1※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。
第2―2 相互認証証明書等の方式
1 通則
(1)ブリッジ認証局と相互認証を行う際には、次の2に定めるところにより、
「データ型」欄
に掲げる形式を用いて、付録2-2の様式に従って、
「フィールド」欄に掲げる事項を記録
した相互認証証明書を作成する。また、登記官がかぎを更新する際には、次の3及び4に
定めるところにより、
「データ型」欄に掲げる形式を用いて、付録2-2の様式に従って、
「フィールド」欄に掲げる事項を記録したリンク証明書を作成する。
(2)データの符号化は、DER による。
2 相互認証証明書
フィールド データ型 設定値
- Certificate
tbsCertificate TBSCertificate
version [0]
- Version 2
serialNumber CertificateSerialNumber (注1)
signature AlgorithmIdentifier
algorithm OBJECT IDENTIFIER 1.2.840.113549.1.1.11
parameters NULL (注2)
issuer Name(RDNSequence)
- RelativeDistinguishedName
(countryName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.6
value PrintableString JP
- RelativeDistinguishedName
(organizationName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.10
value DirectoryString
(UTF8String)
Japanese Government
- RelativeDistinguishedName
(organizationalUnitName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.11
value DirectoryString
(UTF8String)
Ministry of Justice
- RelativeDistinguishedName
(commonName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.3
value DirectoryString
(UTF8String)
Registrar of Tokyo Legal Affairs Bureau
validity Validity
notBefore Time(UTCTime) (注3)
notAfter Time(UTCTime) (注4)
subject Name(RDNSequence)
- RelativeDistinguishedName
(countryName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.6
value PrintableString JP
- RelativeDistinguishedName
(organizationName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.10�2※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。
value DirectoryString
(UTF8String)
(注5)
- RelativeDistinguishedName
(organizationalUnitName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.11
value DirectoryString
(UTF8String)
(注5)
- RelativeDistinguishedName
(commonName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.3
value DirectoryString
(UTF8String)
(注5)
subjectPublicKeyInfo SubjectPublicKeyInfo
algorithm AlgorithmIdentifier
algorithm OBJECT IDENTIFIER 1.2.840.113549.1.1.1
parameters NULL (注2)
subjectPublicKey BIT STRING (注6)
extensions [3]
- Extensions
(authorityKeyIdentifier) Extension
extnId OBJECT IDENTIFIER 2.5.29.35
extnValue OCTET STRING
- AuthorityKeyIdentifier
keyIdentifier [0] KeyIdentifier (注7)
authorityCertIssuer [1] GeneralNames
- GeneralName([4])
- Name(RDNSequence)
- RelativeDistinguishedName
(countryName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.6
value PrintableString JP
- RelativeDistinguishedName
(organizationName)AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.10
value DirectoryString
(UTF8String)
Japanese Government
- RelativeDistinguishedName
(organizationalUn
itName)
AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.11
value DirectoryString
(UTF8String)
Ministry of Justice
- RelativeDistinguishedName
(commonName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.3
value DirectoryString
(UTF8String)
Registrar of Tokyo Legal Affairs Bureau
authorityCertSerialNumber[2] CertificateSerialNumber (注8)
(subjectKeyIdentifier) Extension
extnId OBJECT IDENTIFIER 2.5.29.14
extnValue OCTET STRING
- SubjectKeyIdentifier (注9)
