ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS

Documents pareils

IGC-CPS2bis. Gabarits des certificats X.509. des Classes 4, 5 et mars Version mars 2012 Document ASIP-Santé Page 1 / 34

Cadre de Référence de la Sécurité des Systèmes d Information

Politique de Certification

Utilisation des certificats X.509v3

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

LEGALBOX SA. - Politique de Certification -

Les certificats numériques

Architectures PKI. Sébastien VARRETTE

POLITIQUE DE CERTIFICATION DE L'AC KEYNECTIS SSL RGS * (authentification serveur) Date : 12/08/2011

Politique de Certification et Déclaration des pratiques de certifications de l autorité Tunisian Server Certificate Authority PTC BR

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Autorité de Certification OTU

Public Key Infrastructure (PKI)

Politique de certification et procédures de l autorité de certification CNRS

Politique de Certification de l'ac "ALMERYS SIGNATURE AND AUTHENTICATION CA NC" Référentiel : Sous-Référentiel : Référence : Statut :

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

Politique de Certification Autorité de Certification Signature Gamme «Signature simple»

Les infrastructures de clés publiques (PKI, IGC, ICP)

Processus 2D-Doc. Version : 1.1 Date : 16/11/2012 Pôle Convergence AGENCE NATIONALE DES TITRES SECURISÉS. Processus 2D-Doc.

CA SIC Directives de certification Certificate Practice Statement (CPS) du SIC Customer ID CA 1024 Level 2

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Politique de Certification de l'ac INFRASTRUCTURE Profil Signature de jetons d horodatage

Politique de Certification - AC SG TS 2 ETOILES Signature

Du 03 au 07 Février 2014 Tunis (Tunisie)

POLITIQUE DE CERTIFICATION AC RACINE JUSTICE

Certificats OpenTrust SSL RGS et ETSI

POLITIQUE DE CERTIFICATION DE L AC : Crédit Agricole Cards and Payments

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

CERTEUROPE ADVANCED V4 Politique de Certification V1.0 Diffusion publique

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

POLITIQUE DE CERTIFICATION DE L AC : Crédit Agricole Cards and Payments

NORMES TECHNIQUES POUR UNE INTEROPERABILITE DES CARTES D IDENTITE ELECTRONIQUES

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft

Architecture PKI en Java

Certificats Numériques Personnels RGS et/ou ETSI

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Modèle de sécurité de la Grille. Farida Fassi Master de Physique Informatique Rabat, Maroc May 2011

POLITIQUE DE CERTIFICATION. Autorité de certification «CERTEUROPE ADVANCED CA V3»

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

Une introduction à SSL

Définition d une ICP et de ses acteurs

Fonctionnement des PKI Architecture PKI

La sécurité des Réseaux Partie 7 PKI

DATE D'APPLICATION Octobre 2008

Introduction à la sécurité Cours 8 Infrastructure de clés publiques. Catalin Dima

Sécurité du Système d Information. Mini PKI

SERVICES ELECTRONIQUES DE CONFIANCE. Service de Cachet Electronique de La Poste

28/06/2013, : MPKIG034,

EJBCA PKI. Yannick Quenec'hdu Reponsable BU sécurité

Cours 14. Crypto. 2004, Marc-André Léger

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Signature électronique. Romain Kolb 31/10/2008

La sécurité dans les grilles

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole :

Politique de Certication. Certigna ID PRIS Pro

Acronymes et abréviations. Acronymes / Abbréviations. Signification

Date : 16 novembre 2011 Version : 1. 2 Nombre de pages : 13

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Sécurité des réseaux sans fil

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Gestion des Clés Publiques (PKI)

(VERSION 2.9 POUR AVIS)

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

EJBCA Le futur de la PKI

EJBCA PKI Open Source

Errata partie 2 Kit de formation Configuration d une infrastructure Active Directory avec Windows Server 2008

La citadelle électronique séminaire du 14 mars 2002

TheGreenBow IPsec VPN Client. Guide de Déploiement Options PKI. Site web: Contact:

Définition des Webservices Ordre de paiement par . Version 1.0

L'AAA, késako? Bruno Bonfils, fr.org>, Novembre Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier No5-1

Livre blanc. Sécuriser les échanges

Annexe 8. Documents et URL de référence

Le Passeport Biométrique. Benoit LEGER CISSP ISO LD

Autorité de Certification OTU

Banque Nationale de Belgique Certificate Practice Statement For External Counterparties 1

Protocole industriels de sécurité. S. Natkin Décembre 2000

Tutorial Authentification Forte Technologie des identités numériques

LISTE DES PRESTATAIRES DE CERTIFICATION ÉLECTRONIQUE QUALIFIÉS ET DES OID DES PC AUDITÉES

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Certificats et infrastructures de gestion de clés

Services de Confiance numérique en Entreprise Conférence EPITA 27 octobre 2008

TUNIS LE : 20, 21, 22 JUIN 2006

LDAP et carnet d'adresses mail

Guide de mise en œuvre d'un Smartcard logon avec une Carte de Professionnel de Santé (CPS) «ASIP Santé / PTS / PSCE» Version 2.5.

