ข้อเสนอแนะมาตรฐานด้าน ......4.3 ข อแนะน...

ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศ และการสอสารทจ าเปนตอธรกรรมทางอเลกทรอนกส

ETDA Recommendation on ICT Standard

for Electronic Transactions

ขมธอ. 15-2560

วาดวยการก าหนดขอมลในใบรบรองและ รายการเพกถอนใบรบรอง

CERTIFICATE AND CERTIFICATE REVOCATION LIST (CRL) PROFILE

เวอรชน 1.0

ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) กระทรวงดจทลเพอเศรษฐกจและสงคม ICS 35.100.70

ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศและการสอสาร ทจ าเปนตอธรกรรมทางอเลกทรอนกส

วาดวยการก าหนดขอมลในใบรบรองและรายการเพกถอนใบรบรอง

ขมธอ. 15-2560

ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) อาคารเดอะ ไนน ทาวเวอร แกรนด พระรามเกา (อาคารบ) ชน 21

เลขท 33/4 ถนนพระราม 9 แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร 10310 หมายเลขโทรศพท: 0 2123 1234 หมายเลขโทรสาร: 0 2123 1200

ประกาศโดย ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

กระทรวงดจทลเพอเศรษฐกจและสงคม

วนท 15 สงหาคม พ.ศ. 2560

(2)

คณะท างานจดท ารางขอเสนอแนะเกยวกบการจดท าหรอแปลงเอกสารและขอความ ใหอยในรปของขอมลอเลกทรอนกส

ประธานคณะท างาน

นายศภโชค จนทรประทน รกษาการผอ านวยการส านกมาตรฐาน ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

ผท างาน นายก าชย จตตานนท ผแทนกรมศลกากร นางสาวขนษฐา สหเมธาพฒน ผแทนกรมสรรพากร นายธานนทร ตนกตบตร ผแทนบรษท ไทยเทรดเนต จ ากด นายธตกร ตระกลศรศกด ผแทนส านกบรการโครงสรางพนฐาน

ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) นายณธรรม ธรรมาณชานนท ผแทนส านกพฒนาธรกจ ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

ผท างานและเลขานการ นายเฉลมชย บวรนนท ผแทนส านกมาตรฐาน ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

(3)

วเคราะหและจดท าขอเสนอแนะมาตรฐานฯ วาดวยการก าหนดขอมลในใบรบรองและรายการเพกถอนใบรบรอง

นายโสฬส พานชปรชา ทปรกษา

ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) นายนครนทร ลมรงษ ส านกมาตรฐาน

ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) นายธวชชย พรงพรอม ส านกสารสนเทศ

ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

(4)

ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศและการสอสารทจ าเปนตอธรกรรมทางอเลกทรอนกส วาดวยการก าหนดขอมลในใบรบรองและรายการเพกถอนใบรบรองฉบบน จดท าขนเพอเปนแนวทางการก าหนดขอมลในใบรบรองส าหรบผใหบรการออกใบรบรองล าดบชนถดลงมา (Subordinate CA) ใบรบรองส าหรบผใชบรการ และรายการเพกถอนใบรบรอง ซงจะชวยใหรปแบบของใบรบรองทออกโดยผใหบรการออกใบรบรองรายตาง ๆ มความสอดคลองกนและเปนไปตามมาตรฐานสากล ขอเสนอแนะมาตรฐานฉบบนอางองเอกสารและมาตรฐานดงตอไปน

1. IETF RFC 5280 (2008) , Internet X. 509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

2. Recommendation ITU-T X.509 (2016) | ISO/ IEC 9594-8 : 2017, Information Technology - Open Systems Interconnection - The Directory: Public- key and attribute certificate frameworks

3. Recommendation ITU-T X.520 (2012) | ISO/ IEC 9594-6 : 2014, Information Technology - Open Systems Interconnection – The Directory: Selected attribute types

4. Recommendation ITU-T X.680 (2015) | ISO/ IEC 8824-1 : 2015, Information Technology - Abstract Syntax Notation One (ASN.1) : Specification of basic notation

5. Baseline Requirement Certificate Policy for the Issuance and Management of Publicly -Trusted Certificates, Version 1.4.2

ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศและการสอสารทจ าเปนตอธรกรรมทางอเลกทรอนกส วาดวยการก าหนดขอมลในใบรบรองและรายการเพกถอนใบรบรองฉบบน จดท าขนตามความรวมมอดานมาตรฐานระหวาง ส านกมาตรฐาน และส านกบรการโครงสรางพนฐาน ภายใตส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน)

ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) อาคารเดอะ ไนน ทาวเวอร แกรนด พระรามเกา (อาคารบ) ชน 21 เลขท 33/4 ถนนพระราม 9 แขวงหวยขวาง เขตหวยขวาง กรงเทพมหานคร 10310 โทรศพท: 0 2123 1234 โทรสาร: 0 2123 1200 E-mail: [email protected], www.etda.or.th

(5)

ค าน า ใบรบรองเปนสวนประกอบส าคญส าหรบการตรวจสอบลายมอชอดจทล โดยในใบรบรองบนทกขอมล

อเลกทรอนกสซงยนยนความเชอมโยงระหวางเจาของลายมอชอกบขอมลส าหรบใชสรางลายมอชอดจทล ในปจจบน ผใหบรการออกใบรบรองในประเทศไทยบางรายออกใบรบรองทไมเหมาะสม เชน ก าหนดขอมลเจาของใบรบรอง ไมตรงตามนยามของคณลกษณะ (Attribute) ใชงานคกญแจทมขนาดไมเหมาะสม และใชอลกอรทมทไมเหมาะสม กบการใชงานในปจจบน เปนตน ซงใบรบรองทไมเหมาะสมนอาจกอใหเกดปญหากบการใชลายมอชออเลกทรอนกส ทเชอถอได

เ พอแก ไขปญหาการออกใบรบรองท ไม เหมาะสม ส านกงานพฒนาธรกรรมทาง อ เลกทรอนกส (องคการมหาชน) หรอ สพธอ. ในฐานะหนวยงานทไดรบมอบหมายจากรฐบาลใหเปนผใหบรการออกใบรบรองอเลกทรอนกสแหงชาต (Thailand National Root Certification Authority) ไดจดท าขอเสนอแนะมาตรฐาน ดานเทคโนโลยสารสนเทศและการสอสารทจ าเปนตอธรกรรมทางอเลกทรอนกสวาดวยการก าหนดขอมลในใบรบรองและรายการเพกถอนใบรบรองฉบบนขน เพอก าหนดประเภทของใบรบรอง ฟลดและขอมลทจ าเปนตองระบ ในใบรบรองและรายการเพกถอนใบรบรอง ทงน เพอใหการใชงานใบรบรองมความสอดคลองกนระหวางผทเกยวของ และเปนไปตามมาตรฐานสากล

(6)

สารบญ

หนา

1. ขอบขาย 1

2. บทนยาม 1

3. ขอมลในใบรบรองและรายการเพกถอนใบรบรอง 3

3.1 เกยวกบตารางการก าหนดขอมลในใบรบรองและรายการเพกถอนใบรบรอง 3

3.2 ความจ าเปนของขอมล (Mandatory : M) 3

3.3 ความส าคญของขอมล (Criticality: C) 3

4. การก าหนดขอมลในใบรบรอง 4

4.1 โครงสรางของใบรบรอง 4

4.2 ขอมลในใบรบรอง 4

4.3 ขอแนะน าในการก าหนดขอมลในใบรบรอง 20

5. การก าหนดขอมลในรายการเพกถอนใบรบรอง 36

5.1 โครงสรางของรายการเพกถอนใบรบรอง 36

5.2 ขอมลในรายการเพกถอนใบรบรอง 36

5.3 ขอแนะน าในการก าหนดขอมลในรายการเพกถอนใบรบรอง 41

ภาคผนวก ก. โครงสรางความสมพนธของใบรบรองในประเทศไทย 43

ก.1 ใบรบรองของผใหบรการออกใบรบรองล าดบชนบนสด (Root CA Certificate) 43

ก.2 ใบรบรองของผใหบรการออกใบรบรองล าดบชนถดลงมา (Subordinate CA Certificate) 43

บรรณานกรม 44

(7)

สารบญรป หนา

รปท 1 โครงสรางความสมพนธของใบรบรองในประเทศไทย 43

สารบญตาราง หนา

ตารางท 1 อลกอรทมทใชในการลงลายมอชอดจทลบนใบรบรอง 6

ตารางท 2 คณลกษณะของฟลด issuer ในใบรบรอง 8

ตารางท 3 คณลกษณะของฟลด subject ในใบรบรอง 9

ตารางท 4 รายการฟลดเพมเตมในใบรบรอง 10

ตารางท 5 คา cA และ pathLenConstraint ในใบรบรองแตละประเภท 16

ตารางท 6 วตถประสงคของการใชงานกญแจสาธารณะในฟลด extKeyUsage 17

ตารางท 7 วธการเขาถงขอมลและบรการของผใหบรการออกใบรบรอง 19

ตารางท 8 การก าหนดขอมลในใบรบรองของผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 1 20

ตารางท 9 การก าหนดขอมลในใบรบรองของผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 2 22

ตารางท 10 การก าหนดขอมลในใบรบรองส าหรบบคคลธรรมดา 25

ตารางท 11 การก าหนดขอมลในใบรบรองส าหรบนตบคคล 28

ตารางท 12 การก าหนดขอมลในใบรบรองส าหรบลงลายมอชอดจทลโดยระบบใหบรการ 31

ตารางท 13 การก าหนดขอมลในใบรบรองส าหรบโปรโตคอล SSL/TLS หรอโปรโตคอลอน ๆ 33

ตารางท 14 อลกอรทมทใชในการลงลายมอชอดจทลบนรายการเพกถอนใบรบรอง 37

ตารางท 15 คณลกษณะของฟลด issuer ในรายการเพกถอนใบรบรอง 38

ตารางท 16 ค าอธบายสาเหตของการเพกถอนใบรบรอง 39

ตารางท 17 การก าหนดขอมลในรายการเพกถอนใบรบรอง 41

ขมธอ. 15-2560

-1-

ขอเสนอแนะมาตรฐานดานเทคโนโลยสารสนเทศและการสอสาร ทจ าเปนตอธรกรรมทางอเลกทรอนกส

วาดวยการก าหนดขอมลในใบรบรอง และรายการเพกถอนใบรบรอง

1. ขอบขาย ขอเสนอแนะมาตรฐานฯ ฉบบนน าเสนอแนวทางการก าหนดขอมลในใบรบรอง และรายการเพกถอนใบรบรอง

ประเภท X.509 เพอสนบสนนการใชงานลายมอชออเลกทรอนกสทเชอถอได ตามกฎหมายวาดวยธรกรรมทางอเลกทรอนกส โดยครอบคลมเนอหา ดงน

(1) รายละเอยดขอมลในแตละฟลดของใบรบรอง และรายการเพกถอนใบรบรอง (2) การก าหนดขอมลในใบรบรองของผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 1 และ 2 (3) การก าหนดขอมลในใบรบรองของผใชบรการ ซงแบงออกเปน 4 ประเภท ไดแก

(3.1) ใบรบรองส าหรบบคคลธรรมดา (3.2) ใบรบรองส าหรบนตบคคล (3.3) ใบรบรองส าหรบลงลายมอชอดจทลโดยระบบใหบรการ (3.4) ใบรบรองส าหรบโปรโตคอล SSL/TLS หรอโปรโตคอลอน ๆ

(4) การก าหนดขอมลในรายการเพกถอนใบรบรอง

2. บทนยาม ค านยามและค ายอเพอก าหนดความหมายใหกบค าทใชในเอกสารนเขาใจไดถกตองตรงกน

2.1 บคคล หมายถง บคคลธรรมดา หรอนตบคคล [1]

2.2 เอนทต (Entity) หมายถง บคคลและรวมถงเครองใหบรการ (Server) หรอเวบไซต หรอหนวยปฏบตงาน (Operation Unit/Site) หรอเครองมออนใด (Device) ทอยภายใตความควบคมของบคคล [1]

2.3 ลายมอชออเลกทรอนกส หมายถง อกษร อกขระ ตวเลข เสยงหรอสญลกษณอนใดทสรางขนใหอยในรปแบบอเลกทรอนกสซงน ามาใชประกอบกบขอมลอเลกทรอนกสเพอแสดงความสมพนธระหวางบคคลกบขอมลอเลกทรอนกส โดยมวตถประสงคเพอระบตวบคคลผเปนเจาของลายมอชออเลกทรอนกสทเกยวของกบขอมลอเลกทรอนกสนน และเพอแสดงวาบคคลดงกลาวยอมรบขอความในขอมลอเลกทรอนกสนน [2]

2.4 ลายมอชอดจทล หมายถง ลายมอชออเลกทรอนกสประเภทหนงทใชรบรองตวตนของเอนทต ดวยการประยกตใชเทคโนโลยโครงสรางพนฐานกญแจสาธารณะ (Public Key Infrastructure : PKI) [1]

