4.2. Profilo dei certificati di certificazione e validazione temporale¶
- Il profilo dei certificati di certificazione è conforme alla specifica RFC 5280.
- Il profilo dei certificati di marcatura temporale è conforme alla norma ETSI EN 319-422 versione 1.1.1.
- Per la codifica dei certificati deve essere utilizzato il formato ASN.1 – DER
(ISO/IEC 8824, 8825) in rappresentazione binaria o alfanumerica, ottenuta
applicando la trasformazione Base64 (RFC 1421 e successive modifiche);
l’intestazione e la coda previsti in RFC 1421 possono essere assenti. Nel primo
caso il file contenente il certificato deve assumere l’estensione
cer
oder
, nel secondo casob64
. - I certificati di certificazione contengono le seguenti estensioni:
keyUsage
(ᴏɪᴅ 2.5.29.15) — contenente i valorikeyCertSign
eCRLSign
(bit #5 e #6 impostati a1
); l’estensione è marcata critica;basicConstraints
(ᴏɪᴅ 2.5.29.19) — contenente il valoreCA=true
; l’estensione è marcata critica;certificatePolicies
(ᴏɪᴅ 2.5.29.32) — contenente uno o più identificativi dellePolicyIdentifier:code e le URL dei relativi CPS. Può contenere l’OID geerico previsto dall’\ :RFC:`5280
(2.5.29.32.0)); l’estensione non è marcata critica;subjectKeyIdentifier
(ᴏɪᴅ 2.5.29.14) — contenente il valorekeyIdentifier
per identificare il certificato l’estensione non è marcata critica;- Ulteriori estensioni possono essere inserite nel certificato purché conformi agli standard citati nel presente provvedimento e non marcate critiche.
- I certificati di marcatura temporale contengono le seguenti estensioni:
keyUsage
(ᴏɪᴅ 2.5.29.15) — contenente il valoredigitalSignature
(bit #0 impostato a1
); l’estensione è marcata critica;extendedKeyUsage
(ᴏɪᴅ 2.5.29.37) — contenente esclusivamente il campokeyPurposeId
impostato sutimeStamping
; l’estensione è marcata critica;certificatePolicies
(ᴏɪᴅ 2.5.29.32) — contenente uno o più identificativi dellePolicyIdentifier
e le URL del relativo CPS; l’estensione non è marcata critica;authorityKeyIdentifier
(ᴏɪᴅ 2.5.29.35) — contenente almeno il valorekeyIdentifier
corrispondente al :code:`subjectKeyIdentifier: del certificato di certificazione utilizzato per sottoscrivere il certificato di marcatura temporale; l’estensione non è marcata critica;subjectKeyIdentifier
(ᴏɪᴅ 2.5.29.14) — contenente il valorekeyIdentifier
per identificare il certificato; l’estensione non è marcata critica;- Ulteriori estensioni possono essere inserite nel certificato purché conformi agli standard citati nel presente provvedimento e non marcate critiche.