現在、証明書がどのRAから発行されたかを検証できるようにするため(クランベクター)、
証明書のDNにRA証明書のシリアル番号を入れるようにしています。
具体的には、2番目のOUに入れてあります。
そして、証明書のDNと同じ位置のディレクトリエントリーに、証明書を置いてあります。
しかし、証明書の再発行時にRAが変更になるなど、現在のディレクトリ名前空間構成では
いろいろと問題が発生することがわかってきました。
そこで、以下の仕様変更を提案します。
●クランベクターの仕様
●ディレクトリの名前空間構成
●証明書の仕様
●クランベクターの仕様
以前は証明書のシリアル番号によるクランベクターを考えていたが、電子メールアドレスによるクランベクターに変更する。
●ディレクトリの名前空間構成
以下のように変更する。
○RA証明書のシリアル番号のOUをなくす
○OU=person/serverをディレクトリエントリーから外して、属性に変更する。
○emailAddressをCNの階層を逆にし、それぞれの内容は自由にする。(内容の設定は必須)
<<例>>
証明書のDN
/C=JP/O=CACAnet Fukuoka/O=Members RAA/OU=admin/CN=YAMAMURA Tomohiro/emailAddress=yamamie@cacanet.org
ディレクトリエントリーの場所
/C=JP/O=CACAnet Fukuoka/O=Members RAA/OU=admin/emailAddress=yamamie@cacanet.org/CN=YAMAMURA Tomohiro
●証明書の仕様
RAの電子メールアドレスを、以下の拡張領域に入れる。
○issuerAltNameのrfc822name
<<OpenSSLの設定ファイル例>>
issuerAltName=email:yamamie@cacanet.org