(keyUsage) Extension
extnId OBJECT IDENTIFIER 2.5.29.15
critical BOOLEAN DEFAULT FALSE TRUE
extnValue OCTET STRING
- KeyUsage 0 0 0 0 0 1 1 0 0(keyCertSign、cRLSign)�3※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。
(certificatePolicies) Extension
extnId OBJECT IDENTIFIER 2.5.29.32
critical BOOLEAN DEFAULT FALSE TRUE
extnValue OCTET STRING
- CertificatePoliciesSyntax
- PolicyInformation
policyIdentifier CertPolicyId 1.2.392.100300.1.3.1(注10)
policyIdentifier CertPolicyId 1.2.392.100300.1.3.3(注10)
(policyMappings) Extension
extnId OBJECT IDENTIFIER 2.5.29.33
critical BOOLEAN DEFAULT FALSE TRUE
extnValue OCTET STRING
- PolicyMappingsSyntax
issuerDomainPolicy CertPolicyId 1.2.392.100300.1.3.1(注10)
subjectDomainPolicy CertPolicyId (注11)
issuerDomainPolicy CertPolicyId 1.2.392.100300.1.3.3(注10)
subjectDomainPolicy CertPolicyId (注11)
(basicConstraints) Extension
extnId OBJECT IDENTIFIER 2.5.29.19
critical BOOLEAN DEFAULT FALSE TRUE
extnValue OCTET STRING
- BasicConstraintsSyntax
cA BOOLEAN DEFAULT FALSE TRUE
(authorityInfoAccess) Extension
extnId OBJECT IDENTIFIER 1.3.6.1.5.5.7.1.1
extnValue OCTET STRING
- AuthorityInfoAccessSyntax
- AccessDescription
accessMethod OBJECT IDENTIFIER 1.3.6.1.5.5.7.48.1
accessLocation GeneralName
([6] IA5String)
http://crca.moj.go.jp/bin/dcwcgi/DC_HUSR/cert
/cert
(cRLDistributionPoints) Extension
extnId OBJECT IDENTIFIER 2.5.29.31
extnValue OCTET STRING
DistributionPoint [0] DistributionPointName
fullName [0] GeneralNames
DirectoryName [4] Name
- RelativeDistinguishedName
(countryName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.6
value PrintableString JP
- RelativeDistinguishedName
(organizationName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.10
value DirectoryString
(UTF8String)
Japanese Government
- RelativeDistinguishedName
(organizationalUnit
Name)
AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.11
value DirectoryString
(UTF8String)
Ministry of Justice
- RelativeDistinguishedName
(commonName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.3
value DirectoryString
(UTF8String)
Registrar of Tokyo Legal Affairs Bureau
DistributionPoint [0] DistributionPointName�4※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。
fullName [0] GeneralNames
uniformResourceIdentifierGeneralName
([6] IA5String)
https://crca1.moj.go.jp/authorityRevocationLi
st.crl
algorithm AlgorithmIdentifier
algorithm OBJECT IDENTIFIER 1.2.840.113549.1.1.11
parameters NULL (注2)
signature BIT STRING (注12)
注1 相互認証証明書の番号を記録する。
注2 長さオクテットに「0」を記録する。
注3 相互認証証明書の使用を開始する日の日本時間 0 時 0 分 0 秒をグリニッジ標準時により
記録する。
注4 相互認証証明書の使用を開始する日から起算して、GPKI で規定された期間を経過した
日の日本時間 23 時 59 分 59 秒をグリニッジ標準時により記録する。
注5 ブリッジ認証局の識別名を記録する。
注6 ブリッジ認証局の公開かぎを記録する。
注7 登記官の電子証明書の「subjectPublicKey」の値(識別子オクテット、長さオクテット
及び未使用ビットを除く。
)を SHA-1 により変換した値を記録する。
注8 登記官の電子証明書の番号を記録する。
注9 「subjectPublicKey」の値(識別子オクテット、長さオクテット及び未使用ビットを除
く。
)を SHA-1 により変換した値を記録する。
注10 法務省ホームページに掲示される相互認証証明書等に関する注意事項等を識別する
オブジェクト識別子を記録する。
注11 ブリッジ認証局のポリシーのオブジェクト識別子を記録する。
注12 「tbsCertificate」を DER により符号化した値に sha-256WithRSA による電子署名
を講じた値を記録する。�5※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。
