Docs Italia beta

Documenti pubblici, digitali.

Regole Tecniche e Raccomandazioni afferenti la generazione di certificati elettronici qualificati, firme e sigilli elettronici qualificati e validazioni temporali elettroniche qualificate
Progetto: Documenti in consultazione
Amministrazione: AGID
Informazioni
Sorgente
Azioni

4.2. Profilo dei certificati di certificazione e validazione temporale

  1. Il profilo dei certificati di certificazione è conforme alla specifica RFC 5280.
  2. Il profilo dei certificati di marcatura temporale è conforme alla norma ETSI EN 319-422 versione 1.1.1.
  3. Per la codifica dei certificati deve essere utilizzato il formato ASN.1 – DER (ISO/IEC 8824, 8825) in rappresentazione binaria o alfanumerica, ottenuta applicando la trasformazione Base64 (RFC 1421 e successive modifiche); l’intestazione e la coda previsti in RFC 1421 possono essere assenti. Nel primo caso il file contenente il certificato deve assumere l’estensione cer o der, nel secondo caso b64.
  4. I certificati di certificazione contengono le seguenti estensioni:
    1. keyUsage (ᴏɪᴅ 2.5.29.15) — contenente i valori keyCertSign e CRLSign (bit #5 e #6 impostati a 1); l’estensione è marcata critica;
    2. basicConstraints (ᴏɪᴅ 2.5.29.19) — contenente il valore CA=true; l’estensione è marcata critica;
    3. certificatePolicies (ᴏɪᴅ 2.5.29.32) — contenente uno o più identificativi delle PolicyIdentifier:code e le URL dei relativi CPS. Può contenere l’OID geerico previsto dall’\ :RFC:`5280 (2.5.29.32.0)); l’estensione non è marcata critica;
    4. subjectKeyIdentifier (ᴏɪᴅ 2.5.29.14) — contenente il valore keyIdentifier per identificare il certificato l’estensione non è marcata critica;
    5. Ulteriori estensioni possono essere inserite nel certificato purché conformi agli standard citati nel presente provvedimento e non marcate critiche.
  5. I certificati di marcatura temporale contengono le seguenti estensioni:
    1. keyUsage (ᴏɪᴅ 2.5.29.15) — contenente il valore digitalSignature (bit #0 impostato a 1); l’estensione è marcata critica;
    2. extendedKeyUsage (ᴏɪᴅ 2.5.29.37) — contenente esclusivamente il campo keyPurposeId impostato su timeStamping; l’estensione è marcata critica;
    3. certificatePolicies (ᴏɪᴅ 2.5.29.32) — contenente uno o più identificativi delle PolicyIdentifier e le URL del relativo CPS; l’estensione non è marcata critica;
    4. authorityKeyIdentifier (ᴏɪᴅ 2.5.29.35) — contenente almeno il valore keyIdentifier corrispondente al :code:`subjectKeyIdentifier: del certificato di certificazione utilizzato per sottoscrivere il certificato di marcatura temporale; l’estensione non è marcata critica;
    5. subjectKeyIdentifier (ᴏɪᴅ 2.5.29.14) — contenente il valore keyIdentifier per identificare il certificato; l’estensione non è marcata critica;
    6. Ulteriori estensioni possono essere inserite nel certificato purché conformi agli standard citati nel presente provvedimento e non marcate critiche.