ขมธอ. 15-2560

-2-

2.5 ใบรบรอง (Certificate) หมายถง ขอมลอเลกทรอนกสหรอการบนทกอนใดซงยนยนความเชอมโยงระหวางเจาของลายมอชอกบขอมลส าหรบใชสรางลายมอชอดจทล [2]

2.6 รายการเพกถอนใบรบรอง (Certificate Revocation List : CRL) หมายถง รายการใบรบรองทถกเพกถอนการใชงาน [1]

2.7 ผใหบรการออกใบรบรอง (Certification Authority : CA) หมายถง เอนทตทรบรองกญแจสาธารณะใหกบผใชบรการโดยการออกใบรบรองใหกบผใชบรการ และยงมหนาทบรหารจดการใบรบรองของผใชบรการ เชน เผยแพรใบรบรอง เพกถอนใบรบรอง และเผยแพรขอมลส าหรบตรวจสอบสถานะใบรบรอง

2.8 เจาของใบรบรอง หมายถง เอนทตซงถอขอมลส าหรบใชสรางลายมอชอดจทลและสรางลายมอชอดจทลนน ในนามตนเองหรอแทนบคคลอน

2.9 ผใชบรการ (Subscriber) หมายถง บคคล หรอเอนทตใด ๆ ทไดรบใบรบรองจากผใหบรการออกใบรบรอง

2.10 โปรโตคอลตรวจสอบสถานะของใบรบรอง (Online Certificate Status Protocol : OCSP) หมายถง โปรโตคอลส าหรบตรวจสอบสถานะของใบรบรองวาใบรบรองถกเพกถอนหรอไม

2.11 Object Identifier (OID) หมายถง คาสมพนธซงบงบอกถงขอมลสารสนเทศของวตถ (Information Object) ใด ๆ โดยเปนคาทสามารถบงชไดถงความเปนหนงเดยวของ Object นน ๆ [1]

2.12 กญแจสาธารณะ (Public Key) หมายถง กญแจทใชตรวจสอบลายมอชอดจทล และสามารถน าไปใช เขารหสลบขอมลอเลกทรอนกส เพอมใหสามารถเขาใจความหมายของขอมลอเลกทรอนกสทมการเขารหสลบนนได เพอประโยชนในการรกษาความลบของขอมลอเลกทรอนกสนน [1]

2.13 กญแจสวนตว (Private Key) หมายถง กญแจทใชสรางลายมอชอดจทล และสามารถน าไปใชในการถอด รหสลบเมอมการเขารหสลบขอมลอเลกทรอนกส เพอใหสามารถเขาใจความหมายของขอมลอเลกทรอนกส ทมการเขารหสลบนนได [1]

2.14 คกญแจ (Key Pair) หมายถง กญแจสวนตวและกญแจสาธารณะในระบบการเขารหสลบแบบอสมมาตรทสรางขนโดยวธการทท าใหกญแจสวนตวมความสมพนธในทางคณตศาสตรกบกญแจสาธารณะในลกษณะทสามารถ ใชกญแจสาธารณะตรวจสอบไดวาลายมอชอดจทลไดสรางขนโดยใชกญแจสวนตวนนหรอไม และสามารถน ากญแจสาธารณะไปใชในการเขารหสลบขอมลอเลกทรอนกส ท าใหไมสามารถเขาใจความหมายของขอมลอเลกทรอนกสไดเพอประโยชนในการรกษาความลบของขอมลอเลกทรอนกส เวนแตบคคลทถอกญแจสวนตวซงสามารถน ากญแจสวนตวของตนใชในการถอดรหสลบของขอมลอเลกทรอนกส เพอใหเจาของกญแจสวนตวสามารถอานหรอเขาใจความหมายของขอมลอเลกทรอนกสนนได [1]

ขมธอ. 15-2560

-3-

3. ขอมลในใบรบรองและรายการเพกถอนใบรบรอง เกยวกบตารางการก าหนดขอมลในใบรบรองและรายการเพกถอนใบรบรอง

ในตารางการก าหนดขอมลในใบรบรองและรายการเพกถอนใบรบรอง ประกอบดวยสดมภ ซงจะมขอมลอยในแนวตง ดงตอไปน

Index Item M C Value Guide No.

(1) สดมภ Index แสดงดชนรายการฟลดขอมล ฟลดเพมเตม (Extension Field) หรอคณลกษณะ (Attribute)

(2) สดมภ Item แสดงชอฟลดขอมล ฟลดเพมเตม หรอคณลกษณะ

(3) สดมภ M แสดงความจ าเปนของขอมลในฟลดขอมล ฟลดเพมเตม หรอคณลกษณะ

(4) สดมภ C แสดงความส าคญของขอมลในฟลดเพมเตม

(5) สดมภ Value แสดงขอมลหรอวธการก าหนดขอมลในฟลดขอมล ฟลดเพมเตม หรอคณลกษณะ

(6) สดมภ Guide No. แสดงเลขทขอซงอธบายรายละเอยดการก าหนดขอมลในฟลดขอมล ฟลดเพมเตม หรอคณลกษณะ

ความจ าเปนของขอมล (Mandatory : M)

ในตารางการก าหนดขอมลในใบรบรองและรายการเพกถอนใบรบรอง จะระบคาความจ าเปนของ ขอมล ดงตอไปน

(1) m (mandatory) : ฟลดขอมล ฟลดเพมเตม หรอคณลกษณะ ทตองระบขอมล (2) o (optional) : ฟลดขอมล ฟลดเพมเตม หรอคณลกษณะ ทสามารถเลอกระบหรอไมระบ

ขอมล ขนอยกบความตองการใชงาน (3) nu (not used) : หามมฟลดขอมล ฟลดเพมเตม หรอคณลกษณะน

ความส าคญของขอมล (Criticality: C)

ในตารางการก าหนดขอมลในใบรบรองและรายการเพกถอนใบรบรอง จะระบคาความส าคญของขอมลในฟลดเพมเตม ดงตอไปน

(1) T (True) : ฟลดเพมเตมทส าคญ โดยซอฟตแวรจะตองปฏเสธการใชงานใบรบรอง หากไมเขาใจความหมายหรอไมสามารถประมวลผลขอมลในฟลดเพมเตมได

(2) F (False) : ฟลดเพมเตมทวไป โดยซอฟตแวรสามารถใชงานใบรบรองได แมไมเขาใจความหมายของฟลดเพมเตม ทงน หากซอฟตแวรเขาใจความหมายของฟลดเพมเตม ซอฟตแวรตองประมวลผลขอมลในฟลดเพมเตมดวย

ขมธอ. 15-2560

-4-

4. การก าหนดขอมลในใบรบรอง คณะท างาน Public-Key Infrastructure (X.509) หรอ PKIX ถกตงขนเพอพฒนามาตรฐานทเกยวของกบ

การใชงานโครงสรางพนฐานกญแจสาธารณะทอยบนพนฐานของ X.509 [3] ในอนเทอรเนต โดยคณะท างาน PKIX ไ ด จ ด ท า เ อ กส า ร RFC 5280 “ Internet X. 5 0 9 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile” [4] เพอน าเสนอมาตรฐานขอมลทใชในใบรบรอง X.509 เวอรชน 3 และรายการเพกถอนใบรบรอง X.509 เวอรชน 2 ส าหรบการใชงานในอนเทอรเนต โดยปจจบน RFC 5280 มการอางอง เพอใชงานอยางแพรหลาย

การก าหนดขอมลในใบรบรองตามขอเสนอแนะมาตรฐานฉบบนอางองกบ RFC 5280 โดยมรายละเอยดดงน

โครงสรางของใบรบรอง

RFC 5280 ก าหนดโครงสรางพนฐานของใบรบรอง X.509 เวอรชน 3 ในรปแบบ ASN.1 [5] ดงน

Certificate ::= SEQUENCE { tbsCertificate TBSCertificate, signatureAlgorithm AlgorithmIdentifier, signatureValue BIT STRING }

โครงสรางพนฐานขางตนแสดงใหเหนวาใบรบรองประกอบดวยฟลดขอมล 3 ฟลด คอ

(1) ฟลด tbsCertificate : แสดงขอมลในใบรบรอง ซงประกอบดวย ขอมลของเจาของใบรบรอง ขอมลของผออกใบรบรอง กญแจสาธารณะของผเปนเจาของใบรบรอง ชวงเวลาทใบรบรองสามารถใชงานได และฟลดเพมเตมส าหรบบรรจขอมลอน ๆ ทอยนอกเหนอจากฟลดพนฐาน

(2) ฟลด signatureAlgorithm : แสดงขอมลอลกอรทมทผใหบรการออกใบรบรองใชลงลายมอชอดจทลเพอรบรองขอมลในใบรบรอง โดยอลกอรทมทใชตองเปนชนดเดยวกบอลกอรทมทระบ ในฟลด signature ของ tbsCertificate (ขอ 4.2.3)

(3) ฟลด signatureValue : แสดงลายมอชอดจทลทสรางขนโดยผใหบรการออกใบรบรองเพอรบรองความถกตองของขอมลในฟลด tbsCertificate ซงหมายความวา ผใหบรการออกใบรบรอง ไดรบรองขอมลของเจาของใบรบรอง และความเชอมโยงระหวางขอมลดงกลาวกบกญแจสาธารณะ ทระบในใบรบรอง

ขอมลในใบรบรอง

ขอมลในใบรบรอง ถกบรรจอยในฟลดทชอวา “tbsCertificate” ซงเปนฟลดทประกอบดวยขอมลพนฐานทจ าเปนตองปรากฏในใบรบรองทกใบ และฟลดเ พมเตม โดยโครงสรางขอมลในใบรบรอง หรอ ฟลดประเภท TBSCertificate ตาม RFC 5280 มดงน

TBSCertificate ::= SEQUENCE { version [0] EXPLICIT Version DEFAULT v1, serialNumber CertificateSerialNumber,

ขมธอ. 15-2560

-5-

signature AlgorithmIdentifier, issuer Name, validity Validity, subject Name, subjectPublicKeyInfo SubjectPublicKeyInfo, issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version MUST be v2 or v3 subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version MUST be v2 or v3 extensions [3] EXPLICIT Extensions OPTIONAL -- If present, version MUST be v3 }

Version ::= INTEGER { v1(0), v2(1), v3(2) }

CertificateSerialNumber ::= INTEGER

Validity ::= SEQUENCE { notBefore Time, notAfter Time }

Time ::= CHOICE { utcTime UTCTime, generalTime GeneralizedTime }

SubjectPublicKeyInfo ::= SEQUENCE { algorithm AlgorithmIdentifier, subjectPublicKey BIT STRING }

Extensions ::= SEQUENCE SIZE (1..MAX) OF Extension

Extension ::= SEQUENCE { extnID OBJECT IDENTIFIER, critical BOOLEAN DEFAULT FALSE, extnValue OCTET STRING }

ขมธอ. 15-2560

-6-

รายละเอยดของแตละฟลดมดงน

version

ฟลด version แสดงขอมลเวอรชนของใบรบรอง ซง RFC 5280 นยามชนดขอมล Version ดงน

Version ::= INTEGER { v1(0), v2(1), v3(2) }

ทงน เพอใหใบรบรองรองรบการใชงานฟลดเพมเตม จงก าหนดใหใชเฉพาะใบรบรองเวอรชน 3 (ระบคาเปน 2)

serialNumber

ฟลด serialNumber แสดงขอมลหมายเลขใบรบรอง (Certificate Serial Number) ซงมคาเปนจ านวนเตมบวก ขนาดไมเกน 20 octets (160 บต) และไมซ ากบหมายเลขใบรบรองอนทออกโดย ผใหบรการออกใบรบรองรายเดยวกน

RFC 5280 นยามชนดขอมล CertificateSerialNumber ดงน

CertificateSerialNumber ::= INTEGER

signature

ฟลด signature แสดง Algorithm Identifier ซงประกอบดวยหมายเลข Object Identifier (OID) ของอลกอลทมและคาพารามเตอร (ถาม) ทผใหบรการออกใบรบรองใชลงลายมอชอดจทลเพอรบรองขอมลในใบรบรองน

RFC 5280 นยามชนดขอมล AlgorithmIdentifier ดงน

AlgorithmIdentifier ::= SEQUENCE { algorithm OBJECT IDENTIFIER, parameters ANY DEFINED BY algorithm OPTIONAL }

ทงน อลกอรทมทระบจะตองเลอกจากรายการอลกอรทมในตารางท 1

ตารางท 1 อลกอรทมทใชในการลงลายมอชอดจทลบนใบรบรอง

ล าดบ อลกอรทมทใชในการลงลายมอชอดจทล Object Identifier (OID)