3 リンク証明書(OldWithNew)
フィールド データ型 設定値
- Certificate
tbsCertificate TBSCertificate
version [0]
- Version 2
serialNumber CertificateSerialNumber (注1)
signature AlgorithmIdentifier
algorithm OBJECT IDENTIFIER 1.2.840.113549.1.1.11
parameters NULL (注2)
issuer Name(RDNSequence)
- RelativeDistinguishedName
(countryName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.6
value PrintableString JP
- RelativeDistinguishedName
(organizationName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.10
value DirectoryString
(UTF8String)(注11)
Japanese Government
- RelativeDistinguishedName
(organizationalUnitName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.11
value DirectoryString
(UTF8String)(注11)
Ministry of Justice
- RelativeDistinguishedName
(commonName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.3
value DirectoryString
(UTF8String)(注11)
Registrar of Tokyo Legal Affairs Bureau
validity Validity
notBefore Time(UTCTime) (注3)
notAfter Time(UTCTime) (注4)
subject Name(RDNSequence)
- RelativeDistinguishedName
(countryName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.6
value PrintableString JP
- RelativeDistinguishedName
(organizationName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.10
value DirectoryString
(UTF8String) (注12)
Japanese Government
- RelativeDistinguishedName
(organizationalUnitName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.11
value DirectoryString
(UTF8String) (注12)
Ministry of Justice
- RelativeDistinguishedName
(commonName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.3
value DirectoryString
(UTF8String) (注12)
Registrar of Tokyo Legal Affairs Bureau
subjectPublicKeyInfo SubjectPublicKeyInfo
algorithm AlgorithmIdentifier
algorithm OBJECT IDENTIFIER 1.2.840.113549.1.1.1�6※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。
parameters NULL (注2)
subjectPublicKey BIT STRING (注5)
extensions [3]
- Extensions
(authorityKeyIdentifier) Extension
extnId OBJECT IDENTIFIER 2.5.29.35
extnValue OCTET STRING
- AuthorityKeyIdentifier
keyIdentifier [0] KeyIdentifier (注6)
authorityCertIssuer [1] GeneralNames
- GeneralName([4])
- Name(RDNSequence)
- RelativeDistinguishedName
(countryName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.6
value PrintableString JP
- RelativeDistinguishedName
(organizationName)AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.10
value DirectoryString
(UTF8String)(注11)
Japanese Government
- RelativeDistinguishedName
(organizationalUn
itName)
AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.11
value DirectoryString
(UTF8String)(注11)
Ministry of Justice
- RelativeDistinguishedName
(commonName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.3
value DirectoryString
(UTF8String)(注11)
Registrar of Tokyo Legal Affairs Bureau
authorityCertSerialNumber[2] CertificateSerialNumber (注7)
(subjectKeyIdentifier) Extension
extnId OBJECT IDENTIFIER 2.5.29.14
extnValue OCTET STRING
- SubjectKeyIdentifier (注8)
(keyUsage) Extension
extnId OBJECT IDENTIFIER 2.5.29.15
critical BOOLEAN DEFAULT FALSE TRUE
extnValue OCTET STRING
- KeyUsage 1 0 1 1 0 1 1 0 0(digitalSignature、
keyEncipherment、