Plateforme PAYZEN. Définition de Web-services

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

TrustedBird, un client de messagerie de confiance

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009

SSL. Secure Socket Layer. R. Kobylanski janvier version 1.1 FC INPG. Protocole SSL Application avec stunnel

B1-4 Administration de réseaux

Sécurisation des accès au CRM avec un certificat client générique

Active Directory. Structure et usage

A. À propos des annuaires

DUT. Vacataire : Alain Vidal - avidal_vac@outlook.fr

Devoir Surveillé de Sécurité des Réseaux

Transcription:

Date : 01/08/2014 Dossier : INFRASTRUCTURE DE GESTION DE CLES MINISTERE DE L INTERIEUR Titre : ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS Références : Etat : AA100008/PCA0012 version 2 IGC-MI_PC_AC_CERTIFICATS APPROUVE Page1/36

VERSIONS SUCCESSIVES Version Date Objet de la modification Auteur Statut 1.0 08/08/2011 Création Ministère Intérieur Approuvé 2.0 01/08/2014 Renouvellement des AC Déléguées Ajout de nouveaux certificats serveurs Ministère Intérieur Approuvé AA100008/PCA0012 Version 2 du 01/08/2014 Page 2 / 36

Référence Référence Version et date Titre [IGC/A-PC] Version 2.1 du 18 août 2011 IGC/A Politique de Certification concernant les Autorités de certification racines gouvernementales OID : 1.2.250.1.223.1.1.2. AA100008/PCA0012 Version 2 du 01/08/2014 Page 3 / 36

TABLE DES MATIERES 1. INTRODUCTION... 5 1.1. OBJET... 5 1.2. DOMAINE D'APPLICATION... 5 1.3. ACRONYMES... 5 2. IGC-MI DIRECTORY INFORMATION TREE... 7 2.1. DIT DE L IGC-MI... 7 2.2. DN DES CERTIFICATS POUR LA PLATE FORME DE PRODUCTION... 7 2.2.1. REGLES D INTERPRETATION DES DN... 7 2.2.2. AC RACINE... 7 2.2.3. ACD POLICE NATIONALE * et **... 8 2.2.4. ACD ADMINISTRATION CENTRALE * et **... 8 2.2.5. ACD ADMINISTRATION TERRITORIALE * et **... 8 2.2.6. ACD SERVEUR * et **... 8 2.2.7. CERTIFICAT UTILISATEURS FINAUX... 8 2.2.8. Règles pour les DN des certificats de TEST porteur émis par la plate-forme de production.. 9 2.3. REGLES POUR LES DN DES CERTIFICATS POUR LA PLATE FORME DE TEST... 9 2.4. ARBORESCENCE DE CERTIFICATION DE I IGC-MI... 9 2.5. OID POLITIQUES DE CERTIFICATION... 11 2.5.1. OID Ministère de l intérieur... 11 2.5.2. Plan d attribution des OID politiques de certification pour l arborescence de production... 11 2.5.3. Plan d attribution des OID politiques de certification pour l arborescence de test... 13 2.6. FORMAT DES CERTIFICATS... 14 2.6.1. Certificat AC Racine... 14 2.6.2. Certificat AC Déléguée... 15 2.6.3. Certificats des agents... 16 2.6.4. Certificats Cachet... 22 2.6.5. Certificats Machine... 26 2.7. FORMAT DES LAR ET LCR... 34 2.7.1. Format LAR... 34 2.7.2. Format LCR... 35 2.7.3. Format OCSP... 36 AA100008/PCA0012 Version 2 du 01/08/2014 Page 4 / 36

1. INTRODUCTION 1.1. OBJET Ce document est l annexe 1 de la Politique de certification de l IGC-MI. La version 2 du présent document modifie la version 1 dans les paragraphes suivants : Présent chapitre pour ajout des nouvelles ACD générées en 2014 Paragraphe 2.2 avec l insertion des appellations des nouvelles ACD générées en 2014 Paragraphe 2.5 avec l insertion des OID liés aux nouvelles ACD générées en 2014 Paragraphe 2.6 décrivant les certificats 1.2. DOMAINE D'APPLICATION Il s applique à l IGC-MI. 1.3. ACRONYMES Pour les besoins du présent document, les sigles suivants s appliquent : AA Autorité Administrative AC ACD ACR AE CN DIT DN FQDN IGC IGC/A ISO LAR LCR OCSP OID PC RSA Autorité de Certification Autorité de Certification Déléguée Autorité de Certification Racine Autorité d Enregistrement Common name ; nom commun Directory Identification Tree : arborescence d informations d annuaire Distinguished Name ; nom distinctif Fully Qualified Domain Name Infrastructure de Gestion de Clés Infrastructure de Gestion de clés de l Administration International Organization for Standardization Liste des certificats d AC Révoqués Liste des Certificats Révoqués Online Certificate Status Protocol Object Identifier (Identifiant d Objet) Politique de Certification Rivest Shamir Adelman SHA-1 Secure Hash Algorithm version 1 AA100008/PCA0012 Version 2 du 01/08/2014 Page 5 / 36

SHA-2 Secure Hash Algorithm version 2 AA100008/PCA0012 Version 2 du 01/08/2014 Page 6 / 36