1 sha256WithRSAEncryption 1.2.840.113549.1.1.11



ขมธอ. 15-2560

-7-

issuer

ฟลด issuer แสดงขอมลระบผใหบรการออกใบรบรองทออกใบรบรองน โดยใชชนดขอมลตาม ITU-T X.501 “Name” [6] ซงมโครงสราง ASN.1 ดงน

Name ::= CHOICE { -- only one possibility for now -- rdnSequence RDNSequence }

RDNSequence ::= SEQUENCE OF RelativeDistinguishedName

RelativeDistinguishedName ::= SET SIZE (1..MAX) OF AttributeTypeAndValue

AttributeTypeAndValue ::= SEQUENCE { Type AttributeType, Value AttributeValue }

AttributeType ::= OBJECT IDENTIFIER

AttributeValue ::= ANY -- DEFINED BY AttributeType -- For many of the attribute types defined in X.520 [7], -- the AttributeValue uses the DirectoryString type. DirectoryString ::= CHOICE {

teletexString TeletexString (SIZE (1..MAX)), printableString PrintableString (SIZE (1..MAX)), universalString UniversalString (SIZE (1..MAX)), utf8String UTF8String (SIZE (1..MAX)), bmpString BMPString (SIZE (1..MAX)) }

ท งน ขอมลในฟลด issuer จะใชการเขารหส (Encoding) แบบ PrintableString1 และประกอบดวยคณลกษณะตามตารางท 2

1 PrintableString ประกอบดวยอกขระดงน a-z A-Z 0-9 ' ( ) + , - . ? : / = และ space

ขมธอ. 15-2560

-8-

ตารางท 2 คณลกษณะของฟลด issuer ในใบรบรอง

คณลกษณะ ความหมาย commonName (cn) ชอของผใหบรการออกใบรบรอง และอาจระบขอมลบงบอกถงระบบบรการ

เปนภาษาองกฤษ เชน “ABC CA-G2” organizationalUnitName (ou)

ชอหนวยงานยอยในองคกรของผใหบรการออกใบรบรอง เปนภาษาองกฤษ เชน “ABC Certification Authority”

organizationName (o) ชอองคกรของผใหบรการออกใบรบรอง เปนภาษาองกฤษ เชน “ABC Company Limited”

countryName (c) รหสประเทศ อยในรปแบบ 2 ตวอกษรตามทก าหนดใน ISO 3166-1 คอ “TH”

validity

ฟลด validity แสดงชวงเวลาทสามารถใชใบรบรองได โดยประกอบดวยขอมลวนและเวลา ทใบรบรองเรมตนใชงานได (notBefore) และวนและเวลาทใบรบรองหมดอาย (notAfter) โดยขอมล วนและเวลาสามารถระบได 2 รปแบบ คอ UTCTime และ GeneralizedTime

ทงน ใบรบรองทหมดอายกอนป ค.ศ. 2050 ตองระบขอมลในฟลด validity เปน UTCTime และใบร บรองท หมดอาย ในป ค .ศ . 2050 เป นต น ไป ต อ งระบ ข อม ล ใน ฟลด validity เปน GeneralizedTime [4]

RFC 5280 นยามชนดขอมล Validity ดงน

Validity ::= SEQUENCE { notBefore Time, notAfter Time }

Time ::= CHOICE { utcTime UTCTime, generalTime GeneralizedTime }

รปแบบของ UTCTime และ GeneralizedTime มรายละเอยดดงน UTCTime มรปแบบคอ YYMMDDhhmmssZ GeneralizedTime มรปแบบคอ YYYYMMDDhhmmssZ

โดย YYYY คอ ปครสตศกราชในรปแบบตวเลข 4 หลก YY คอ ปครสตศกราชในรปแบบตวเลข 2 หลกหลง MM คอ เดอนในรปแบบตวเลข 2 หลก (01-12) DD คอ วนในรปแบบตวเลข 2 หลก (01-31) hh คอ ชวโมงในรปแบบตวเลข 2 หลก (00-23) mm คอ นาทในรปแบบตวเลข 2 หลก (00-59) ss คอ วนาทในรปแบบตวเลข 2 หลก (00-59)

ขมธอ. 15-2560

-9-

Z ตวอกษร ‘Z’ ซงแสดงวา เวลาทระบเปนเวลากลางของโลก หรอ Greenwich Mean Time (Zulu)

subject

ฟลด subject แสดงขอมลระบเอนทตทผใหบรการออกใบรบรองไดรบรองวาเปนเจาของกญแจสวนตว ซงเปนคกบกญแจสาธารณะทอยในใบรบรอง โดยขอมลในฟลด subject เปนขอมลชนด ITU-T X.501 “Name” ซงโครงสราง ASN.1 เปนไปตามขอ 4.2.4

รายการคณลกษณะทใชทวไปในฟลด subject เปนไปตามตารางท 3 ทงน การก าหนดขอมลคณลกษณะในฟลด subject ของใบรบรองแตละประเภทเปนไปตามขอ 0

ตารางท 3 คณลกษณะของฟลด subject ในใบรบรอง

คณลกษณะ ความหมาย commonName (cn) ชอทวไป givenName ชอจรง surname (sn) นามสกล serialNumber หมายเลขทใชระบตวตนของเอนทตซงเปนเจาของใบรบรอง title ต าแหนง organizationalUnitName (ou) ชอหนวยงานยอยในองคกร organizationName (o) ชอองคกร organizationIdentifier หมายเลขระบองคกร localityName (l) ชออ าเภอ หรอ ชอเขต stateOrProvinceName (s) ชอจงหวด country (c) รหสประเทศ อยในรปแบบ 2 ตวอกษรตามทก าหนดใน ISO 3166-1

subjectPublicKeyInfo

ฟลด subjectPublicKeyInfo แสดงขอมลกญแจสาธารณะ และอลกอรทมของกญแจสาธารณะ ซง RFC 5280 นยามชนดขอมล SubjectPublicKeyInfo ดงน

SubjectPublicKeyInfo ::= SEQUENCE { algorithm AlgorithmIdentifier, subjectPublicKey BIT STRING }

ทงน หมายเลข OID ของอลกอลทมท ใชตองเปน 1.2.840.113549.1.1.1 ซ งหมายถง RSA encryption และ subjectPublicKey ตองมขนาด 4096 บตเปนอยางนอยส าหรบใบรบรอง ของผใหบรการออกใบรบรอง และ 2048 บตเปนอยางนอยส าหรบใบรบรองของผใชบรการ

ขมธอ. 15-2560

-10-

extensions

ใบรบรองเวอรชน 3 รองรบการใชงานฟลด extensions ซงเปนฟลดส าหรบแสดงขอมลเพมเตมเกยวกบเจาของใบรบรอง กญแจสาธารณะ และการจดการใบรบรอง

RFC 5280 นยามชนดขอมล Extensions ดงน

Extensions ::= SEQUENCE SIZE (1..MAX) OF Extension

Extension ::= SEQUENCE { extnID OBJECT IDENTIFIER, critical BOOLEAN DEFAULT FALSE, extnValue OCTET STRING }

โครงสรางขางตนแสดงใหเหนวาฟลด Extension มสวนประกอบ 3 สวน คอ

(1) extnID : หมายเลข OID ทบงบอกถงประเภทของฟลดเพมเตมตวอยางเชน หมายเลข OID เปน 2.5.29.32 บงบอกวาฟลดเพมเตมนบรรจขอมลเกยวกบแนวนโยบายของผใหบรการ ออกใบรบรอง (Certificate Policy : CP) ทงน หมายเลข OID ทบงบอกประเภทของฟลดเพมเตมตามมาตรฐาน ITU-T X. 509 (Standard Extensions) จะอยภายใตหมายกง 2.5.29

(2) critical : คาความส าคญของขอมลในฟลดเพมเตม ในรปแบบ Boolean

ก. คา critical เปน True หมายถง ซอฟตแวรจะตองปฏเสธการใชงานใบรบรอง หากไมสามารถเขาใจความหมายหรอไมสามารถประมวลผลขอมลในฟลดเพมเตมได

ข. คา critical เปน False หมายถง ซอฟตแวรสามารถใชงานใบรบรองได แมไมเขาใจความหมายของฟลดเพมเตม ทงน หากซอฟตแวรเขาใจความหมายของฟลดเพมเตม ซอฟตแวรตองประมวลผลขอมลในฟลดเพมเตมดวย

(3) extnValue : ขอมลในฟลดเพมเตม

RFC 5280 ไดก าหนดฟลดเพมเตมหลายชนดใหเลอกใชงาน ทงฟลดเพมเตมทเปนไปตามมาตรฐาน ITU-T X. 509 (Standard Extensions) และฟลด เ พม เตมท ก าหนดข น เ พอใช งาน ตามวตถประสงคเฉพาะ (Private Internet Extensions) ทงน ขอเสนอแนะมาตรฐานฉบบนจะกลาวถงเฉพาะฟลดเพมเตมทส าคญส าหรบการใชงานรวมกนของซอฟตแวรในประเทศไทย ดงรายละเอยด ในตารางท 4

ตารางท 4 รายการฟลดเพมเตมในใบรบรอง

ฟลดเพมเตม Object Identifier

(OID) M C

ฟลดเพมเตมทเปนไปตามทมาตรฐาน ITU-T X. 509 (Standard Extensions)

authorityKeyIdentifier 2.5.29.35 m F

subjectKeyIdentifier 2.5.29.14 m F

ขมธอ. 15-2560

-11-

ฟลดเพมเตม Object Identifier

(OID) M C

keyUsage 2.5.29.15 m T certificatePolicies 2.5.29.32 m F subjectAltName 2.5.29.17 o F basicConstraints 2.5.29.19 m T extKeyUsage 2.5.29.37 o F cRLDistributionPoints 2.5.29.31 m F ฟลดเพมเตมทก าหนดขนเพอใชงานตามวตถประสงคเฉพาะ (Private Internet Extensions) authorityInfoAcess 1.3.6.1.5.5.7.1.1 m F

หมายเหต : 1. ค าอธบายคาของสดมภ M และ C อางองตามรายละเอยดในขอ 3.1, 3.2 และ 3.3 2. ในกรณทมความจ าเปนตองใชฟลดเพมเตมทนอกเหนอจากรายการในตารางท 4 ผใหบรการออกใบรบรองสามารถก าหนดฟลดเพมเตมไดโดยวธการก าหนดขอมลใหอางองตาม ISO/IEC 9594-8 : 2017 หรอ RFC 5280

authorityKeyIdentifier

authorityKeyIdentifier เปนฟลด เ พมเตมทระบคาอางองถงกญแจสาธารณะท เปน คกบกญแจสวนตวซงผ ใหบรการออกใบรบรองใชลงลายมอชอดจทลเพอรบรองใบรบรองน โดย authorityKeyIdentifier มประโยชนในกรณทผใหบรการออกใบรบรองมกญแจสวนตวส าหรบลงลายมอชอดจทลมากกวา 1 อน

RFC 5280 นยามฟลด authorityKeyIdentifier ดงน

id-ce-authorityKeyIdentifier OBJECT IDENTIFIER ::= { id-ce 35 }

AuthorityKeyIdentifier ::= SEQUENCE { keyIdentifier [0] KeyIdentifier OPTIONAL, authorityCertIssuer [1] GeneralNames OPTIONAL, authorityCertSerialNumber [2] CertificateSerialNumber OPTIONAL }

KeyIdentifier ::= OCTET STRING

ทงน ใหระบเฉพาะคาของ KeyIdentifier ซงเปนคาของฟงกชน SHA-1 Hash ของกญแจสาธารณะของผใหบรการออกใบรบรอง

subjectKeyIdentifier

subjectKeyIdentifier เปนฟลดเพมเตมทระบคาอางองถงกญแจสาธารณะของเจาของใบรบรอง โดย RFC 5280 นยามฟลด subjectKeyIdentifier ดงน

id-ce-subjectKeyIdentifier OBJECT IDENTIFIER ::= { id-ce 14 }

SubjectKeyIdentifier ::= KeyIdentifier

ขมธอ. 15-2560

-12-

KeyIdentifier ::= OCTET STRING

ทงน คาของ KeyIdentifier ใหระบเปนคาของฟงกชน SHA-1 Hash ของกญแจสาธารณะ ทอยในใบรบรองใบน (กญแจสาธารณะ คอขอมลในฟลด subjectPublicKey ซงอยภายใตฟลด subjectPublicKeyInfo ดงรายละเอยดในขอ 4.2.7)

keyUsage

keyUsage เปนฟลดเพมเตมทใชระบถงวตถประสงคของการใชกญแจสาธารณะซงอย ในใบรบรอง อาท การเขารหสลบขอมล และการตรวจสอบลายมอชอดจทล โดยการก าหนดวตถประสงคของการใชกญแจสาธารณะสามารถก าหนดวตถประสงคไดมากกวา 1 วตถประสงค ตามความเหมาะสมของการใชงานและความปลอดภยในการดแลรกษากญแจสวนตว