dataEncipherment、
keyCertSign、
cRLSign)
(certificatePolicies) Extension
extnId OBJECT IDENTIFIER 2.5.29.32
extnValue OCTET STRING
- CertificatePoliciesSyntax
- PolicyInformation
policyIdentifier CertPolicyId 2.5.29.32.0(注9)
(basicConstraints) Extension
extnId OBJECT IDENTIFIER 2.5.29.19
critical BOOLEAN DEFAULT FALSE TRUE
extnValue OCTET STRING
- BasicConstraintsSyntax
cA BOOLEAN DEFAULT FALSE TRUE
(authorityInfoAccess) Extension�7※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。
extnId OBJECT IDENTIFIER 1.3.6.1.5.5.7.1.1
extnValue OCTET STRING
- AuthorityInfoAccessSyntax
- AccessDescription
accessMethod OBJECT IDENTIFIER 1.3.6.1.5.5.7.48.1
accessLocation GeneralName
([6] IA5String)
http://crca.moj.go.jp/bin/dcwcgi/DC_HUSR/cert
/cert
(cRLDistributionPoints) Extension
extnId OBJECT IDENTIFIER 2.5.29.31
extnValue OCTET STRING
DistributionPoint [0] DistributionPointName
fullName [0] GeneralNames
DirectoryName [4] Name
- RelativeDistinguishedName
(countryName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.6
value PrintableString JP
- RelativeDistinguishedName
(organizationName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.10
value DirectoryString
(UTF8String)
Japanese Government
- RelativeDistinguishedName
(organizationalUni
tName)
AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.11
value DirectoryString
(UTF8String)
Ministry of Justice
- RelativeDistinguishedName
(commonName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.3
value DirectoryString
(UTF8String)
Registrar of Tokyo Legal Affairs Bureau
DistributionPoint [0] DistributionPointName
fullName [0] GeneralNames
uniformResourceIdentifierGeneralName
([6] IA5String)
https://crca1.moj.go.jp/authorityRevocationLi
st.crl
algorithm AlgorithmIdentifier
algorithm OBJECT IDENTIFIER 1.2.840.113549.1.1.11
parameters NULL (注2)
signature BIT STRING (注10)
注1 リンク証明書(OldWithNew)の番号を記録する。
注2 長さオクテットに「0」を記録する。
注3 「subjectPublicKey」に記録された公開かぎの使用を開始する日の日本時間 0 時 0 分 0
秒をグリニッジ標準時により記録する。
注4 「subjectPublicKey」に記録された公開かぎの使用を終了する日の日本時間 23 時 59
分 59 秒をグリニッジ標準時により記録する。
注5 一世代前の登記官の公開かぎを記録する。
注6 最新の登記官の電子証明書の「subjectPublicKey」の値(識別子オクテット、長さオク
テット及び未使用ビットを除く。
)を SHA-1 により変換した値を記録する。
注7 最新の登記官の電子証明書の番号を記録する。�8※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。
注8 「subjectPublicKey」の値(識別子オクテット、長さオクテット及び未使用ビットを除
く。
)を SHA-1 により変換した値を記録する。
注9 新旧の登記官の証明書をリンクするに当たり、
ポリシーに制限を設けないことを意味す
るオブジェクト識別子を記録する。
注10 「tbsCertificate」を DER により符号化した値に sha-256WithRSA による電子署名
を講じた値を記録する。
注11 最新の登記官の電子証明書の「subject」の値を記録する。
注12 一世代前の登記官の電子証明書の「subject」の値を記録する。�9※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。
4 リンク証明書(NewWithOld)
フィールド データ型 設定値
- Certificate
tbsCertificate TBSCertificate
version [0]
- Version 2
serialNumber CertificateSerialNumber (注1)
signature AlgorithmIdentifier
algorithm OBJECT IDENTIFIER 1.2.840.113549.1.1.11
parameters NULL (注2)
issuer Name(RDNSequence)
- RelativeDistinguishedName
(countryName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.6
value PrintableString JP
- RelativeDistinguishedName
(organizationName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.10
value DirectoryString