2. IGC-MI DIRECTORY INFORMATION TREE 2.1. DIT DE L IGC-MI L IGC MI utilise les services d annuaire pour la publication des certificats et des listes de révocation. La structure de DIT de l IGC-MI est décrite ci dessous : O = MINISTERE INTERIEUR OU = 0002 110014016 CN = AC RACINE MINISTERE INTERIEUR CN = AC POLICE NATIONALE PERSONNES 1 ETOILE CN = AC POLICE NATIONALE PERSONNES 2 ETOILES CN = AC ADMINISTRATION CENTRALE PERSONNES 1 ETOILE CN = AC ADMINISTRATION CENTRALE PERSONNES 2 ETOILES CN = AC ADMINISTRATION TERRITORIALE PERSONNES 1 ETOILE CN = AC ADMINISTRATION TERRITORIALE PERSONNES 2 ETOILES CN = AC SERVEURS 1 ETOILE CN = AC SERVEURS 2 ETOILES CN = POLICE NATIONALE 1E CN = POLICE NATIONALE 2E CN = ADMINISTRATION CENTRALE 1E CN = ADMINISTRATION CENTRALE 2E CN = ADMINISTRATION TERRITORIALE 1E CN = ADMINISTRATION TERRITORIALE 2E CN = SERVEUR 1E CN = SERVEUR 2E OU = PERSONNES CN= «Prénom Nom n RIO» SN = «Nom» GN = «Prénom» UID= «n RIO» OU = SERVEURS CN= «FQDN» CN= «Service Applicatif» 2.2. DN DES CERTIFICATS POUR LA PLATE FORME DE PRODUCTION 2.2.1. REGLES D INTERPRETATION DES DN 2.2.2. AC RACINE Le DN de L AC RACINE : {CN=AC RACINE MINSTERE INTERIEUR,,, } AA100008/PCA0012 Version 2 du 01/08/2014 Page 7 / 36

2.2.3. ACD POLICE NATIONALE * ET ** Le DN de L AC POLICE * 2011: {CN=AC POLICE NATIONALE PERSONNES 1 ETOILE, OU=0002 110014016,, } Le DN de L AC POLICE ** 2011: {CN=AC POLICE NATIONALE PERSONNES 2 ETOILES, OU=0002 110014016,, } Le DN de L AC POLICE * 2014 : {CN=POLICE NATIONALE 1E,, O=MINISTERE INTERIEUR, } Le DN de L AC POLICE ** 2014 : {CN=POLICE NATIONALE 2E,, O=MINISTERE INTERIEUR, } 2.2.4. ACD ADMINISTRATION CENTRALE * ET ** Le DN de L AC CENTRALE * 2011: {CN=AC ADMINISTRATION CENTRALE PERSONNES 1 ETOILE,,, } Le DN de L AC CENTRALE ** 2011: {CN= AC ADMINISTRATION CENTRALE PERSONNES 2 ETOILES,,, } Le DN de L AC CENTRALE * 2014 : {CN=ADMINISTRATION CENTRALE 1E,,, } Le DN de L AC CENTRALE ** 2014 : {CN= ADMINISTRATION CENTRALE 2E,,, } 2.2.5. ACD ADMINISTRATION TERRITORIALE * ET ** Le DN de L AC TERRITORIALE * 2011 : {CN=AC ADMINISTRATION TERRITORIALE PERSONNES 1 ETOILE,,, } Le DN de L AC TERRITORIALE ** 2011 : {CN=AC ADMINISTRATION TERRITORIALE PERSONNES 2 ETOILES,,, } Le DN de L AC TERRITORIALE * 2014 : {CN=ADMINISTRATION TERRITORIALE 1E, OU=0002 110014016,, } Le DN de L AC TERRITORIALE ** 2014 : {CN=ADMINISTRATION TERRITORIALE 2E, OU=0002 110014016,, } 2.2.6. ACD SERVEUR * ET ** Le DN de L AC SERVEUR * 2011 : {CN=AC SERVEURS 1 ETOILE,,, } Le DN de L AC SERVEUR ** 2011 : {CN=AC SERVEURS 2 ETOILES,,, } Le DN de L AC SERVEUR * 2014 : {CN= SERVEUR 1E, INTERIEUR, }, O=MINISTERE Le DN de L AC SERVEUR ** 2014 : {CN=SERVEUR 2E,, O=MINISTERE INTERIEUR, } 2.2.7. CERTIFICAT UTILISATEURS FINAUX 2.2.7.1. CERTIFICATS DES PORTEURS AA100008/PCA0012 Version 2 du 01/08/2014 Page 8 / 36