RFC 5280 นยามฟลด keyUsage ดงน

id-ce-keyUsage OBJECT IDENTIFIER ::= { id-ce 15 }

KeyUsage ::= BIT STRING { digitalSignature (0), contentCommitment (1), keyEncipherment (2), dataEncipherment (3), keyAgreement (4), keyCertSign (5), cRLSign (6), encipherOnly (7), decipherOnly (8) } บตใน keyUsage บงบอกถงวตถประสงคของการใชงานกญแจสาธารณะในใบรบรอง ดงน

(0) digitalSignature มคา เปน 1 เมอใชส าหรบตรวจสอบลายมอชอดจทลท ใช เพอการยนยนตวตนของผลงลายมอชอ การยนยนแหลงทมา ของขอมล และ/หรอ ความครบถวนสมบรณ ( Integrity) ของขอมล

(1) contentCommitment มคา เปน 1 เมอใชส าหรบตรวจสอบลายมอชอดจทลท ใช เพอการรบรองวาผลงลายมอชอไดรบรองเนอหาทตนลงนาม และยนยอมใหมผลผกพนกบตน หรอผลงลายมอชอไดทบทวนและเหนชอบในเนอหา

(2) keyEncipherment มคาเปน 1 เมอใชส าหรบการเขารหสลบกญแจ หรอขอมล ดานความปลอดภย เชน การแลกเปลยนกญแจ (Key Transport)

ขมธอ. 15-2560

-13-

(3) dataEncipherment มคาเปน 1 เมอใชส าหรบการเขารหสลบขอมลของผใชบรการ

(4) keyAgreement มคาเปน 1 เมอใชส าหรบกระบวนการ key agreement

(5) keyCertSign ม ค า เ ป น 1 เ ม อ ใ ช ส า ห ร บ ต ร ว จสอบ ล ายม อ ช อ ด จ ท ล ของผใหบรการออกใบรบรอง

(6) cRLSign มคาเปน 1 เมอใชส าหรบตรวจสอบลายมอชอดจทลของผออกรายการเพกถอนใบรบรอง

(7) encipherOnly มคาเปน 1 เมอใชส าหรบเขารหสลบขอมลในกระบวนการ key agreement โดยตองใชรวมกบ keyAgreement

(8) decipherOnly มคาเปน 1 เมอใชส าหรบถอดรหสลบขอมลในกระบวนการ key agreement โดยตองใชรวมกบ keyAgreement

ทงน ใบรบรองของผใชบรการ จะเลอกตงคาเฉพาะบต (0) (1) (2) และ (3) โดยบตอน ๆ มคาเปน 0

certificatePolicies

certificatePolicies เปนฟลด เ พมเตมท แสดงขอมลนโยบาย (Policy information) ทเกยวของกบการออกใบรบรองและวตถประสงคของการใชใบรบรองทก าหนดโดยผใหบรการ ออกใบรบรอง ซงแตละนโยบายประกอบดวยหมายเลข OID ของนโยบายและอาจมขอมลเพมเตม (Qualifier)

RFC 5280 นยามฟลด certificatePolicies ดงน

id-ce-certificatePolicies OBJECT IDENTIFIER ::= { id-ce 32 }

CertificatePolicies ::= SEQUENCE SIZE (1..MAX) OF PolicyInformation

PolicyInformation ::= SEQUENCE { policyIdentifier CertPolicyId, policyQualifiers SEQUENCE SIZE (1..MAX) OF PolicyQualifierInfo OPTIONAL }

CertPolicyId ::= OBJECT IDENTIFIER

PolicyQualifierInfo ::= SEQUENCE { policyQualifierId PolicyQualifierId, qualifier ANY DEFINED BY policyQualifierId }

-- policyQualifierIds for Internet policy qualifiers id-qt OBJECT IDENTIFIER ::= { id-pkix 2 } id-qt-cps OBJECT IDENTIFIER ::= { id-qt 1 }

ขมธอ. 15-2560

-14-

id-qt-unotice OBJECT IDENTIFIER ::= { id-qt 2 }

PolicyQualifierId ::= OBJECT IDENTIFIER ( id-qt-cps | id-qt-unotice )

Qualifier ::= CHOICE { cPSuri CPSuri, userNotice UserNotice }

CPSuri ::= IA5String

UserNotice ::= SEQUENCE { noticeRef NoticeReference OPTIONAL, explicitText DisplayText OPTIONAL }

NoticeReference ::= SEQUENCE { Organization DisplayText, noticeNumbers SEQUENCE OF INTEGER }

DisplayText ::= CHOICE { ia5String IA5String (SIZE (1..200)), visibleString VisibleString (SIZE (1..200)), bmpString BMPString (SIZE (1..200)), utf8String UTF8String (SIZE (1..200)) }

จากโครงสรางขางตน ขอมลนโยบาย (Policy Information) แบงออกเปน 2 สวน ไดแก

(1) PolicyIdentifier : ขอมลระบหมายเลข OID ของแนวนโยบาย (Certificate Policy) ทเกยวของกบการออกใบรบรองและวตถประสงคของการใชใบรบรอง

(2) PolicyQualifiers : ขอมลเพมเตมจากแนวนโยบายทก าหนดใน PolicyIdentifier ซงเปนไปได 2 รปแบบ คอ

(2.1) CPS Pointer {OID = 1.3.6.1.5.5.7.2.1} : ตวบงช ไปยงแนวปฏบตของผใหบรการออกใบรบรอง (Certification Practice Statement : CPS) ส าหรบการใหบรการออกใบรบรอง ในรปแบบ Uniform Resource Identifier (URI)

(2.2) User notice {OID = 1.3.6.1.5.5.7.2.2} : -ขอความทแสดงตอผใชบรการและ ผทเกยวของ (Relying Party) เมอใชใบรบรอง โดยซอฟตแวรควรจะแสดงขอความนเมอใชใบรบรอง

ขมธอ. 15-2560

-15-

subjectAltName

subjectAltName เปนฟลดเพมเตมทใชระบขอมลเกยวกบเอนทตทเปนเจาของใบรบรองเพมเตมจากฟลด subject โดยสามารถก าหนดไดหลายรปแบบ เชน e-mail address, Domain Name, IP Address และ URI เปนตน

RFC 5280 นยามฟลด subjectAltName ดงน

id-ce-subjectAltName OBJECT IDENTIFIER ::= { id-ce 17 }

SubjectAltName ::= GeneralNames

GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName

GeneralName ::= CHOICE { otherName [0] OtherName, rfc822Name [1] IA5String, dNSName [2] IA5String, x400Address [3] ORAddress, directoryName [4] Name, ediPartyName [5] EDIPartyName, uniformResourceIdentifier [6] IA5String, iPAddress [7] OCTET STRING, registeredID [8] OBJECT IDENTIFIER }

OtherName ::= SEQUENCE { type-id OBJECT IDENTIFIER, value [0] EXPLICIT ANY DEFINED BY type-id }

EDIPartyName ::= SEQUENCE { nameAssigner [0] DirectoryString OPTIONAL, partyName [1] DirectoryString }

basicConstraints

basicConstraints เปนฟลดเพมเตมทใชระบวาใบรบรองนเปนใบรบรองของผใหบรการ ออกใบรบรองหรอไม พรอมทงจ านวนใบรบรองล าดบชนถดลงมา (Subordinate CA Certificate) ทมากทสดทอนญาตใหอยในล าดบชนถดลงมาจากใบรบรองใบนใน certification path

RFC 5280 นยามฟลด basicConstraints ดงน

id-ce-basicConstraints OBJECT IDENTIFIER ::= { id-ce 19 }

ขมธอ. 15-2560

-16-

BasicConstraints ::= SEQUENCE { cA BOOLEAN DEFAULT FALSE, pathLenConstraint INTEGER (0..MAX) OPTIONAL }

basicConstraints extension สามารถใชระบขอจ ากดพนฐานได 2 รายการ คอ

(1) cA คอ คาชนด Boolean ทแสดงวาใบรบรองน เปนใบรบรองของผใหบรการออกใบรบรองหรอไม โดย

(1.1) cA มคาเปน True หมายถง ใบรบรองของผใหบรการออกใบรบรอง

(1.2) cA มคาเปน False หมายถง ใบรบรองของผใชงาน

(2) pathLenConstraint จะมความหมายกตอเมอ cA มคาเปน True โดย pathLenConstraint แสดงจ านวนใบรบรองล าดบชนถดลงมา (Subordinate CA Certificate) ทมากทสดทอนญาตใหอยในล าดบชนถดจากใบรบรองใบนใน certification path

ส าหรบใบรบรองภายใตผใหบรการออกใบรบรองอเลกทรอนกสแหงชาตนน มการก าหนด คา cA และ pathLenConstraint เปนไปตามตารางท 5

ตารางท 5 คา cA และ pathLenConstraint ในใบรบรองแตละประเภท

ประเภทของใบรบรอง คา cA คา

pathLenConstraint 1. ใบรบรองของผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 1 True 1 2. ใบรบรองของผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 2 True 0 3. ใบรบรองของผใชบรการ (Subscriber Certificate) False หามมฟลดน

extKeyUsage

extKeyUsage เปนฟลดเพมเตมทใชระบถงวตถประสงคของการใชกญแจสาธารณะในใบรบรองทเพมเตมจากฟลด keyUsage ในขอ 4.2.8.3

RFC 5280 นยามฟลด extKeyUsage ดงน

id-ce-extKeyUsage OBJECT IDENTIFIER ::= { id-ce 37 }

ExtKeyUsageSyntax ::= SEQUENCE SIZE (1..MAX) OF KeyPurposeId

KeyPurposeId ::= OBJECT IDENTIFIER

RFC 5280 ก าหนดวตถประสงคของการใชงานไวดงน

anyExtendedKeyUsage OBJECT IDENTIFIER ::= { id-ce-extKeyUsage 0 }

id-kp OBJECT IDENTIFIER ::= { id-pkix 3 }

ขมธอ. 15-2560

-17-

id-kp-serverAuth OBJECT IDENTIFIER ::= { id-kp 1 } -- ใชส ำหรบยนยนตวตน Server (Server authentication)

id-kp-clientAuth OBJECT IDENTIFIER ::= { id-kp 2 } -- ใชส ำหรบยนยนตวตนผใชบรกำร (Client authentication)

id-kp-codeSigning OBJECT IDENTIFIER ::= { id-kp 3 } -- ใชส ำหรบรบรองทมำของโคด (Signing of downloadable executable code)

id-kp-emailProtection OBJECT IDENTIFIER ::= { id-kp 4 } -- ใชส ำหรบปองกนจดหมำยอเลกทรอนกส (Email protection)

id-kp-timeStamping OBJECT IDENTIFIER ::= { id-kp 8 } -- ใชส ำหรบประทบรบรองเวลำ (Time Stamping)

id-kp-OCSPSigning OBJECT IDENTIFIER ::= { id-kp 9 } -- ใชส ำหรบลงลำยมอชอบน OCSP Reponse

ทงน ส าหรบการใชงานใบรบรองรวมกบ Microsoft Root Certificate Program [8] ใบรบรองจะตองระบคา extKeyUsage ทไมใช anyExtendedKeyUsage ซง Microsoft ไดเพมหมายเลข OID ส าหรบก าหนดวตถประสงคของการใชงานเพมเตมจาก RFC 5280 คอ Encrypting File System {1.3.6.1.4.1.311.10.3.4} และ Document Signing {1.3.6.1.4.1.311.10.3.12}

รายการวตถประสงคของการใชงานกญแจสาธารณะทระบฟลด extKeyUsage ทส าคญเปนไปตามตารางท 6

ตารางท 6 วตถประสงคของการใชงานกญแจสาธารณะในฟลด extKeyUsage

วตถประสงคของการใชงาน Object Identifier

(OID) วตถประสงค

id-kp-serverAuth 1.3.6.1.5.5.7.3.1 การยนยนตวตน Server (Server Authentication) ผานโปรโตคอล SSL หรอ TLS

id-kp-clientAuth 1.3.6.1.5.5.7.3.2 การยนยนตวตนผใชบรการ (Client Authentication) ผานโปรโตคอล SSL หรอ TLS

id-kp-codeSigning 1.3.6.1.5.5.7.3.3 การลงลายมอชอดจทลรบรองทมาของโคด id-kp-emailProtection 1.3.6.1.5.5.7.3.4 การปองกนจดหมายอเลกทรอนกส (Email protection) id-kp-timeStamping 1.3.6.1.5.5.7.3.8 การประทบรบรองเวลา (Time Stamping) id-kp-OCSPSigning 1.3.6.1.5.5.7.3.9 การลงลายมอชอส าหรบ OCSP Reponse

ขมธอ. 15-2560

-18-

วตถประสงคของการใชงาน Object Identifier

(OID) วตถประสงค

szOID_EFS_CRYPTO 1.3.6.1.4.1.311.10.3.4 การเขารหสลบ File System (Encrypting File System) szOID_KP_DOCUMENT_SIGNING