(UTF8String)(注11)
Japanese Government
- RelativeDistinguishedName
(organizationalUnitName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.11
value DirectoryString
(UTF8String)(注11)
Ministry of Justice
- RelativeDistinguishedName
(commonName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.3
value DirectoryString
(UTF8String)(注11)
Registrar of Tokyo Legal Affairs Bureau
validity Validity
notBefore Time(UTCTime) (注3)
notAfter Time(UTCTime) (注4)
subject Name(RDNSequence)
- RelativeDistinguishedName
(countryName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.6
value PrintableString JP
- RelativeDistinguishedName
(organizationName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.10
value DirectoryString
(UTF8String)(注12)
Japanese Government
- RelativeDistinguishedName
(organizationalUnitName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.11
value DirectoryString
(UTF8String)(注12)
Ministry of Justice
- RelativeDistinguishedName
(commonName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.3
value DirectoryString
(UTF8String)(注12)
Registrar of Tokyo Legal Affairs Bureau
subjectPublicKeyInfo SubjectPublicKeyInfo
algorithm AlgorithmIdentifier
algorithm OBJECT IDENTIFIER 1.2.840.113549.1.1.1�10※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。
parameters NULL (注2)
subjectPublicKey BIT STRING (注5)
extensions [3]
- Extensions
(authorityKeyIdentifier) Extension
extnId OBJECT IDENTIFIER 2.5.29.35
extnValue OCTET STRING
- AuthorityKeyIdentifier
keyIdentifier [0] KeyIdentifier (注6)
authorityCertIssuer [1] GeneralNames
- GeneralName([4])
- Name(RDNSequence)
- RelativeDistinguishedName
(countryName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.6
value PrintableString JP
- RelativeDistinguishedName
(organizationName)AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.10
value DirectoryString
(UTF8String)(注11)
Japanese Government
- RelativeDistinguishedName
(organizationalUn
itName)
AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.11
value DirectoryString
(UTF8String)(注11)
Ministry of Justice
- RelativeDistinguishedName
(commonName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.3
value DirectoryString
(UTF8String)(注11)
Registrar of Tokyo Legal Affairs Bureau
authorityCertSerialNumber[2] CertificateSerialNumber (注7)
(subjectKeyIdentifier) Extension
extnId OBJECT IDENTIFIER 2.5.29.14
extnValue OCTET STRING
- SubjectKeyIdentifier (注8)
(keyUsage) Extension
extnId OBJECT IDENTIFIER 2.5.29.15
critical BOOLEAN DEFAULT FALSE TRUE
extnValue OCTET STRING
- KeyUsage 1 0 1 1 0 1 1 0 0(digitalSignature、
keyEncipherment、
dataEncipherment、
keyCertSign、
cRLSign)
(certificatePolicies) Extension
extnId OBJECT IDENTIFIER 2.5.29.32
extnValue OCTET STRING
- CertificatePoliciesSyntax
- PolicyInformation
policyIdentifier CertPolicyId 2.5.29.32.0(注9)
(basicConstraints) Extension
extnId OBJECT IDENTIFIER 2.5.29.19
critical BOOLEAN DEFAULT FALSE TRUE
extnValue OCTET STRING
- BasicConstraintsSyntax
cA BOOLEAN DEFAULT FALSE TRUE
(authorityInfoAccess) Extension�11※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。