Le DN du certificat d un porteur : {CN= «Prénom Nom n RIO», SN = «Nom», GN = «Prénom», UID = «n RIO», OU=PERSONNES,,, } 2.2.7.2. CERTIFICATS DES SERVEURS Le DN d un certificat serveur de type authentification SSL/TLS est : {CN= «FQDN du serveur», OU=SERVEURS, OU=0002 «n SIRET»,, } Le DN d un certificat pour un autre service applicatif est : {CN= «Service Applicatif», OU=SERVEURS, OU=0002 «n SIRET»,, }. Dans ce cas le CN doit contenir un nom significatif du service. Le numéro SIRET est l un des numéros SIRET valide pour une entité rattachée au Ministère de l Intérieur. 2.2.8. REGLES POUR LES DN DES CERTIFICATS DE TEST PORTEUR EMIS PAR LA PLATE- FORME DE PRODUCTION Dans le cas où une AC de production souhaite émettre des certificats de test de porteur, l attribut commonname du DN du champ issuer du certificat doit également être préfixé par «TEST». Le choix du délimiteur séparant «TEST» du reste du texte renseigné dans l attribut commonname est l espace. 2.3. REGLES POUR LES DN DES CERTIFICATS POUR LA PLATE FORME DE TEST Les certificats d AC ou de porteurs utilisés à des fins de test doivent répondre aux mêmes exigences que celles définies pour les certificats de production. De plus, ils doivent être identifiables comme certificats de test. Pour cela la règle suivante s applique : Le nom d une AC de test (renseigné dans l attribut commonname des champs issuer et, pour les certificats d AC, dans le champ subject) doit être préfixé par «TEST». Le choix du délimiteur séparant «TEST» du reste du texte renseigné dans l attribut commonname est l espace. 2.4. ARBORESCENCE DE CERTIFICATION DE I IGC-MI L arborescence de certification du ministère de l intérieur est décrite ci dessous : AA100008/PCA0012 Version 2 du 01/08/2014 Page 9 / 36

AC RACINE IGC/A AC RACINE MINISTERE INTERIEUR AC POLICE NATIONALE PERSONNES 1 ETOILE POLICE NATIONALE 1E AC POLICE NATIONALE PERSONNES 2 ETOILES POLICE NATIONALE 2E AC ADMINISTRATION CENTRALE PERSONNES 1 ETOILE ADMINISTRATION CENTRALE 1E AC ADMINISTRATION CENTRALE PERSONNES 2 ETOILES ADMINISTRATION CENTRALE 2E AC ADMINISTRATION TERRITORIALE PERSONNES 1 ETOILE ADMINISTRATION TERRITORIALE 1E AC ADMINISTRATION TERRITORIALE PERSONNES 2 ETOILES ADMINISTRATION TERRITORIALE 2E AC SERVEURS 1 ETOILE SERVEUR 1E AC SERVEURS 2 ETOILES SERVEUR 2E AC Déléguées générées en 2011 AC Déléguées générées en 2014 AA100008/PCA0012 Version 2 du 01/08/2014 Page 10 / 36

2.5. OID POLITIQUES DE CERTIFICATION 2.5.1. OID MINISTERE DE L INTERIEUR L'identifiant OID attribué par l'afnor pour le ministère de l intérieur est : Identifiant (OID) Id-MI:= { iso(1) member-body(2) fr(250) type-org(1) ministère-intérieur(152) } Identifiant (OID) Id-MI : 1.2.250.1.152. 2.5.2. PLAN D ATTRIBUTION DES OID POLITIQUES DE CERTIFICATION POUR L ARBORESCENCE DE PRODUCTION Le renouvellement des AC Déléguées en 2014 a donné lieu à la création de nouvelles AC Déléguées, dont l OID est distinct (dérivé de l OID original). De nouveaux usages de certificats serveurs ont aussi été introduits. Remarque : pour le niveau de confiance «une étoile», il n est pas prévu de certificats de signature ou de confidentialité (au moins dans cette phase du projet), les OID sont définies dans ces deux cas pour une éventuelle évolution. AA100008/PCA0012 Version 2 du 01/08/2014 Page 11 / 36

id-mi : 1.2.250.1.152 igc : 2 igc de test : 9002 politique-certification : 1 centrale : 1 1etoile : 1 sign : 1 conf : 2 auth : 3 2etoiles : 2 sign : 1 conf : 2 auth : 3 police : 2 1etoile : 1 sign : 1 conf : 2 auth : 3 2etoiles: 2 sign : 1 conf : 2 auth : 3 territoriale : 3 1etoile : 1 sign : 1 conf : 2 auth : 3 2etoiles : 2 sign : 1 conf : 2 auth : 3 serveurs : 4 1etoile : 1 timestamp : 1 sslserver : 2 sslclient : 3 dc-ms : 4 sign : 5 ocsp : 6 xkms : 7 2etoiles : 2 centrale2014 : 12 1etoile : 1 sign : 1 conf : 2 auth : 3 2etoiles : 2 sign : 1 conf : 2 auth : 3 police2014 : 22 1etoile : 1 sign : 1 conf : 2 auth : 3 2etoiles : 2 sign : 1 conf : 2 auth : 3 territoriale2014 : 32 1etoile : 1 sign : 1 conf : 2 auth : 3 2etoiles : 2 sign : 1 conf : 2 auth : 3 timestamp : 1 sslserver : 2 sslclient : 3 dc-ms : 4 sign : 5 ocsp : 6 xkms : 7 serveurs2014 : 42 1etoile : 1 timestamp : 1 sslserver : 2 sslserver san: 21 sslclient : 3 sslclientsan : 31 dc-ms : 4 sign : 5 ocsp : 6 xkms : 7 signcode : 8 2etoiles : 2 timestamp : 1 sslserver : 2 sslserver san: 21 sslclient : 3 sslclientsan : 31 dc-ms : 4 sign : 5 ocsp : 6 xkms : 7 signcode : 8 AA100008/PCA0012 Version 2 du 01/08/2014 Page 12 / 36

