «Nom de l AC DELEGUE» Validity Not before : << Date d émission >> Subject Public Key Algorithm SubjectPublicKey SignatureValue NotAfter: << Date d émission + 3 années maximum >> CN= «Prénom Nom n RIO» SN = «Nom» GN = «Prénom» UID= «n RIO» OU=PERSONNES rsaencryption Clé RSA (2048bits) Valeur de la signature CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique nonrepudiation Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 14 / 27

15 BasicConstraint Non Critique CA = false SubjectAltName Non critique rfc822name Value = CertificatePolicies Non Critique OID = [1, 2 ou 3].[1 ou 2].1 CPSuri = CRLDistributionPoint Non Critique Uri = la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers de accesslocation : du certificat > [centrale :1 ou police :2 ou territoriale :3] [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-police-nationale-1etoile.crl ac-police-nationale-2etoiles.crl ac-administration-centrale- 1etoile.crl ac-administration-centrale- 2etoiles.crl ac-administration-territoriale- 1etoile.crl ac-administration-territoriale- 2etoiles.crl Selon l AC émettrice, le certificat est : ac-police-nationale-1etoile.crt ac-police-nationale-2etoiles.crt ac-administration-centrale- 1etoile.crt ac-administration-centrale- 2etoiles.crt ac-administration-territoriale- 1etoile.crt ac-administration-territoriale- 2etoiles.crt CERTIFICAT DE CHIFFREMENT Version 2 (version 3) CertificateSerialNumber alloué automatiquement Issuer CN= «Nom de l AC DELEGUEE» Validity Not before : << Date d émission >> NotAfter: << Date d émission + 3 années >> Subject CN= «Prénom Nom n RIO» SN = «Nom» GN = «Prénom» AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 15 / 27

16 Public Key Algorithm SubjectPublicKey SignatureValue UID= «n RIO» OU=PERSONNES rsaencryption Clé RSA (2048bits) Valeur de la signature CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique KeyEncipherment Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false SubjectAltName Non critique rfc822name Value = CertificatePolicies Non Critique OID = [1, 2 ou 3].[1 ou 2].2 CPSuri = CRLDistributionPoint Non Critique Uri = de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : du certificat > [centrale :1 ou police :2 ou territoriale :3] [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-police-nationale-1etoile.crl ac-police-nationale-2etoiles.crl ac-administration-centrale- 1etoile.crl ac-administration-centrale- 2etoiles.crl ac-administration-territoriale- 1etoile.crl ac-administration-territoriale- 2etoiles.crl Selon l AC émettrice, le certificat est : ac-police-nationale-1etoile.crt ac-police-nationale-2etoiles.crt ac-administration-centrale- 1etoile.crt ac-administration-centrale- 2etoiles.crt ac-administration-territoriale- 1etoile.crt ac-administration-territoriale- 2etoiles.crt AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 16 / 27

17 CERTIFICATS CACHET CERTIFICAT D HORODATAGE Version 2 (version 3) CertificateSerialNumber alloué automatiquement Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter: << Date d émission + 3 années >> Subject CN= «Nom du serveur d horodatage» OU=SERVEURS Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature CHAMP CRITICITE REMARQUES Key Usage Critique DigitalSignature NonRepudiation Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = [1 ou 2].1 CPSuri = CRLDistributionPoint Non Critique Uri = de la crl> Extended Key Usage Critique id-kp-timestamping [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl Page17/27

18 AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : du certificat > Selon l AC émettrice, le certificat est : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt CERTIFICAT CACHET SIGNATURE Version 2 (version 3) CertificateSerialNumber alloué automatiquement Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter : << Date d émission + 3 années >> Subject CN= «Nom du serveur» OU=SERVEURS Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature NonRepudiation Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = [1 ou 2].5 CPSuri = CRLDistributionPoint Non Critique Uri = de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : du certificat > [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl Selon l AC émettrice, le certificat est : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 18 / 27

19 CERTIFICAT DE VALIDATION XKMS Version 2 (version 3) CertificateSerialNumber alloué automatiquement Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter : << Date d émission + 3 années >> Subject CN= «Nom du serveur» OU=SERVEURS Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature NonRepudiation Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = [1 ou 2].7 CPSuri = CRLDistributionPoint Non Critique Uri = de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : du certificat > [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl Selon l AC émettrice, le certificat est : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 19 / 27

20 CERTIFICATS MACHINE CERTIFICAT AUTHENTIFICATION SSL SERVER Version 2 (version 3) CertificateSerialNumber alloué automatiquement Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter: << Date d émission + 3 années >> Subject CN= «Nom du serveur» OU=SERVEURS Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature et/ou KeyEncipherment Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = [1 ou 2].2 CPSuri = extendedkeyusage Non Critique id-kp-serverauth Errata de l ANSSI publié le 23 avril 2012 autorisant temporairement le keyusage digitalsignature en plus de keyencipherment [2 étoiles :2 ou 1 étoile :1] Page20/27