extnId OBJECT IDENTIFIER 1.3.6.1.5.5.7.1.1
extnValue OCTET STRING
- AuthorityInfoAccessSyntax
- AccessDescription
accessMethod OBJECT IDENTIFIER 1.3.6.1.5.5.7.48.1
accessLocation GeneralName
([6] IA5String)
http://crca.moj.go.jp/bin/dcwcgi/DC_HUSR/cert
/cert
(cRLDistributionPoints) Extension
extnId OBJECT IDENTIFIER 2.5.29.31
extnValue OCTET STRING
DistributionPoint [0] DistributionPointName
fullName [0] GeneralNames
DirectoryName [4] Name
- RelativeDistinguishedName
(countryName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.6
value PrintableString JP
- RelativeDistinguishedName
(organizationName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.10
value DirectoryString
(UTF8String)
Japanese Government
- RelativeDistinguishedName
(organizationalUni
tName)
AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.11
value DirectoryString
(UTF8String)
Ministry of Justice
- RelativeDistinguishedName
(commonName) AttributeTypeAndValue
type OBJECT IDENTIFIER 2.5.4.3
value DirectoryString
(UTF8String)
Registrar of Tokyo Legal Affairs Bureau
DistributionPoint [0] DistributionPointName
fullName [0] GeneralNames
uniformResourceIdentifierGeneralName
([6] IA5String)
https://crca1.moj.go.jp/authorityRevocationLi
st.crl
algorithm AlgorithmIdentifier
algorithm OBJECT IDENTIFIER 1.2.840.113549.1.1.11
parameters NULL (注2)
signature BIT STRING (注10)
注1 リンク証明書(NewWithOld)の番号を記録する。
注2 長さオクテットに「0」を記録する。
注3 「subjectPublicKey」に記録された公開かぎの使用を開始する日の日本時間 0 時 0 分 0
秒をグリニッジ標準時により記録する。
注4 一世代前の登記官の電子証明書の「subjectPublicKey」に記録された公開かぎの使用を
終了する日の日本時間 23 時 59 分 59 秒をグリニッジ標準時により記録する。
注5 最新の登記官の公開かぎを記録する。
注6 一世代前の登記官の電子証明書の「subjectPublicKey」の値(識別子オクテット、長さ
オクテット及び未使用ビットを除く。
)を SHA-1 により変換した値を記録する。
注7 一世代前の登記官の電子証明書の番号を記録する。�12※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。
注8 「subjectPublicKey」の値(識別子オクテット、長さオクテット及び未使用ビットを除
く。
)を SHA-1 により変換した値を記録する。
注9 新旧の登記官の証明書をリンクするに当たり、
ポリシーに制限を設けないことを意味す
るオブジェクト識別子を記録する。
注10 「tbsCertificate」を DER により符号化した値に sha-256WithRSA による電子署名
を講じた値を記録する。
注11 一世代前の登記官の電子証明書の「subject」の値を記録する。
注12 最新の登記官の電子証明書の「subject」の値を記録する。�13※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。
第3-2 相互認証証明書等の公開
1 通則
登記官の電子証明書、相互認証証明書及びリンク証明書(OldWithNew、NewWithOld)は、
ブリッジ認証局の統合リポジトリにおいて公開される。ただし、有効期間を経過し、又は失効
されたものについては、この限りでない。�14※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。
第6―2 相互認証証明書及びリンク証明書の有効性に関する証明及びその請求の方式
1 通信プロトコル
相互認証証明書及びリンク証明書(以下「相互認証証明書等」という。
)の有効性に関する
証明及びその請求のための送受信に用いる通信プロトコルは、HTTP とする。
2 電文の送受信の基本形式
登記官と検証者との間の電文の送受信は、以下の手順による。
なお、1及び2の各電文の構成については、後記3以下で定める。
検 登
証 記
者 官
1 検証者が登記官に送信する「証明要求電文」は、請求に係る相互認証証明書等に記録さ
れた「notAfter」の日時までに、電子認証登記所に到達しなければならない。また、過去
の特定の日時(
「notBefore」から「notAfter」までの範囲に限る。
)についての「証明要求
電文」は、請求に係る相互認証証明書等に記録された「notAfter」の日の翌日から起算し
て 7 日を超えない日までに、電子認証登記所に到達しなければならない。
2 登記官は、検証者に sha-256WithRSA による電子署名を講じた「証明応答電文」を送信
する。
3 各電文の構成
前記2の各電文の構成は、次の(1)及び(2)に定めるところにより、各項目に該当する
設定値を記録し、その次に区切り欄に掲げる制御記号を記録する。(1)「証明要求電文」の構成
項番 項目 設定値 区切り
1 Request-Line POST△しろさんかく/bin/dcwcgi/DC_HUSR/cert/cert
△しろさんかくHTTP/1.1
CR+LF
2 request-header Host:crca.moj.go.jp CR+LF
3 entity-header Content-Type:application/ocsp-request CR+LF
Content-Length:N(注1) CR+LF