2.5.3. PLAN D ATTRIBUTION DES OID POLITIQUES DE CERTIFICATION POUR L ARBORESCENCE DE TEST Le plan d attribution des OID pour l IGC de test est quasi identique à celui de l IGC de production, la différence étant que l identifiant d application est 9002 au lieu de 2. Se reporter au diagramme précédent pour le schéma. AA100008/PCA0012 Version 2 du 01/08/2014 Page 13 / 36

2.6. FORMAT DES CERTIFICATS 2.6.1. CERTIFICAT AC RACINE Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN=AC RACINE MINISTERE INTERIEUR Validity Not before : << Date d émission >> NotAfter: << Date d émission + 12 années >> Subject CN=AC RACINE MINISTERE INTERIEUR Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (4096bits) SignatureValue Valeur de la signature Extensions CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique KeyCertSign, CRLSign Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Critique CA = true CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1 CPSuri = http://www.igc.interieur.gouv.fr AA100008/PCA0012 Version 2 du 01/08/2014 Page 14 / 36

2.6.2. CERTIFICAT AC DELEGUEE Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN=AC RACINE MINSTERE INTERIEUR Validity Not before : << Date d émission >> NotAfter: << Date d émission + 6 years >> Subject CN= «Nom de l AC DELEGUE» Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (4096bits) SignatureValue Valeur de la signature Extensions CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique KeyCertSign CrlSign, Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Critique CA = true pathlenconstraint = 0 CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[1 ou 2, 3 4, 12, 22, 32, 42] CPSuri = http://www.igc.interieur.gouv.fr CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/arlacr-ministere-interieur.crl AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : http://crl.interieur.gouv.fr/acrministere-interieur.crt Le pathlenconstraint rend invalide un certificat qui serait émis pas une sous-autorité de celle-ci. Certificat AC racine autosigné ou certificat AC Racine émis par l IGC/A Page15/36

2.6.3. CERTIFICATS DES AGENTS 2.6.3.1. CERTIFICAT D AUTHENTIFICATION Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber Signature Algorithm Issuer alloué automatiquement SHA-256WithRSAEncryption CN= «Nom de l AC DELEGUE» Validity Not before : << Date d émission >> Subject Public Key Algorithm SubjectPublicKey SignatureValue NotAfter: << Date d émission + 3 années maximum>> CN= «Prénom Nom n RIO» SN = «Nom» GN = «Prénom» UID= «n RIO» OU=PERSONNES rsaencryption Clé RSA (2048bits) Valeur de la signature Extensions CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature SubjectAltName Non critique OtherName 1. OID = 1.3.6.1.4.1.311.20.2.3 Value = UPN 2. OID = 1.3.6.1.5.2.2 (Kerberos) Value : Realm, Type : 1, KRB 3. rfc822name Value = email Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[1 ou 2 3, 12, 22, 32].[1 ou 2].3 La valeur de l UPN (User Principal Name) est de la forme prenom.nom.n RIO@minint.fr et se trouve dans le RIO. Le domaine Realm est KRB.MININT.FR La valeur de KRB est de la forme prenom.nom.n RIO.KRB.MININT.FR [centrale :1 ou 12, ou police :2 ou 22, AA100008/PCA0012 Version 2 du 01/08/2014 Page 16 / 36

CPSuri = http://www.igc.interieur.gouv.fr CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl> Extended Key Usage Non Critique id-kp-clientauth AuthorityInformation Access Non critique id-kp-smartcard-logon accessmethod : id-ad-caissuers accesslocation : http://crl.interieur.gouv.fr/<nom du certificat > ou territoriale :3 ou 32] [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-police-nationale-1etoile.crl ac-police-nationale-2etoiles.crl ac-administration-centrale-1etoile.crl ac-administration-centrale-2etoiles.crl ac-administration-territoriale-1etoile.crl ac-administration-territoriale- 2etoiles.crl police-nationale-1e.crl police-nationale-2e.crl administration-centrale-1e.crl administration-centrale-2e.crl administration-territoriale-1e.crl administration-territoriale-2e.crl Selon l AC émettrice, le certificat est : ac-police-nationale-1etoile.crt ac-police-nationale-2etoiles.crt ac-administration-centrale-1etoile.crt ac-administration-centrale-2etoiles.crt ac-administration-territoriale-1etoile.crt ac-administration-territoriale- 2etoiles.crt police-nationale-1e.crt police-nationale-2e.crt administration-centrale-1e.crt administration-centrale-2e.crt administration-territoriale-1e.crt administration-territoriale-2e.crt 2.6.3.2. CERTIFICAT DE SIGNATURE Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN= «Nom de l AC DELEGUE» AA100008/PCA0012 Version 2 du 01/08/2014 Page 17 / 36