1.3.6.1.4.1.311.10.3.12 การลงลายมอชอบนเอกสาร (Document Signing)

cRLDistributionPoints

cRLDistributionPoints เปนฟลดเพมเตมทใชระบวธการเขาถงรายการเพกถอนใบรบรอง โดยแสดงเปนล าดบของแหลงเผยแพรรายการเพกถอนใบรบรอง

RFC 5280 นยามฟลด cRLDistributionPoints ดงน

id-ce-cRLDistributionPoints OBJECT IDENTIFIER ::= { id-ce 31 }

CRLDistributionPoints ::= SEQUENCE SIZE (1..MAX) OF DistributionPoint

DistributionPoint ::= SEQUENCE { distributionPoint [0] DistributionPointName OPTIONAL, reasons [1] ReasonFlags OPTIONAL, cRLIssuer [2] GeneralNames OPTIONAL }

DistributionPointName ::= CHOICE { fullName [0] GeneralNames, nameRelativeToCRLIssuer [1] RelativeDistinguishedName }

ReasonFlags ::= BIT STRING { unused (0), keyCompromise (1), cACompromise (2), affiliationChanged (3), superseded (4), cessationOfOperation (5), certificateHold (6), privilegeWithdrawn (7), aACompromise (8) }

ขมธอ. 15-2560

-19-

ผ ใหบรการออกใบรบรองสามารถระบ แหลงเผยแพร รายการเ พกถอนใบรบรอง (DistributionPoint) ไดมากกวา 1 แหลง โดยแตละแหลงสามารถระบขอมลดงน

(1) distributionPoint : แหลงเผยแพรรายการเพกถอนใบรบรอง โดยใหก าหนดเปน URI ของรายการเ พกถอนใบรบรองปจจบน โดยใบรบรองแตละใบจะตองม ข อมล DistributionPointName อยางนอย 1 แหลง

(2) reason : เหตผลในการเพกถอนใบรบรอง (3) cRLIssuer : Distinguished name (DN) ของผออกรายการเพกถอนใบรบรอง ใชในกรณท

ผใหบรการออกใบรบรองไมไดเปนผออกรายการเพกถอนใบรบรองเอง

authorityInfoAccess

authorityInfoAccess เปนฟลดเ พมเตมทระบวธการเขาถงขอมล และบรการตาง ๆ ของผใหบรการออกใบรบรองทออกใบรบรองน

RFC 5280 นยามฟลด authorityInfoAccess ดงน

id-pe-authorityInfoAccess OBJECT IDENTIFIER ::= { id-pe 1 }

AuthorityInfoAccessSyntax ::= SEQUENCE SIZE (1..MAX) OF AccessDescription

AccessDescription ::= SEQUENCE { accessMethod OBJECT IDENTIFIER, accessLocation GeneralName }

ทงน RFC 5280 นยามวธการเขาถงขอมลและบรการของผใหบรการออกใบรบรอง 2 วธ คอ id-ad-caIssuers และ id-ad-ocsp รายละเอยดตามตารางท 7

ตารางท 7 วธการเขาถงขอมลและบรการของผใหบรการออกใบรบรอง

วธการเขาถง (accessMethod)

Object Identifier (OID)

รายละเอยด

id-ad-ocsp 1.3.6.1.5.5.7.48.1 การเขาถงสถานะการเพกถอนใบรบรองใบน ผานโปรโตคอล Online Certificate Status Protocol (OCSP)

id-ad-caIssuers 1.3.6.1.5.5.7.48.2 การเขาถงรายการใบรบรองของผใหบรการออกใบรบรอง ทออกใบรบรองน ผานชอ directory หรอ LDAP หรอ HTTP หรอ FTP

ขมธอ. 15-2560

-20-

ขอแนะน าในการก าหนดขอมลในใบรบรอง

ใบรบรองของผใหบรการออกใบรบรองล าดบชนถดลงมา (Subordinate CA Certificate) ชนท 1

ใบรบรองของผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 1 คอ ใบรบรองทผใหบรการออกใบรบรองอเลกทรอนกสแหงชาต ออกใหกบผใหบรการออกใบรบรองล าดบชนถดลงมา (รายละเอยดตาม ภาคผนวก ก.)

การก าหนดขอมลในใบรบรองของผ ใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 1 มรายละเอยดตามตารางท 8 โดยขอมลในฟลด issuer และฟลด subject ใชการเขารหสแบบ PrintableString เทานน

ตารางท 8 การก าหนดขอมลในใบรบรองของผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 1


ฟลดพนฐาน (Basic Fields) 1 version m 2 (Version 3) 4.2.1 2 serialNumber m ตวเลขทไมซ ากนระหวางใบรบรองภายใตผใหบรการออก

ใบรบรองรายเดยวกน โดยเปนตวเลขแบบสมและไมเรยงกนเมอเทยบกบใบรบรองทออกกอนหนาและตอจากใบน (randomized and non-sequential) ทงน จะตองมคามากกวา 0 และขนาดไมนอยกวา 64 บต [9]

4.2.2

3 signature m OID={1.2.840.113549.1.1.13} (sha512WithRSAEncryption)

4.2.3

4 issuer m 4.2.4 4.1 commonName (cn) m ชอผใหบรการออกใบรบรองล าดบชนบนสด และขอมลบงบอก

ถงระบบบรการ เปนภาษาองกฤษ เชน “Thailand National Root Certification Authority - G1”

4.2 organizationalUnitName (ou)

o ชอหนวยงานยอยในองคกรของผใหบรการออกใบรบรองล าดบชนบนสด เปนภาษาองกฤษ เชน “Thailand National Root Certification Authority”

4.3 organizationName (o) m ชอองคกรของผใหบรการออกใบรบรองล าดบชนบนสด เปนภาษาองกฤษ เชน “Electronic Transactions Development Agency (Public Organization)”

4.4 countryName (c) m “TH” 5 validity m 4.2.5 5.1 notBefore m วนและเวลาทใบรบรองเรมใชงานได 5.2 notAfter m วนและเวลาทใบรบรองสนสดการใชงาน 6 subject m 4.2.6

ขมธอ. 15-2560

-21-


6.1 commonName (cn) m ชอผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 1 และขอมลบงบอกถงระบบบรการ เปนภาษาองกฤษ เชน “ABC Certification Authority - G1”


o ชอหนวยงานยอยในองคกรของผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 1 เปนภาษาองกฤษ เชน “ABC Certification Authority”

6.3 organizationName (o) m ชอองคกรของผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 1 เปน ภาษาองกฤษ เชน “ABC Corporation”

6.4 countryName (c) m “TH” 7 subjectPublicKeyInfo m 4.2.7 7.1 algorithm m OID = {1.2.840.113549.1.1.1}

(RSA encryption)

7.2 subjectPublicKey m กญแจสาธารณะชนด RSA ความยาวอยางนอย 4096 บต ฟลดเพมเตม (Extension Fields) 8 authorityKeyIdentifier m F keyIdentifier บรรจคาของฟงกชน SHA-1 Hash ของกญแจ

สาธารณะทเปนคกบกญแจสวนตวซงผใหบรการออกใบรบรองล าดบชนบนสดใชลงลายมอชอดจทลเพอรบรองใบรบรองน

4.2.8.1

9 subjectKeyIdentifier m F keyIdentifier บรรจคาของฟงกชน SHA-1 Hash ของ subjectPublicKey ซงอยในฟลด subjectPublicKeyInfo

4.2.8.2

10 keyUsage m T - ตงคา keyCertSign และ cRLSign เปน 1 - สามารถเลอกตงคา digitalSignature เปน 1 - คาอน ๆ เปน 0

4.2.8.3

11 certificatePolicies m F 4.2.8.4 11.1 policyIdentifier m OID ของ Certificate Policy 11.2 policyQualifiers m ระบอยางนอย 1 PolicyQualifierInfo 11.2.1 PolicyQualifierInfo [1] m 11.2.1.1 policyQualifierId m OID = {1.3.6.1.5.5.7.2.1} 11.2.1.2 qualifier m cPSuri = HTTP URL ของ Certification Practice Statement 12 basicConstraints m T 4.2.8.6 12.1 cA m True 12.2 pathLenConstraint m 1 13 cRLDistributionPoints m F ระบอยางนอย 1 DistributionPoint 4.2.8.8 13.1 DistributionPoint [1] m 13.1.1 distributionPoint m HTTP URL ทสามารถเขาถงรายการเพกถอนใบรบรอง 13.1.2 reason nu หามมฟลดน 13.1.3 cRLIssuer nu หามมฟลดน

ขมธอ. 15-2560

-22-


14 authorityInfoAccess m F ระบ 2 AccessDescription 4.2.8.9 14.1 AccessDescription [1] m 14.1.1 accessMethod m OID = {1.3.6.1.5.5.7.48.1} 14.1.2 accessLocation m HTTP URL ส าหรบเขาถงบรการ OCSP 14.2 AccessDescription [2] m 14.2.1 accessMethod m OID = {1.3.6.1.5.5.7.48.2} 14.2.2 accessLocation m HTTP URL ส าหรบเขาถงรายการใบรบรองของผใหบรการ

ออกใบรบรองล าดบชนบนสด

ใบรบรองของผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 2

ใบรบรองของผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 2 คอ ใบรบรองส าหรบผใหบรการออกใบรบรองทออกโดยผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 1 (รายละเอยดตาม ภาคผนวก ก.)

การก าหนดขอมลในใบรบรองของผ ใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 2 มรายละเอยดตามตารางท 9 โดยขอมลในฟลด issuer และฟลด subject ใชการเขารหสแบบ PrintableString เทานน

ตารางท 9 การก าหนดขอมลในใบรบรองของผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 2




4.2.2

3 signature m OID={1.2.840.113549.1.1.13} (sha512WithRSAEncryption)

4.2.3

4 issuer m 4.2.4 4.1 commonName (cn) m ชอผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 1 และ

ขอมลบงบอกถงระบบบรการ เปนภาษาองกฤษ เชน “ABC Certification Authority - G1”


o ชอหนวยงานยอยในองคกรของผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 1 เปนภาษาองกฤษ เชน “ABC Certification Authority”

4.3 organizationName (o) m ชอองคกรของผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 1 เปนภาษาองกฤษ เชน “ABC Corporation”

ขมธอ. 15-2560

-23-


4.4 countryName (c) m “TH” 5 validity m 4.2.5 5.1 notBefore m วนและเวลาทใบรบรองเรมใชงานได 5.2 notAfter m วนและเวลาทใบรบรองสนสดการใชงาน 6 subject m 4.2.6 6.1 commonName (cn) o ชอผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 2 และ

ขอมลบงบอกถงระบบบรการ เปนภาษาองกฤษ เชน “XYZ Certification Authority - G1”


m ชอหนวยงานยอยในองคกรของผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 2 เปนภาษาองกฤษ เชน “XYZ Certification Authority”

6.3 organizationName (o) m ชอองคกรของผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 2 เปนภาษาองกฤษ เชน “XYZ Corporation”

6.4 countryName (c) m “TH” 7 subjectPublicKeyInfo m 4.2.7 7.1 algorithm m OID = {1.2.840.113549.1.1.1}

(RSA encryption)


สาธารณะทเปนคกบกญแจสวนตวซงผใหบรการออกใบรบรองล าดบชนถดลงมา ชนท 1 ใชลงลายมอชอดจทลเพอรบรองใบรบรองน

4.2.8.1


4.2.8.2

10 keyUsage m T - ตงคา keyCertSign และ cRLSign เปน 1 - สามารถเลอกตงคา digitalSignature เปน 1 - คาอน ๆ เปน 0

4.2.8.3

11 certificatePolicies m F 4.2.8.4 11.1 policyIdentifier m OID ของ Certificate Policy 11.2 policyQualifiers m ระบอยางนอย 1 PolicyQualifierInfo 11.2.1 PolicyQualifierInfo [1] m 11.2.1.1 policyQualifierId m OID = {1.3.6.1.5.5.7.2.1} 11.2.1.2 qualifier m cPSuri = HTTP URL ของ Certification Practice Statement

ขมธอ. 15-2560

-24-


12 basicConstraints m T 4.2.8.6 12.1 cA m True 12.2 pathLenConstraint m 0 13 cRLDistributionPoints m F ระบอยางนอย 1 DistributionPoint 4.2.8.8 13.1 DistributionPoint [1] m 13.1.1 distributionPoint m HTTP URL ทสามารถเขาถงรายการเพกถอนใบรบรอง 13.1.2 reason nu หามมฟลดน 13.1.3 cRLIssuer nu หามมฟลดน 14 authorityInfoAccess m F ระบ 2 AccessDescription 4.2.8.9 14.1 AccessDescription [1] m 14.1.1 accessMethod m OID = {1.3.6.1.5.5.7.48.1} 14.1.2 accessLocation m HTTP URL ส าหรบเขาถงบรการ OCSP 14.2 AccessDescription [2] m 14.2.1 accessMethod m OID = {1.3.6.1.5.5.7.48.2} 14.2.2 accessLocation m HTTP URL ส าหรบเขาถงรายการใบรบรองของผใหบรการ