21 CRLDistributionPoint Non Critique Uri = de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : du certificat > Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl Selon l AC émettrice, le certificat est : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 21 / 27

22 CERTIFICAT AUTHENTIFICATION SSL CLIENT Version 2 (version 3) CertificateSerialNumber alloué automatiquement Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter : << Date d émission + 3 années >> Subject CN= «Nom du serveur» OU=SERVEURS Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = [1 ou 2].3 CPSuri = extendedkeyusage Non Critique id-kp-clientauth CRLDistributionPoint Non Critique Uri = de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : du certificat > [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl Selon l AC émettrice, le certificat est : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 22 / 27

23 CERTIFICAT CONTROLEUR DU DOMAINE Version 2 (version 3) CertificateSerialNumber alloué automatiquement Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter : << Date d émission + 3 années >> Subject CN= «Nom du serveur» Public Key Algorithm SubjectPublicKey SignatureValue OU=SERVEURS rsaencryption Clé RSA (2048bits) Valeur de la signature CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique KeyEncipherment SubjectAltName Non crtique GUID : DigitalSignature DNS Name : Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = [1 ou 2].4 CPSuri = extendedkeyusage Non Critique id-kp-serverauth id-kp-clientauth CRLDistributionPoint Non Critique Uri = de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : du certificat > Certificate Template Name Non critique Domain Controller Authentication [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl Selon l AC émettrice, le certificat est : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 23 / 27

24 CERTIFICAT DE VALIDATION OCSP Note : Les certificats OCSP sont réservés à un usage exclusif du Ministère de l'intérieur. CHAMP VALEUR REMARQUE Version 2 (version 3) CertificateSerialNumber alloué automatiquement Issuer CN=«nom de l AC DELEGUEE SERVEUR» Validity Notbefore : << Date d émission >> NotAfter: << Date d émission + 3 années >> Subject CN= «Nom du service OCSP» Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature CHAMP CRITICITE VALEUR REMARQUE Key Usage Critique DigitalSignature Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = [1 ou 2].6 Extended Key Usage Critique id-kp-ocspsigning CPSuri = CRLDistributionPoint Non Critique Uri = de la crl> AuthorityInformation Access Non critique [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl accessmethod : id-ad-caissuers Selon l AC émettrice, le accesslocation certificat est : : du ac-serveurs-1etoile.crt certificat > ac-serveurs-2etoiles.crt AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 24 / 27

25 2.7. FORMAT DES LAR ET LCR FORMAT LAR Version V2 Issuer CN= «non de l AC émettrice» thisupdate «Date d émission» nextupdate «Date de la prochaine publication» 1 mois et une semaine après la date d émission pour une LAR de l AC RACINE. RevokedCertificates usercertificate revocationdate n de série du certificat date de révocation du certificat signaturealgorithm signaturevalue sha256withrsaencryption Valeur de la signature numérique CHAMP CRITICITE VALEUR REMARQUES Authority Key Identifier Non Critique hash of IssuerPublicKey CRLnumber Non Critique Numéro de la CRL AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 25 / 27

26 FORMAT LCR Version V2 Issuer CN= «non de l AC émettrice» thisupdate «Date d émission» nextupdate «Date de la prochaine publication» 2 jours après la date d émission pour une LCR d une AC Déléguée. RevokedCertificates usercertificate revocationdate n de série du certificat date de révocation du certificat signaturealgorithm signaturevalue sha256withrsaencryption Valeur de la signature numérique CHAMP CRITICITE VALEUR REMARQUES Authority Key Identifier Non Critique hash of IssuerPublicKey CRLnumber Non Critique Numéro de la CRL AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 26 / 27

27 FORMAT OCSP FORMAT DE LA REQUETE OSCP Version V1 (0) Requester Name Optionnel DN du demandeur Non analysé Request List Liste des identifiants des certificats telle que définie dans la RFC 2560 Signature Optionnel sha256withrsaencryption Non vérifiée Les extensions non critiques des requêtes sont ignorées Les extensions critiques ne sont pas supportées (échec de la requête) champ CRITICITE VALEUR REMARQUES Nonce Non Critique Optionnel FORMAT DE LA REPONSE OCSP Response Status Comme spécifié RFC 2560 Response Type Version V1 (0) id-pkix-ocsp-basic Responder ID DN du répondeur OCSP. DN du certificat du service de validation OCSP Produced At Generalized Time Date où la réponse a été signée List of Responses Signature Chaque réponse contient certificate id; certificate status, thisupdate, nextupdate. sha256withrsaencryption CHAMP CRITICITE VALEUR REMARQUES Nonce Non Critique Valeur de l attribut nonce de la requête Inclus si présente dans la requête AA100008/PCA0012 Version 1.6 du 08/08/2011 Page 27 / 27