Validity Not before : << Date d émission >> Subject Public Key Algorithm SubjectPublicKey SignatureValue Extensions NotAfter: << Date d émission + 3 années maximum >> CN= «Prénom Nom n RIO» SN = «Nom» GN = «Prénom» UID= «n RIO» OU=PERSONNES rsaencryption Clé RSA (2048bits) Valeur de la signature CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique nonrepudiation Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false SubjectAltName Non critique rfc822name Value = email CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[1ou 2, 3, 12, 22, 32].[1 ou 2].1 CPSuri = http://www.igc.interieur.gouv.fr CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom la crl> de [centrale :1 ou 12, ou police :2 ou 22, ou territoriale :3 ou 32,] [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-police-nationale-1etoile.crl ac-police-nationale-2etoiles.crl ac-administration-centrale- 1etoile.crl ac-administration-centrale- 2etoiles.crl ac-administration-territoriale- 1etoile.crl ac-administration-territoriale- 2etoiles.crl police-nationale-1e.crl police-nationale-2e.crl AA100008/PCA0012 Version 2 du 01/08/2014 Page 18 / 36

administration-centrale-1e.crl administration-centrale-2e.crl administration-territoriale-1e.crl administration-territoriale-2e.crl AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : http://crl.interieur.gouv.fr/<nom du certificat > Selon l AC émettrice, le certificat est : ac-police-nationale-1etoile.crt ac-police-nationale-2etoiles.crt ac-administration-centrale- 1etoile.crt ac-administration-centrale- 2etoiles.crt ac-administration-territoriale- 1etoile.crt ac-administration-territoriale- 2etoiles.crt police-nationale-1e.crt police-nationale-2e.crt administration-centrale-1e.crt administration-centrale-2e.crt administration-territoriale-1e.crt administration-territoriale-2e.crt 2.6.3.3. CERTIFICAT DE CHIFFREMENT Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN= «Nom de l AC DELEGUEE» Validity Not before : << Date d émission >> NotAfter: << Date d émission + 3 années >> Subject CN= «Prénom Nom n RIO» SN = «Nom» GN = «Prénom» UID= «n RIO» OU=PERSONNES AA100008/PCA0012 Version 2 du 01/08/2014 Page 19 / 36

Public Key Algorithm SubjectPublicKey SignatureValue Extensions rsaencryption Clé RSA (2048bits) Valeur de la signature CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique KeyEncipherment Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false SubjectAltName Non critique rfc822name Value = email CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[1 ou 2, 3, 12, 22, 32].[1 ou 2].2 CPSuri = http://www.igc.interieur.gouv.fr CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : http://crl.interieur.gouv.fr/<nom du certificat > [centrale :1 ou 12, ou police :2 ou 22, ou territoriale :3 ou 32] [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-police-nationale-1etoile.crl ac-police-nationale-2etoiles.crl ac-administration-centrale- 1etoile.crl ac-administration-centrale- 2etoiles.crl ac-administration-territoriale- 1etoile.crl ac-administration-territoriale- 2etoiles.crl police-nationale-1e.crl police-nationale-2e.crl administration-centrale-1e.crl administration-centrale-2e.crl administration-territoriale-1e.crl administration-territoriale-2e.crl Selon l AC émettrice, le certificat est : ac-police-nationale-1etoile.crt ac-police-nationale-2etoiles.crt ac-administration-centrale- 1etoile.crt ac-administration-centrale- 2etoiles.crt AA100008/PCA0012 Version 2 du 01/08/2014 Page 20 / 36

ac-administration-territoriale- 1etoile.crt ac-administration-territoriale- 2etoiles.crt police-nationale-1e.crt police-nationale-2e.crt administration-centrale-1e.crt administration-centrale-2e.crt administration-territoriale-1e.crt administration-territoriale-2e.crt AA100008/PCA0012 Version 2 du 01/08/2014 Page 21 / 36

2.6.4. CERTIFICATS CACHET 2.6.4.1. CERTIFICAT D HORODATAGE Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter: << Date d émission + 3 années >> Subject CN= «Nom du serveur d horodatage» OU=SERVEURS Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature Extensions CHAMP CRITICITE REMARQUES Key Usage Critique DigitalSignature NonRepudiation Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[4 ou 42].[1 ou 2].1 CPSuri = http://www.igc.interieur.gouv.fr CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl> [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl Page22/36

Extended Key Usage Critique id-kp-timestamping AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : http://crl.interieur.gouv.fr/<nom du certificat > serveur-1e.crl serveur-2e.crl Selon l AC émettrice, le certificat est : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt serveur-1e.crt serveur-2e.crt 2.6.4.2. CERTIFICAT CACHET SIGNATURE Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter : << Date d émission + 3 années >> Subject CN= «Nom du serveur» OU=SERVEURS Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature Extensions CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature NonRepudiation Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[4 ou 42].[1 ou 2].5 [2 étoiles :2 ou 1 étoile :1] AA100008/PCA0012 Version 2 du 01/08/2014 Page 23 / 36

CPSuri = http://www.igc.interieur.gouv.fr CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : http://crl.interieur.gouv.fr/<nom du certificat > Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl serveur-1e.crl serveur-2e.crl Selon l AC émettrice, le certificat est : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt serveur-1e.crt serveur-2e.crt 2.6.4.3. CERTIFICAT DE VALIDATION XKMS Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter : << Date d émission + 3 années >> Subject CN= «Nom du serveur» OU=SERVEURS Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature Extensions CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature NonRepudiation AA100008/PCA0012 Version 2 du 01/08/2014 Page 24 / 36

Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[4 ou 42].[1 ou 2].7 CPSuri = http://www.igc.interieur.gouv.fr CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : http://crl.interieur.gouv.fr/<nom du certificat > [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl serveur-1e.crl serveur-2e.crl Selon l AC émettrice, le certificat est : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt serveur-1e.crt serveur-2e.crt AA100008/PCA0012 Version 2 du 01/08/2014 Page 25 / 36

2.6.5. CERTIFICATS MACHINE 2.6.5.1. CERTIFICAT AUTHENTIFICATION SSL SERVER Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter: << Date d émission + 3 années >> Subject CN= «Nom du serveur» OU=SERVEURS Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature Extensions CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature et/ou KeyEncipherment Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[4 ou 42].[1 ou 2].2 CPSuri = http://www.igc.interieur.gouv.fr Errata de l ANSSI publié le 23 avril 2012 autorisant temporairement le keyusage digitalsignature en plus de keyencipherment [2 étoiles :2 ou 1 étoile :1] Page26/36

extendedkeyusage Non Critique id-kp-serverauth CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : http://crl.interieur.gouv.fr/<nom du certificat > Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl serveur-1e.crl serveur-2e.crl Selon l AC émettrice, le certificat est : AC 2011 : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt serveur-1e.crt serveur-2e.crt SubjectAltName Non critique contenu du CN du sujet Uniquement pour les AC 2014 et optionnel 2.6.5.2. CERTIFICAT AUTHENTIFICATION SSL CLIENT Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber Signature Algorithm alloué automatiquement SHA-256WithRSAEncryption Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter : << Date d émission + 3 années >> Subject CN= «Nom du serveur» Public Key Algorithm SubjectPublicKey SignatureValue Extensions OU=SERVEURS rsaencryption Clé RSA (2048bits) Valeur de la signature CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature AA100008/PCA0012 Version 2 du 01/08/2014 Page 27 / 36

Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[4 ou 42].[1 ou 2].3 CPSuri = http://www.igc.interieur.gouv.fr extendedkeyusage Non Critique id-kp-clientauth CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : http://crl.interieur.gouv.fr/<nom du certificat > [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl serveur-1e.crl serveur-2e.crl Selon l AC émettrice, le certificat est : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt serveur-1e.crt serveur-2e.crt SubjectAltName Non critique contenu du CN du sujet Uniquement pour les AC 2014 et optionnel AA100008/PCA0012 Version 2 du 01/08/2014 Page 28 / 36

2.6.5.3. CERTIFICAT CONTROLEUR DU DOMAINE Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber Signature Algorithm alloué automatiquement SHA-256WithRSAEncryption Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter : << Date d émission + 3 années >> Subject CN= «Nom du serveur» Public Key Algorithm SubjectPublicKey SignatureValue Extensions OU=SERVEURS rsaencryption Clé RSA (2048bits) Valeur de la signature CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique KeyEncipherment SubjectAltName Non crtique GUID : DigitalSignature DNS Name : Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[4 ou 42].[1 ou 2].4 CPSuri = http://www.igc.interieur.gouv.fr extendedkeyusage Non Critique id-kp-serverauth id-kp-clientauth CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl> [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl serveur-1e.crl serveur-2e.crl AA100008/PCA0012 Version 2 du 01/08/2014 Page 29 / 36

AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : http://crl.interieur.gouv.fr/<nom du certificat > Certificate Template Name Non critique Domain Controller Authentication Selon l AC émettrice, le certificat est : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt serveur-1e.crt serveur-2e.crt 2.6.5.4. CERTIFICAT DE VALIDATION OCSP Note : Les certificats OCSP sont réservés à un usage exclusif du Ministère de l'intérieur. Champs de base CHAMP VALEUR REMARQUE Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN=«nom de l AC DELEGUEE SERVEUR» Validity Notbefore : << Date d émission >> NotAfter: << Date d émission + 3 années >> Subject CN= «Nom du service OCSP» Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature Extensions CHAMP CRITICITE VALEUR REMARQUE Key Usage Critique DigitalSignature Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[4 ou 42].[1 ou 2].6 CPSuri = http://www.igc.interieur.gouv.fr [2 étoiles :2 ou 1 étoile :1] AA100008/PCA0012 Version 2 du 01/08/2014 Page 30 / 36

Extended Key Usage Critique id-kp-ocspsigning CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : http://crl.interieur.gouv.fr/<nom du certificat > Selon l AC émettrice, la CRL est : ac-serveurs-1etoile.crl ac-serveurs-2etoiles.crl serveur-1e.crl serveur-2e.crl Selon l AC émettrice, le certificat est : ac-serveurs-1etoile.crt ac-serveurs-2etoiles.crt serveur-1e.crt serveur-2e.crt AA100008/PCA0012 Version 2 du 01/08/2014 Page 31 / 36