ออกใบรบรองล าดบชนถดลงมา ชนท 1

ใบรบรองของผใชบรการ

ใบรบรองของผใชบรการ ตามขอเสนอแนะมาตรฐานฉบบน แบงออกเปน 4 ประเภท ไดแก ใบรบรองส าหรบบคคลธรรมดา ใบรบรองส าหรบนตบคคล ใบรบรองส าหรบลงลายมอชอดจทลโดย เครองใหบรการ และใบรบรองส าหรบโปรโตคอล SSL/TLS หรอโปรโตคอลอน ๆ

การระบขอมลในฟลด issuer ทงหมด และขอมล serialNumber และ countryName ในฟลด subject ใชการเขารหสแบบ PrintableString เทานน ในขณะทขอมลสวนอน สามารถใชการเขารหสแบบ PrintableString หรอ UTF8String

ใบรบรองส าหรบบคคลธรรมดา

ใบรบรองส าหรบบคคลธรรมดา คอ ใบรบรองทใชในกรณผรบผดชอบทางธรกรรมเปนบคคลธรรมดา มรายละเอยดการก าหนดขอมลตามตารางท 10

ขมธอ. 15-2560

-25-

ตารางท 10 การก าหนดขอมลในใบรบรองส าหรบบคคลธรรมดา


ฟลดพนฐาน (Basic Fields) 1 version m 2 (Version 3) 4.2.1 2 serialNumber m ตวเลขทไมซ ากนระหวางใบรบรองภายใตผใหบรการ

ออกใบรบรองรายเดยวกน โดยเปนตวเลขแบบสมและไมเรยงกนเมอเทยบกบใบรบรองทออกกอนหนาและตอจากใบน (randomized and non-sequential) ทงน จะตองมคามากกวา 0 และขนาดไมนอยกวา 64 บต [9]

4.2.2

3 signature m OID ของอลกอรทมจากตวเลอกดงน • sha256WithRSAEncryption {1.2.840.113549.1.1.11}

• sha384WithRSAEncryption {1.2.840.113549.1.1.12}


4.2.3

4 issuer m 4.2.4 4.1 commonName (cn) m ชอผใหบรการออกใบรบรอง และขอมลบงบอกถงระบบบรการ

เปนภาษาองกฤษ เชน “XYZ Certification Authority - G1”


o ชอหนวยงานยอยในองคกรของผใหบรการออกใบรบรอง เปนภาษาองกฤษ เชน “XYZ Certification Authority”

4.3 organizationName (o) m ชอองคกรของผใหบรการออกใบรบรอง เปนภาษาองกฤษ เชน “XYZ Corporation”

4.4 countryName (c) m “TH” 5 validity m 4.2.5 5.1 notBefore m วนและเวลาทใบรบรองเรมใชงานได 5.2 notAfter m วนและเวลาทใบรบรองสนสดการใชงาน 6 subject m 4.2.6 6.1 commonName (cn) m ชอ เวนวรรค นามสกล ของเจาของใบรบรอง เปนภาษาไทย

เชน “สมชาย รกด” ยกเวน ชาวตางชาตสามารถใชชอเปนภาษาองกฤษได

6.2 givenName o ชอของเจาของใบรบรอง เปนภาษาองกฤษ เชน “Somchai” กรณขอมลใน commonName เปนภาษาองกฤษ หามใชงานคณลกษณะน

6.3 surname (sn) o นามสกลของเจาของใบรบรอง เปนภาษาองกฤษ เชน “Rakdee” กรณขอมลใน commonName เปนภาษาองกฤษ หามใชงานคณลกษณะน

ขมธอ. 15-2560

-26-


6.4 serialNumber o ขอมลทเชอมโยงไปยงเจาของใบรบรอง โดยไมเชอมโยงไปยงบคคลอน

6.5 title o ต าแหนงของเจาของใบรบรองในองคกรทเจาของใบรบรองสงกด เชน “ผจดการ” หรอ “Manager”


o ชอของหนวยงานยอยในองคกรทเจาของใบรบรองสงกด เชน “แผนกไอท” หรอ “IT Division”

6.7 organizationName (o) o ชอองคกรทเจาของใบรบรองสงกด เชน “บรษท เอเอเอ จ ากด” หรอ “AAA Company Limited”

6.8 organizationIdentifier o เลขประจ าตวผเสยภาษอากรขององคกรทเจาของใบรบรองสงกด เชน “1234567890123”

6.9 country (c) m “TH” 7 subjectPublicKeyInfo m 4.2.7 7.1 algorithm m OID = {1.2.840.113549.1.1.1}

(RSA encryption)


สาธารณะทเปนคกบกญแจสวนตวซงผใหบรการออกใบรบรองใชลงลายมอชอดจทลเพอรบรองใบรบรองน

4.2.8.1


4.2.8.2

10 keyUsage m T ตงคาตามวตถประสงคของการใชงาน ทงน ส าหรบการใชงานทวไปแนะน าใหตงคา ดงน

(1) ส าหรบการลงลายมอชอดจทล ใหตงคาบต • digitalSignature = 1 และ

contentCommitment = 1 (2) ส าหรบการเขารหสลบ ใหตงคาบต

• keyEncipherment = 1 และ/หรอ • dataEncipherment = 1

4.2.8.3


ขมธอ. 15-2560

-27-


11.2.2 PolicyQualifierInfo [2] o 11.2.2.1 policyQualifierId o OID = {1.3.6.1.5.5.7.2.2} 11.2.2.2 qualifier o userNotice = ขอความทแสดง เมอใชใบรบรอง 12 subjectAltName o F 4.2.8.5 12.1 directoryName o ขอมลเกยวกบเจาของใบรบรอง โดยใชชนดขอมลตาม ITU-T

X.501 “Name”

12.2 rfc822Name o อเมลของเจาของใบรบรอง 13 basicConstraints m T 4.2.8.6 13.1 cA m False 13.2 pathLenConstraint nu หามมฟลดน 14 extKeyUsage o F ใชเมอซอฟตแวรทใชใบรบรองตองการใชคาในฟลดนเทานน 4.2.8.7 15 cRLDistributionPoints m F ระบอยางนอย 1 DistributionPoint 4.2.8.8 15.1 DistributionPoint [1] m 15.1.1 distributionPoint m HTTP URL ทสามารถเขาถงรายการเพกถอนใบรบรอง 15.1.2 reason nu หามมฟลดน 15.1.3 cRLIssuer nu หามมฟลดน 16 authorityInfoAccess m F ระบ 2 AccessDescription 4.2.8.9 16.1 AccessDescription [1] m 16.1.1 accessMethod m OID = {1.3.6.1.5.5.7.48.1} 16.1.2 accessLocation m HTTP URL ส าหรบเขาถงบรการ OCSP 16.2 AccessDescription [2] m 16.2.1 accessMethod m OID = {1.3.6.1.5.5.7.48.2} 16.2.2 accessLocation m HTTP URL ส าหรบเขาถงรายการใบรบรองของผใหบรการ

ออกใบรบรอง

ใบรบรองส าหรบนตบคคล

ใบรบรองส าหรบนตบคคล คอ ใบรบรองทใชในกรณผรบผดชอบทางธรกรรมเปนนตบคคล มรายละเอยดการก าหนดขอมลตามตารางท 11

ขมธอ. 15-2560

-28-

ตารางท 11 การก าหนดขอมลในใบรบรองส าหรบนตบคคล




4.2.2




4.2.3






4.4 countryName (c) m “TH” 5 validity m 4.2.5 5.1 notBefore m วนและเวลาทใบรบรองเรมใชงานได 5.2 notAfter m วนและเวลาทใบรบรองสนสดการใชงาน 6 subject m 4.2.6 6.1 commonName (cn) m ชอนตบคคล เปนภาษาไทย เชน “บรษท เอเอเอ จ ากด”

ยกเวน นตบคคลตางชาตสามารถใชชอเปนภาษาองกฤษได

6.2 givenName o ชอของผแทนของนตบคคลหรอผมอ านาจท าการแทนนตบคคล เชน “สมชาย” หรอ “Somchai”

6.3 surname (sn) o นามสกลของผแทนของนตบคคลหรอผมอ านาจท าการแทนนตบคคล เชน “รกด” หรอ “Rakdee”

6.4 serialNumber o ขอมลทเชอมโยงไปยงเจาของใบรบรอง โดยไมเชอมโยงไปยงบคคลอน

6.5 title o ต าแหนงของผแทนของนตบคคลหรอผมอ านาจท าการแทนนตบคคล เชน “กรรมการผจดการ” หรอ “Managing Director”

ขมธอ. 15-2560

-29-



o ชอของหนวยงานยอยของนตบคคลทผแทนของนตบคคลหรอผมอ านาจท าการแทนนตบคคลสงกด เชน “ฝายบรหาร”

6.7 organizationName (o) o ชอนตบคคล เปนภาษาองกฤษ เชน “AAA Company Limited” กรณขอมลใน commonName เปนภาษาองกฤษ หามใชงานคณลกษณะน

6.8 organizationIdentifier m เลขประจ าตวผเสยภาษอากรของนตบคคล เชน “1234567890123”

6.9 localityName (L) o อ าเภอหรอเขตทอยของนตบคคล เชน “หลกส” หรอ “Lak Si”

6.10 stateOrProvinceName (S) o จงหวดทอยของนตบคคล เชน “กรงเทพ” หรอ “Bangkok”

6.11 country (c) m “TH” 7 subjectPublicKeyInfo m 4.2.7 7.1 Algorithm m OID = {1.2.840.113549.1.1.1}

(RSA encryption)



4.2.8.1


4.2.8.2

10 keyUsage m T ตงคาตามวตถประสงคของการใชงาน ทงน ส าหรบการใชงานทวไปแนะน าใหตงคา ดงน

(1) ส าหรบการลงลายมอชอดจทล ใหตงคาบต • digitalSignature = 1 และ

contentCommitment = 1 (2) ส าหรบการเขารหสลบ ใหตงคาบต

• keyEncipherment = 1 และ/หรอ • dataEncipherment = 1

4.2.8.3


ขมธอ. 15-2560

-30-


11.2.2 PolicyQualifierInfo [2] o 11.2.2.1 policyQualifierId o OID = {1.3.6.1.5.5.7.2.2} 11.2.2.2 qualifier o userNotice = ขอความทแสดง เมอใชใบรบรอง 12 subjectAltName o F 4.2.8.5 12.1 directoryName o ขอมลเกยวกบนตบคคลซงเปนเจาของใบรบรอง โดยใชชนด

ขอมลตาม ITU-T X.501 “Name”

12.2 rfc822Name o อเมลส าหรบตดตอนตบคคล 13 basicConstraints m T 4.2.8.6 13.1 cA m False 13.2 pathLenConstraint nu หามมฟลดน 14 extKeyUsage o F ใชเมอซอฟตแวรทใชใบรบรองตองการใชคาในฟลดนเทานน 4.2.8.7 15 cRLDistributionPoints m F ระบอยางนอย 1 DistributionPoint 4.2.8.8 15.1 DistributionPoint [1] m 15.1.1 distributionPoint m HTTP URL ทสามารถเขาถงรายการเพกถอนใบรบรอง 15.1.2 Reason nu หามมฟลดน 15.1.3 cRLIssuer nu หามมฟลดน 16 authorityInfoAccess m F ระบ 2 AccessDescription 4.2.8.9 16.1 AccessDescription [1] m 16.1.1 accessMethod m OID = {1.3.6.1.5.5.7.48.1} 16.1.2 accessLocation m HTTP URL ส าหรบเขาถงบรการ OCSP 16.2 AccessDescription [2] m 16.2.1 accessMethod m OID = {1.3.6.1.5.5.7.48.2} 16.2.2 accessLocation m HTTP URL ส าหรบเขาถงรายการใบรบรองของผใหบรการ


ใบรบรองส าหรบลงลายมอชอดจทลโดยระบบใหบรการ

ใบรบรองส าหรบลงลายมอชอดจทลโดยระบบใหบรการ คอ ใบรบรองทผใหบรการออกใบรบรองออกใหกบนตบคคลเพอใชส าหรบลงลายมอชอดจทลโดยระบบใหบรการ ทงน นตบคคลจะตองจดเกบขอมลผรบผดชอบกญแจสวนตวของระบบใหบรการ

ใบรบรองส าหรบลงลายมอชอดจทลโดยระบบใหบรการ มรายละเอยดการก าหนดขอมลตาม ตารางท 12

ขมธอ. 15-2560

-31-

ตารางท 12 การก าหนดขอมลในใบรบรองส าหรบลงลายมอชอดจทลโดยระบบใหบรการ




4.2.2




4.2.3






4.4 countryName (c) m “TH” 5 validity m 4.2.5 5.1 notBefore m วนและเวลาทใบรบรองเรมใชงานได 5.2 notAfter m วนและเวลาทใบรบรองสนสดการใชงาน 6 subject m 4.2.6 6.1 commonName (cn) m ชอของระบบใหบรการ เชน “Tax Invoice Service” หรอ