4 general-header Connection:close CR+LF
CR+LF
5 entity-body (注2)
注1 「N」は、項番5の「entity-body」のバイト長を記録する。
注2 項番5の「entity-body」の設定値は、後記4に定めるところによる。
1証明要求電文
2証明応答電文�15※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。(2)「証明応答電文」の構成
項番 名前 設定値 区切り
1 Status-Line HTTP/1.1△しろさんかく200△しろさんかくOK CR+LF
2 entity-header Content-Type:application/ocsp-response CR+LF
3 Content-Length:N(注1) CR+LF
4 general-header Date:(注2) CR+LF
5 Connection:close CR+LF
6 response-header Server:(注3) CR+LF
7 Set-Cookie Set-Cookie:(注4) CR+LF
CR+LF
8 entity-body (注5)
注1 「N」は、項番8「entity-body」のバイト長を記録する。
注2 送信の日時をグリニッジ標準時により記録する。
注3 「Server:」の次に、登記官が適宜の事項を記録することができる。
注4 「Set-Cookie:」の次に、登記官が適宜の事項を記録することができる。
注5 項番8の「entity-body」の設定値は、後記4に定めるところによる。
4 各電文中の「entity-body」の内容
(1)前記3の各電文中の「entity-body」には、次の(2)又は(3)に定めるところにより、
「データ型」欄に掲げる形式を用いて、付録5の様式に従って、
「フィールド」欄に掲げる事
項を記録する。この場合において、
「データ型」欄の形式は、ASN.1 及び付録5に定めると
ころによる。データの符号化は、DER による。(2)「証明要求電文」中の「entity-body」の内容
フィールド データ型 設定値 必須
(注1)
- OCSPRequest
TbsRequest TBSRequest
RequestList SEQUENCE OF Request
- Request
ReqCert CertID
HashAlgorithm AlgorithmIdentifier
Algorithm OBJECT IDENTIFIER 1.3.14.3.2.26 ◎にじゅうまる
Parameters NULL △しろさんかく
IssuerNameHash OCTET STRING 証明の対象となる相互認証証明書等の
「issuer」に属する部分を、DER によ
り符号化した値を、SHA-1 により変換
した値を記録する。
◎にじゅうまる
IssuerKeyHash OCTET STRING (注2) ◎にじゅうまる
SerialNumber CertificateSerialNumber 証明の請求に係る相互認証証明書等の
番号を記録する。
◎にじゅうまる
SingleRequestExtensions [0] △しろさんかく
(注3)
- Extensions
(confirmationTime) Extension
ExtnId OBJECT IDENTIFIER 1.2.392.100300.1.2.102 ↑◎にじゅうまる
ExtnValue OCTET STRING
- ConfirmationTime 証明の対象となる過去の特定の日時を
グリニッジ標準時により記録する(注4)。
↑◎にじゅうまる�16※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。
requestExtensions [2]
- Extensions
(nonce) Extension
extnId OBJECT IDENTIFIER 1.3.6.1.5.5.7.48.1.2 ◎にじゅうまる
extnValue OCTET STRING
- Nonce 1バイト以上32バイト以下の乱数を記
録する。
◎にじゅうまる
注1 「必須」欄中に◎にじゅうまる印のあるフィールドには、必ず値を記録しなければならない。
「必須」
欄中に○しろまる印のあるフィールドは、必ず設けなければならない。
「必須」欄中に△しろさんかく印のある
フィールドは、記録する内容によって任意に設けることができる。
「必須」欄中に↑◎にじゅうまる印
のあるフィールドには、上欄にフィールドを設けたときは、必ず値を記録しなければな
らない。
注 2 証 明 の 対 象 と な る 相 互 認 証 証 明 書 等 を 作 成 し た 登 記 官 の 電 子 証 明 書 の
「subjectPublicKey」の値(識別子オクテット、長さオクテット及び未使用ビットを除
く。
)を SHA-1 により変換した値を記録する。
注3 本フィールドを設定することにより、
過去の特定の日時についての証明を請求するこ
とができる。
注4 「過去の特定の日時」とは、次の1又は2とする。
1 証明の対象となる相互認証証明書等に「notAfter」として記録された日時までの間
にあっては、相互認証証明書等に「notBefore」として記録された日時から証明を請
求するまでの間の任意の日時
2 相互認証証明書等に「notAfter」として記録された日時以降から「notAfter」とし
て記録された日を経過してから 7 日を超えない日までの間にあっては、
相互認証証明
書等に「notBefore」として記録された日時から「notAfter」として記録された日時
までの間の任意の日時(3)「証明応答電文」中の「entity-body」の内容
フィールド データ型 設定値 必須
(注1)
- OCSPResponse
responseStatus OCSPResponseStatus 0(注2) ◎にじゅうまる
responseBytes [0]
- ResponseBytes
responseType OBJECT IDENTIFIER 1.3.6.1.5.5.7.48.1.1 ◎にじゅうまる
Response OCTET STRING
- BasicOCSPResponse
tbsResponseData ResponseData
responderID ResponderID([2])
- KeyHash (注3) ◎にじゅうまる
producedAt GeneralizedTime (注4) ◎にじゅうまる
responses SEQUENCE OF
SingleResponse
- SingleResponse
certID CertID
hashAlgorithm AlgorithmIdentifier
algorithm OBJECT IDENTIFIER 1.3.14.3.2.26 ◎にじゅうまる
parameters NULL (注5) ○しろまる�17※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。