2.6.5.5. CERTIFICAT AUTHENTIFICATION SSL SERVER MULTI-SAN Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter: << Date d émission + 3 années >> Subject CN= «Nom du serveur» OU=SERVEURS Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature Extensions CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature et KeyEncipherment Errata de l ANSSI publié le 23 avril 2012 autorisant temporairement le keyusage digitalsignature en plus de keyencipherment SubjectAltName Non critique DNS Name Liste des différents noms DNS Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.42.[1 ou 2].21 CPSuri = http://www.igc.interieur.gouv.fr extendedkeyusage Non Critique id-kp-serverauth CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl> [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : serveur-1e.crl serveur-2e.crl AuthorityInformation Access Non critique accessmethod : id-ad-caissuers Selon l AC émettrice, le accesslocation : certificat est : http://crl.interieur.gouv.fr/<nom du serveur-1e.crt certificat > AA100008/PCA0012 Version 2 du 01/08/2014 Page 32 / 36

serveur-2e.crt 2.6.5.6. CERTIFICAT AUTHENTIFICATION SSL CLIENT MULTI SAN Champs de base CHAMP VALEUR REMARQUES Version 2 (version 3) CertificateSerialNumber alloué automatiquement Signature Algorithm SHA-256WithRSAEncryption Issuer CN= «nom de l AC DELEGUEE SERVEUR» Validity Not before : << Date d émission >> NotAfter : << Date d émission + 3 années >> Subject CN= «Nom du serveur» OU=SERVEURS Public Key Algorithm rsaencryption SubjectPublicKey Clé RSA (2048bits) SignatureValue Valeur de la signature Extensions CHAMP CRITICITE VALEUR REMARQUES Key Usage Critique DigitalSignature SubjectAltName Non critique DNS Name Liste des différents noms DNS Authority Key identifier Non Critique hash of IssuerPublicKey Subject Key identifier Non Critique hash of SubjectPublicKey BasicConstraint Non Critique CA = false CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.42.[1 ou 2].3 CPSuri = http://www.igc.interieur.gouv.fr extendedkeyusage Non Critique id-kp-clientauth CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl> AuthorityInformation Access Non critique accessmethod : id-ad-caissuers accesslocation : http://crl.interieur.gouv.fr/<nom du certificat > [2 étoiles :2 ou 1 étoile :1] Selon l AC émettrice, la CRL est : serveur-1e.crl serveur-2e.crl Selon l AC émettrice, le certificat est : serveur-1e.crt serveur-2e.crt AA100008/PCA0012 Version 2 du 01/08/2014 Page 33 / 36

2.7. FORMAT DES LAR ET LCR 2.7.1. FORMAT LAR Champs de base CHAMP VALEUR REMARQUES Version Signature Algorithm V2 SHA-256WithRSAEncryption Issuer CN= «non de l AC émettrice» thisupdate «Date d émission» nextupdate «Date de la prochaine publication» 1 mois et une semaine après la date d émission pour une LAR de l AC RACINE. RevokedCertificates usercertificate revocationdate n de série du certificat date de révocation du certificat signaturealgorithm signaturevalue sha256withrsaencryption Valeur de la signature numérique Extensions CHAMP CRITICITE VALEUR REMARQUES Authority Key Identifier Non Critique hash of IssuerPublicKey CRLnumber Non Critique Numéro de la CRL AA100008/PCA0012 Version 2 du 01/08/2014 Page 34 / 36

2.7.2. FORMAT LCR Champs de base CHAMP VALEUR REMARQUES Version Signature Algorithm V2 SHA-256WithRSAEncryption Issuer CN= «non de l AC émettrice» thisupdate «Date d émission» nextupdate «Date de la prochaine publication» 2 jours après la date d émission pour une LCR d une AC Déléguée pour les ACD 2011 RevokedCertificates usercertificate revocationdate n de série du certificat date de révocation du certificat 6 jours après la date d émission pour une LCR d une AC Déléguée pour les ACD 2014 signaturealgorithm signaturevalue sha256withrsaencryption Valeur de la signature numérique Extensions CHAMP CRITICITE VALEUR REMARQUES Authority Key Identifier Non Critique hash of IssuerPublicKey CRLnumber Non Critique Numéro de la CRL AA100008/PCA0012 Version 2 du 01/08/2014 Page 35 / 36

2.7.3. FORMAT OCSP 2.7.3.1. FORMAT DE LA REQUETE OSCP CHAMP VALEUR REMARQUES Version V1 (0) Requester Name Optionnel DN du demandeur Non analysé Request List Liste des identifiants des certificats telle que définie dans la RFC 2560 Signature Optionnel sha256withrsaencryption Non vérifiée Les extensions non critiques des requêtes sont ignorées Les extensions critiques ne sont pas supportées (échec de la requête) Extensions champ CRITICITE VALEUR REMARQUES Nonce Non Critique Optionnel 2.7.3.2. FORMAT DE LA REPONSE OCSP CHAMP VALEUR REMARQUES Response Status Comme spécifié RFC 2560 Response Type Version V1 (0) id-pkix-ocsp-basic Responder ID DN du répondeur OCSP. DN du certificat du service de validation OCSP Produced At Generalized Time Date où la réponse a été signée List of Responses Signature Extensions Chaque réponse contient certificate id; certificate status, thisupdate, nextupdate. sha256withrsaencryption CHAMP CRITICITE VALEUR REMARQUES Nonce Non Critique Valeur de l attribut nonce de la requête Inclus si présente dans la requête Le Préfet, Haut fonctionnaire de défense adjoint Philippe Riffaut AA100008/PCA0012 Version 2 du 01/08/2014 Page 36 / 36