“บรการใบก ากบภาษ”

6.2 serialNumber o ตวเลขทไมซ ากนระหวางใบรบรองอเลกทรอนกสทใชงานภายใตระบบใหบรการเดยวกน


o ชอของหนวยงานยอยของนตบคคลทใหบรการระบบ เชน “ส านกทะเบยน” หรอ “Office of the Registrar”

6.4 organizationName (o) m ชอนตบคคลทใหบรการระบบ เปนภาษาไทย เชน “บรษท เอเอเอ จ ากด”

6.5 organizationIdentifier m เลขประจ าตวผเสยภาษอากรของนตบคคลทใหบรการระบบ เชน “1234567890123”

6.6 localityName (L) o อ าเภอหรอเขตทอยของนตบคคลทใหบรการระบบ เชน “หลกส” หรอ “Lak Si”

ขมธอ. 15-2560

-32-


6.7 stateOrProvinceName (S) o จงหวดทอยของนตบคคลทใหบรการระบบ เชน “กรงเทพ” หรอ “Bangkok”


(RSA encryption)



4.2.8.1


4.2.8.2

10 keyUsage m T digitalSignature = 1 และ contentCommitment = 1 4.2.8.3 11 certificatePolicies m F 4.2.8.4 11.1 policyIdentifier m OID ของ Certificate Policy 11.2 policyQualifiers m ระบอยางนอย 1 PolicyQualifierInfo 11.2.1 PolicyQualifierInfo [1] m 11.2.1.1 policyQualifierId m OID = {1.3.6.1.5.5.7.2.1} 11.2.1.2 qualifier m cPSuri = HTTP URL ของ Certification Practice Statement 11.2.2 PolicyQualifierInfo [2] o 11.2.2.1 policyQualifierId o OID = {1.3.6.1.5.5.7.2.2} 11.2.2.2 qualifier o userNotice = ขอความทแสดง เมอใชใบรบรอง 12 subjectAltName o F 4.2.8.5 12.1 rfc822Name o อเมลส าหรบตดตอเจาหนาทของระบบใหบรการ 13 basicConstraints m T 4.2.8.6 13.1 cA m False 13.2 pathLenConstraint nu หามมฟลดน 14 extKeyUsage o F ใชเมอซอฟตแวรทใชใบรบรองตองการใชคาในฟลดนเทานน 4.2.8.7 15 cRLDistributionPoints m F ระบอยางนอย 1 DistributionPoint 4.2.8.8 15.1 DistributionPoint [1] m 15.1.1 distributionPoint m HTTP URL ทสามารถเขาถงรายการเพกถอนใบรบรอง 15.1.2 Reason nu หามมฟลดน 15.1.3 cRLIssuer nu หามมฟลดน

ขมธอ. 15-2560

-33-


16 authorityInfoAccess m F ระบ 2 AccessDescription 4.2.8.9 16.1 AccessDescription [1] m 16.1.1 accessMethod m OID = {1.3.6.1.5.5.7.48.1} 16.1.2 accessLocation m HTTP URL ส าหรบเขาถงบรการ OCSP 16.2 AccessDescription [2] m 16.2.1 accessMethod m OID = {1.3.6.1.5.5.7.48.2} 16.2.2 accessLocation m HTTP URL ส าหรบเขาถงรายการใบรบรองของผใหบรการ


ใบรบรองส าหรบโปรโตคอล SSL/TLS หรอโปรโตคอลอน ๆ

ใบรบรองส าหรบโปรโตคอล SSL/TLS หรอโปรโตคอลอน ๆ คอ ใบรบรองทผใหบรการ ออกใบรบรองออกใหกบบคคลธรรมดาหรอนตบคคลเพอใชรกษาความปลอดภยในการเขาถงระบบใหบรการ ดวยโปรโตคอล SSL/TLS หรอโปรโตคอลอน ๆ การก าหนดขอมลของใบรบรองประเภทนจะอางองตาม Baseline Requirement ของ CA/Browser Forum [9]

การก าหนดขอมลในใบรบรองส าหรบโปรโตคอล SSL/TLS หรอโปรโตคอลอน ๆ มรายละเอยดตามตารางท 13 โดยขอมลในฟลด issuer และฟลด subject ใชการเขารหสแบบ PrintableString เทานน

ตารางท 13 การก าหนดขอมลในใบรบรองส าหรบโปรโตคอล SSL/TLS หรอโปรโตคอลอน ๆ



ใบรบรองรายเดยวกน โดยเปนตวเลขแบบสมและไมเรยงกนเมอเทยบกบใบรบรองทออกกอนหนาและตอจากใบน (randomized and non-sequential) ทงน จะตองม คามากกวา 0 และขนาดไมนอยกวา 64 บต [9]

4.2.2




4.2.3

ขมธอ. 15-2560

-34-







4.4 countryName (c) m “TH” 5 validity m 4.2.5 5.1 notBefore m วนและเวลาทใบรบรองเรมใชงานได 5.2 notAfter m วนและเวลาทใบรบรองสนสดการใชงาน 6 subject m 4.2.6 6.1 commonName (cn) m URL หรอ IP Address ของ server

เชน “www.aaa.com”


o ชอของหนวยงานยอยในนตบคคลซงเปนเจาของ server เปนภาษาองกฤษ เชน “IT Department”

6.3 organizationName (o) o ชอนตบคคลซงเปนเจาของ server เปนภาษาองกฤษ เชน “AAA Public Company Limited”

6.4 localityName (L) o อ าเภอหรอเขตทอยของเจาของ server เปนภาษาองกฤษ เชน “Chatuchak”

6.5 stateOrProvinceName (S) m จงหวดทอยของเจาของ server เปนภาษาองกฤษ เชน “Bangkok”


(RSA encryption)



4.2.8.1


4.2.8.2

10 keyUsage m T ตงคาตามวตถประสงคของการใชงาน ทงน การใชงานส าหรบเวบไซตทวไปจะมคาบต digitalSignature = 1 และ keyEncipherment = 1

4.2.8.3

ขมธอ. 15-2560

-35-


11 certificatePolicies m F 4.2.8.4 11.1 policyIdentifier m OID ของ Certificate Policy 11.2 policyQualifiers m ระบอยางนอย 1 PolicyQualifierInfo 11.2.1 PolicyQualifierInfo [1] m 11.2.1.1 policyQualifierId m OID = {1.3.6.1.5.5.7.2.1} 11.2.1.2 qualifier m cPSuri = HTTP URL ของ Certification Practice Statement 11.2.2 PolicyQualifierInfo [2] o 11.2.2.1 policyQualifierId o OID = {1.3.6.1.5.5.7.2.2} 11.2.2.2 qualifier o userNotice = ขอความทแสดง เมอใชใบรบรอง 12 subjectAltName o F 4.2.8.5 12.1 dNSName o ชอ Domain Name 12.2 iPAddress o IP address 13 basicConstraints m T 4.2.8.6 13.1 cA m False 13.2 pathLenConstraint nu หามมฟลดน 14 extKeyUsage m F ก าหนดคาตามเงอนไข ดงน [9]

(1) ระบคาใดคาหนงของ id-kp-serverAuth หรอ id-kp-clientAuth หรอทงค (2) id-kp-emailProtection สามารถเลอกใชงานได (3) คาอน ๆ นอกเหนอจาก (1) และ (2) ไมสามารถใชงานได ทงน การใชงานส าหรบเวบไซตทวไป แนะน าใหระบคาเปน id-kp-serverAuth และ id-kp-clientAuth

4.2.8.7

15 cRLDistributionPoints m F ระบอยางนอย 1 DistributionPoint 4.2.8.8 15.1 DistributionPoint [1] m 15.1.1 distributionPoint m HTTP URL ทสามารถเขาถงรายการเพกถอนใบรบรอง 15.1.2 Reason nu หามมฟลดน 15.1.3 cRLIssuer nu หามมฟลดน 16 authorityInfoAccess m F ระบ 2 AccessDescription 4.2.8.9 16.1 AccessDescription [1] m 16.1.1 accessMethod m OID = {1.3.6.1.5.5.7.48.1} 16.1.2 accessLocation m HTTP URL ส าหรบเขาถงบรการ OCSP 16.2 AccessDescription [2] m 16.2.1 accessMethod m OID = {1.3.6.1.5.5.7.48.2} 16.2.2 accessLocation m HTTP URL ส าหรบเขาถงรายการใบรบรองของผใหบรการ


ขมธอ. 15-2560

-36-

5. การก าหนดขอมลในรายการเพกถอนใบรบรอง การก าหนดขอมลในรายการเพกถอนใบรบรองตามขอเสนอแนะมาตรฐานฉบบนอางองกบ RFC 5280

โดยมรายละเอยดดงน

โครงสรางของรายการเพกถอนใบรบรอง

RFC 5280 ก าหนดโครงสรางของรายการเพกถอนใบรบรอง X.509 เวอรชน 2 ดงน

CertificateList ::= SEQUENCE { tbsCertList TBSCertList, signatureAlgorithm AlgorithmIdentifier, signatureValue BIT STRING }

โครงสรางพนฐานขางตนแสดงใหเหนวารายการเพกถอนใบรบรอง (CertificateList) ประกอบดวยฟลดขอมล 3 ฟลด คอ

(1) tbsCertList : แสดงขอมลในรายการเพกถอนใบรบรอง ซงประกอบดวย ขอมลของผออกรายการเพกถอนใบรบรอง วนทออกรายการเพกถอนใบรบรองน วนทจะออกรายการเพกถอนใบรบรองครงตอไป รายการใบรบรองทถกเพกถอน (ถาม) และฟลดเพมเตม (ถาม)

(2) signatureAlgorithm : แสดงขอมลอลกอรทมทผใหบรการออกใบรบรองใชลงลายมอชอดจทลเพอรบรองขอมลใน tbsCertList

(3) signatureValue : แสดงลายมอชอดจทลทสรางขนโดยผใหบรการออกใบรบรองเพอรบรองความถกตองของขอมลในฟลด tbsCertList

ขอมลในรายการเพกถอนใบรบรอง

ขอมลในรายการเพกถอนใบรบรอง ถกบรรจอยในฟลดทชอวา “TBSCertList” ซงเปนฟลดทมขอมลเกยวกบผใหบรการออกใบรบรองทออกรายการเพกถอนใบรบรองน อลกอรทมทใชลงนามในรายการเพกถอนใบรบรอง วนและเวลาทออกรายการเพกถอนใบรบรองน รวมถงวนและเวลาทจะออกรายการเพกถอนใบรบรองครงตอไป

โครงสรางขอมลในรายการเพกถอนใบรบรอง หรอ ฟลด tbsCertList ตาม RFC 5280 มดงน

TBSCertList ::= SEQUENCE { version Version OPTIONAL, -- if present, MUST be v2 signature AlgorithmIdentifier, issuer Name, thisUpdate Time, nextUpdate Time OPTIONAL,

ขมธอ. 15-2560

-37-

revokedCertificates SEQUENCE OF SEQUENCE { userCertificate CertificateSerialNumber, revocationDate Time, crlEntryExtensions Extensions OPTIONAL -- if present, version MUST be v2 } OPTIONAL, crlExtensions [0] EXPLICIT Extensions OPTIONAL -- if present, version MUST be v2 }

-- Version, Time, CertificateSerialNumber, และ Extensions -- มโครงสรำงขอมลตำมรปแบบ ASN.1 ในขอ 5.1 -- AlgorithmIdentifier โครงสรำงขอมลตำมรปแบบ ASN.1 ในขอ 5.2.2

version

ฟลด version แสดงขอมลเวอรชนของรายการเพกถอนใบรบรอง ซงตองระบเปนเวอรชน 2 (ระบคาเปน 1) เพอรองรบการใชงานฟลดเพมเตม ทงน นยามของชนดขอมล Version เปนไปตาม ขอ 4.2.1

signature

ฟลด signature แสดง Algorithm Identifier ซงประกอบดวยหมายเลข Object Identifier (OID) ของอลกอลทมและคาพารามเตอร (ถาม) ทผใหบรการออกใบรบรองใชลงลายมอชอเพอรบรองขอมล ในรายการเพกถอนใบรบรอง ทงน นยามของชนดขอมล AlgorithmIdentifier เปนไปตามขอ 4.2.3 และอลกอรทมทใชจะตองเลอกจากรายการอลกอรทมในตารางท 14

