私はデジタル署名を実装するためにOpenSSLを使用しています。
要件の一部として、証明書のクラスを識別する必要があります。私が読んだ限りでは、証明書のクラスとタイプはベンダー固有です。
しかし、X509証明書からそのような情報を識別して取得する方法があるかどうか知りたいですか?
私はデジタル署名を実装するためにOpenSSLを使用しています。
要件の一部として、証明書のクラスを識別する必要があります。私が読んだ限りでは、証明書のクラスとタイプはベンダー固有です。
しかし、X509証明書からそのような情報を識別して取得する方法があるかどうか知りたいですか?
タイプとクラスは、さまざまなCAが主にマーケティング目的で発明したものです。それらは標準内で定義されていません。したがって、証明書からそのような情報を抽出することはできません。
一般に、デジタル証明書は実際には異なります。X.509証明書、IPSec証明書(これは追加の要件があるX.509証明書のサブセットのようです)、属性証明書(何かを忘れた可能性があります)です。それらは異なる構造を持っていますが、実際にはX.509証明書のみを扱います(属性証明書はより普及しますが、非常に遅くなり、IPSec証明書は実際にはほとんど見られません)。
証明書の2つの重要な基準は次のとおりです。
後者は通常「クラス」と呼ばれます。数値が大きいほどチェックが多くなるという慣習があるようです。したがって、クラス1は通常、証明書の所有者が証明書のメールアドレスにアクセスできることを確認しますが、クラス3の証明書では、所有者がIDカードを提供する必要がある場合があります。特定のカウンターで、住所データとIDを信頼できる場合があります。
クラスの分類
クラス1-個人を有効な電子メールアドレスにバインドします。認証局は、電子メールアドレスを検証するために電子メールチャレンジを実施します。
クラス2-個人を有効な電子メールアドレスと、申請プロセス中に提供される個人に関する追加情報(氏名、会社名など)にバインドします。認証局は、サードパーティのデータベースを使用して個人のID情報を確認します。
クラス3-サードパーティのデータベースを使用して個人を電子メールアドレスと個人のID情報の所有権にバインドし、ローカルの審査エージェントの前で対面式の外観を介して検証とID検証を行います。
GlobalSign PersonalSign証明書-デジタル証明書を確認できます: https ://www.globalsign.com/personalsign/comparison.html
X.509証明書のタイプまたはクラスは、証明書の詳細を確認することで識別できます。
他の人が指摘しているように、デジタル署名のクラスはベンダー固有であり、および/または実行されるチェックのレベルとその意図に依存します。これは、X.509証明書構造の一部ではありません。
また、政府のガイドラインに依存する場合もあります。
インド政府情報技術局による「電子統治におけるデジタル署名の使用に関するガイドライン」に関するこの文書では、デジタル署名の3種類のクラスについて11ページで説明しています。
分類は2つの要因に基づいて行われました。
1)保証レベル
2)適用性
そして、それはほとんどの国際的な慣行にもうまくいくようです。