issuerNameHash OCTET STRING (注6) ◎にじゅうまる
issuerKeyHash OCTET STRING (注7) ◎にじゅうまる
serialNumber CertificateSerialNumber (注8) ◎にじゅうまる
certStatus CertStatus(CHOICE)
good [0] NULL (注9) △しろさんかく○しろまる
(注9)
revoked [1] RevokedInfo (注9) △しろさんかく○しろまる
(注9)
revocationTime GeneralizedTime (注10) ↑◎にじゅうまる
revocationReason [0] CRLReason (注11) ↑◎にじゅうまる
unknown [2] UnknownInfo (注9) △しろさんかく○しろまる
(注9)
thisUpdate GeneralizedTime (注12) ◎にじゅうまる
singleExtensions [1]
- Extensions
(ocspStatusCode) Extension
extnId OBJECT IDENTIFIER 1.2.392.100300.1.2.103 ◎にじゅうまる
extnValue OCTET STRING
- OcspStatusCode (注11) ◎にじゅうまる
(confirmationTime) Extension △しろさんかく
(注13)
extnId OBJECT IDENTIFIER 1.2.392.100300.1.2.102 ↑◎にじゅうまる
extnValue OCTET STRING
- ConfirmationTime (注14) ↑◎にじゅうまる
responseExtensions [1]
- Extensions
(nonce) Extension
extnId OBJECT IDENTIFIER 1.3.6.1.5.5.7.48.1.2 ◎にじゅうまる
extnValue OCTET STRING
- Nonce (注15) ◎にじゅうまる
signatureAlgorithm AlgorithmIdentifier
algorithm OBJECT IDENTIFIER 1.2.840.113549.1.1.11 ◎にじゅうまる
parameters NULL (注5) ○しろまる
signature BIT STRING (注16) ◎にじゅうまる
certs [0]
- SEQUENCE OF Certificate (注17) ◎にじゅうまる
注1 「必須」欄中に◎にじゅうまる印のあるフィールドには、必ず値を記録しなければならない。
「必須」
欄中に○しろまる印のあるフィールドは、必ず設けなければならない。
「必須」欄中に△しろさんかく印のある
フィールドは、記録する内容によって任意に設けることができる。
「必須」欄中に↑◎にじゅうまる印
のあるフィールドには、上欄にフィールドを設けたときは、必ず値を記録しなければな
らない。
「必須」欄中に△しろさんかく○しろまる印のあるフィールドには、注9に定めるところにより、いず
れか 1 のフィールドを必ず設定しなければならない。
注2 「証明要求電文」を正常に受信したことを示すため、
「0」を記録する。
「証明要求電文」
に異常があった場合には、後記5による。
注3 注16に定める電子署名を行った登記官の電子証明書の「subjectPublicKey」の値(識
別子オクテット、長さオクテット及び未使用ビットを除く。
)を SHA-1 により変換した値
を記録する。
注4 この電文を作成した日時をグリニッジ標準時により記録する。
注5 長さオクテットに「0」を記録する。
注6 「証明要求電文」中の「issuerNameHash」に記録された値を記録する。�18※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。
注7 「証明要求電文」中の「issuerKeyHash」に記録された値を記録する。
注8 「証明要求電文」中の「serialNumber」に記録された値を記録する。
注9 次の表に掲げる事項に該当する場合に、設定内容に定めるフィールドを設定する。
こ 項番事項 設定内容
1 相互認証証明書等について項番2又は3のいずれの事
項にも該当しないこと
「good」
2 注11の表中、項番1から4までのいずれかの事項に
該当すること
「revoked」
3 「 証 明 要 求 電 文 」 中 「 issuerNameHash 」、
「issuerKeyHash」若しくは「serialNumber」に誤り
が あ り 、 又 は 相 互 認 証 証 明 書 等 に 記 録 さ れ た
「notAfter」の日時までに「証明要求電文」が電子認
証登記所に到達しなかったこと
「unknown」
注10 注11の表中項番1から4までのいずれかの事項が記録される場合に、
当該事項が生
じた日時をグリニッジ標準時により記録する。
注11 次の表に掲げる「事項」に該当する場合に、
「記録内容」に定める数字を記録する。項番
事項 記録内容CRLReason
OcspStatusCode1 相互認証証明書等の記載内容を変更したとき 3 2
2 ブリッジ認証局の秘密鍵が危殆化したとき 1 5
3 何らかの理由により相互認証を解消したとき 5 1
4 登記官の秘密鍵が危殆化したとき 2 4
5 注9により、
「good」のフィールドを設定したとき 0
6 注9により、
「unknown」のフィールドを設定したとき0
注12 登記官が証明の対象を確認した日時をグリニッジ標準時により記録する。
注13 「証明要求電文」に「ConfirmationTime」が記録されていたときは、これらの
フィールドを設ける。
注14 「証明要求電文」に「ConfirmationTime」が記録されていたときは、フィール
ドに値を記録する。
注15 「証明要求電文」の「Nonce」に記録された値を記録する。
注16 「ResponseData」を DER で符号化した値に sha-256WithRSA による電子署
名を講じた値を記録する。
注17 登記官の最新の電子証明書を記録する。
5 異常時の処理
「証明要求電文」中の「entity-body」の内容が前記4の(2)に定める形式に適合しない場
合(前記4の(3)の注9により「unknown」のフィールドを設定する場合を除く。
)は、登
記官は、
「証明応答電文」の「entity-body」に、前記4の(3)の内容に代えて、前記4の(1)�19※(注記)本書は次期システムの方式を示した0.1版である。
現行システムからの変更箇所は着色して示す。
の定める方式により、次の内容を記録したものを送信する。
フィールド データ型 設定値 必須
(注1)
- OCSPResponse
ResponseStatus OCSPResponseStatus 1(注2) ◎にじゅうまる
注1 「必須」欄中に◎にじゅうまる印のあるフィールドには、必ず値を記録しなければならない。
注2 「証明要求電文」に異常があったことを示すため、
「1」を記録する。