ตารางท 14 อลกอรทมทใชในการลงลายมอชอดจทลบนรายการเพกถอนใบรบรอง

issuer

ฟลด issuer แสดงขอมลระบเอนทตทเปนผทออกรายการเพกถอนใบรบรองรายการน โดยใชชนดขอมลตาม ITU-T X.501 “Name” [6] ทงน ขอมลในฟลด issuer ใชการเขารหสแบบ PrintableString โดยจะตองประกอบดวยคณลกษณะตามตารางท 15

ล าดบ อลกอรทมทใชในการลงลายมอชอดจทล Object Identifier (OID)




ขมธอ. 15-2560

-38-

ตารางท 15 คณลกษณะของฟลด issuer ในรายการเพกถอนใบรบรอง

คณลกษณะ ค าอธบาย commonName (cn) ชอผใหบรการออกใบรบรอง และขอมลบงบอกถงระบบบรการ เปนภาษาองกฤษ

เชน “ABC CA-G2” organizationalUnitName (ou) ชอหนวยงานยอยในองคกรของผใหบรการออกใบรบรอง เปนภาษาองกฤษ

เชน “ABC CA” organizationName (o) ชอองคกรของผใหบรการออกใบรบรอง เปนภาษาองกฤษ

เชน “ABC Corporation” countryName (c) รหสประเทศ อยในรปแบบ 2 ตวอกษรตามทก าหนดใน ISO 3166-1 คอ

“TH”

thisUpdate

ฟลด thisUpdate แสดงขอมลวนและเวลาทออกรายการเพกถอนใบรบรองน โดยสามารถระบได 2 แบบ คอ UTCTime และ GeneralizedTime (รายละเอยดตามขอ 4.2.5) ทงน ใหระบคา thisUpdate เปน UTCTime จนถงป ค.ศ. 2049 และเปน GeneralizedTime ส าหรบป ค.ศ. 2050 เปนตนไป

nextUpdate

ฟลด thisUpdate แสดงขอมลวนและเวลาทรายการเพกถอนใบรบรองจะถกออกในครงถดไป ซงผใหบรการออกใบรบรองจะตองออกรายการเพกถอนใบรบรองใหมกอนถงเวลาทระบในฟลดน โดยวนและเวลาสามารถระบได 2 แบบคอ UTCTime และ GeneralizedTime (รายละเอยดตามขอ 4.2.5) ทงน ใหระบคา nextUpdate เปน UTCTime จนถงป ค.ศ. 2049 และเปน GeneralizedTime ส าหรบป ค.ศ. 2050 เปนตนไป

revokedCertificates

ฟลด revokedCertificates แสดงรายการใบรบรองทถกเ พกถอน กรณท ไมม ใบรบรอง ถกเพกถอน ฟลดนจะตองไมมขอมล

การเพกถอนใบรบรองท าไดโดยการระบขอมลในฟลดดงตอไปน

userCertificate

ฟลด userCertificae แสดงหมายเลข serialNumber ของใบรบรองทถกเพกถอน

revocationDate

ฟลด revocationDate แสดงวนและเวลาทใบรบรองถกเพกถอนในรปแบบ UTCTime หรอ GeneralizedTime โดยระบเปน UTCTime จนถงป ค.ศ. 2049 และเปน GeneralizedTime ส าหรบป ค.ศ. 2050 เปนตนไป

ขมธอ. 15-2560

-39-

crlEntryExtensions

ฟลด crlEntryExtensions แสดงขอมลเพมเตมเกยวกบใบรบรองทถกเพกถอน โดยประกอบดวยฟลดเพมเตมส าคญ คอ reasonCode และ invalidityDate [4]

(1) reasonCode

reasonCode เปนฟลดเพมเตมทใชระบขอมลสาเหตการเพกถอนใบรบรอง โดยใชเปน เลขรหส (CRLReason) ซง RFC 5280 นยามฟลด reasonCode ไวดงน

id-ce-cRLReasons OBJECT IDENTIFIER ::= { id-ce 21 } -- reasonCode ::= { CRLReason }

CRLReason ::= ENUMERATED { unspecified (0), keyCompromise (1), cACompromise (2), affiliationChanged (3), superseded (4), cessationOfOperation (5), certificateHold (6), -- value 7 is not used removeFromCRL (8), privilegeWithdrawn (9), aACompromise (10) weakAlgorithmOrKey (11) }

โดยค าอธบายการระบขอมลในฟลด reasonCode เปนไปตามตารางท 16

ตารางท 16 ค าอธบายสาเหตของการเพกถอนใบรบรอง

เหตผลของการเพกถอน ค าอธบาย reasonCode unspecified เหตผลนอกเหนอจากรายการรหส (Code) ทมอย 0 keyCompromise รบร หรอสงสยวากญแจสวนตวของผใชถกลวงรโดยผไมไดรบ

อนญาต 1

cACompromise รบร หรอสงสยวากญแจสวนตวของผใหบรการออกใบรบรองถกลวงรโดยผไมไดรบอนญาต

2

affiliationChanged มการเปลยนแปลงขอมลในใบรบรอง โดยทกญแจสวนตวไมไดถกลวงรโดยผทไมไดรบอนญาต

3

superseded มการสรางใบรบรองใหมแทนใบรบรองฉบบเดม โดยทกญแจสวนตวไมไดถกลวงรโดยผทไมไดรบอนญาต

4

ขมธอ. 15-2560

-40-

เหตผลของการเพกถอน ค าอธบาย reasonCode cessationOfOperation ยกเลกการใชงานใบรบรอง โดยทกญแจสวนตวไมไดถกลวงร

โดยผทไมไดรบอนญาต 5

certificateHold หยดหรอพกใชใบรบรองชวคราว 6 removeFromCRL ขอมลใบรบรองถกเพกถอนจากรายการเพกถอนใบรบรอง

เนองจากใบรบรองหมดอายหรอยกเลกการระงบใชงาน และใชเฉพาะใน delta CRL เทานน

8

privilegeWithdrawn สทธของเจาของใบรบรองถกถอดถอน 9 aACompromise รบร หรอสงสยวา ขอมลของ Attribute Authority ทรบรอง

attribute certificate ถกลวงร โดยผทไมไดรบอนญาต 10

weakAlgorithmOrKey คกญแจ หรออลกอรทมทใชสรางคกญแจมจดออน เชน การสรางคกญแจไมปลอดภย

11

(2) invalidityDate

invalidityDate เปนฟลดเพมเตมทใชระบวนทรบทราบ หรอเขาใจวากญแจสวนตว ถกลวงรโดยผทไมไดรบอนญาต หรอวนทใบรบรองไมสามารถใชงานได โดยวนทก าหนดในฟลดนอาจมากอนวนทก าหนดใน revocationDate ของฟลด revokedCertificates

RFC 5280 นยามฟลด InvalidityDate ดงน

id-ce-invalidityDate OBJECT IDENTIFIER ::= { id-ce 24 }

InvalidityDate ::= GeneralizedTime

crlExtensions

crlExtensions เปนฟลดส าหรบแสดงขอมล เ พมเตมเกยวกบรายการเพกถอนใบรบรอง โดยฟลดเพมเตมภายใต crlExtensions สามารถเปนไดทงฟลดเพมเตมทส าคญ (critical) และฟลดเพมเตมทวไป (non-critical) โดยซอฟตแวรจะไมสามารถใชงานรายการเพกถอนใบรบรองไดหากพบฟลดเพมเตมทส าคญ แตไมเขาใจความหมายหรอไมสามารถประมวลผลขอมลในฟลดเพมเตมได

รายการเพกถอนใบรบรอง เวอรชน 2 ตาม RFC5280 มฟลดเพมเตมภายใต crlExtension ทจ าเปนตองระบคอ authorityKeyIdentifier และ cRLNumber

authorityKeyIdentifier

authorityKeyIdentifier เปนฟลดเพมเตมทระบคาอางองถงกญแจสาธารณะทเปนคกบกญแจสวนตวทผใหบรการออกใบรบรองใชลงลายมอชอดจทลเพอรบรองรายการเพกถอนใบรบรองรายการน โดย authorityKeyIdentifier มประโยชนในกรณทผใหบรการออกใบรบรองมกญแจสวนตวส าหรบลงลายมอชอดจทลมากกวา 1 อน ทงน โครงสรางของฟลด authorityKeyIdentifier เปนไปตามขอ 4.2.8.1

ขมธอ. 15-2560

-41-

cRLNumber

cRLNumber เปนฟลดเพมเตมทแสดงล าดบเลขทของรายการเพกถอนใบรบรอง โดยคาของ cRLNumber จะเพมขนตามล าดบการออก CRL และมคาสงสด 20 octets ซง RFC 5280 นยามฟลด cRLNumber ดงน

id-ce-cRLNumber OBJECT IDENTIFIER ::= { id-ce 20 }

CRLNumber ::= INTEGER (0..MAX)

ขอแนะน าในการก าหนดขอมลในรายการเพกถอนใบรบรอง

การก าหนดขอมลในรายการเพกถอนใบรบรองตามขอเสนอแนะฉบบนเปนไปตามตารางท 17 ทงน ผออกรายการเพกถอนใบรบรองสามารถระบรายละเอยดเพมเตมจากขอเสนอแนะมาตรฐานฉบบนได ตามความจ าเปน

ตารางท 17 การก าหนดขอมลในรายการเพกถอนใบรบรอง


ฟลดพนฐาน (Basic Fields) 1 version m 1 (Version 2) 5.2.1 2 signature m OID ของอลกอรทมจากตวเลอกดงน




5.2.2






3.4 countryName (c) m “TH” 4 thisUpdate m วนและเวลาทออกรายการเพกถอนใบรบรองน 5.2.4 5 nextUpdate m วนและเวลาทจะออกรายการเพกถอนใบรบรองครงถดไป 5.2.5 6 revokedCertificate m 5.2.6 6.1 userCertificate: m serialNumber ของใบรบรองทถกเพกถอน 5.2.6.1 6.2 revocationDate m วนและเวลาทเพกถอน 5.2.6.2

ขมธอ. 15-2560

-42-


6.3 crlEntryExtension 6.3.1 reasonCode m F ระบเหตผลในการเพกถอนใบรบรองเปนเลขรหส 5.2.6.3

(1)(1) 6.3.2 invalidityDate o F วนทรบรหรอเขาใจวากญแจสวนตวถกลวงรโดยผทไมไดรบ

อนญาต โดยใหระบในกรณท reasonCode เปน keyCompromise หรอ cACompromise เทานน

5.2.6.3 (2)(2)

crlExtensions 7 authorityKeyIdentifier m F keyIdentifier บรรจคาของฟงกชน SHA-1 Hash ของกญแจ

สาธารณะทเปนคกบกญแจสวนตวซงผใหบรการออกใบรบรองใชลงลายมอชอดจทลเพอรบรองรายการเพกถอนใบรบรองน

5.2.7.1

8 cRLNumber m F จ านวนเตมบวกแสดงล าดบการออกรายการเพกถอนใบรบรอง 5.2.7.2

ขมธอ. 15-2560

-43-

ภาคผนวก ก. โครงสรางความสมพนธของใบรบรองในประเทศไทย ใบรบรองภายใตผใหบรการออกใบรบรองในประเทศไทยสามารถแบงประเภทตามความสมพนธระหวาง

ผใหบรการออกใบรบรองและผใชบรการเปน 3 ประเภท ดงรปท 1 โดยแตละประเภทมรายละเอยดดงน

ก.1 ใบรบรองของผใหบรการออกใบรบรองล าดบชนบนสด (Root CA Certificate)

ใบรบรองของผใหบรการออกใบรบรองล าดบชนบนสด คอ ใบรบรองของผใหบรการออกใบรบรองอเลกทรอนกสแหงชาต (National Root CA Certificate) ซงลงลายมอเพอรบรองตนเอง (Self-signed) ผใหบรการออกใบรบรองอเลกทรอนกสแหงชาตมหนาทออกใบรบรองใหกบผใหบรการออกใบรบรองล าดบ ชนถดลงมา (Subordinate Certification Authority) และมหนาทก าหนดนโยบายการใหบรการของ ผใหบรการออกใบรบรองล าดบชนถดลงมา

ก.2 ใบรบรองของผใหบรการออกใบรบรองล าดบชนถดลงมา (Subordinate CA Certificate)

ใบรบรองของผใหบรการออกใบรบรองล าดบชนถดลงมา คอ ใบรบรองของผใหบรการออกใบรบรอง ทออกใหโดยผใหบรการออกใบรบรองล าดบชนบนสด โดยผใหบรการออกใบรบรองประเภทนสามารถออกใบรบรองใหกบผใหบรการออกใบรบรองล าดบชนถดลงมา หรอใบรบรองของผใชบรการ

ผใหบรการออกใบรบรองอเลกทรอนกสแหงชาต มนโยบายใหมใบรบรองของผใหบรการออกใบรบรองล าดบชนถดลงมา ไดไมเกน 2 ชน นบตงแตใบรบรองของผใหบรการออกใบรบรองล าดบชนถดลงมาทออกโดยผใหบรการออกใบรบรองอเลกทรอนกสแหงชาต

ก.3 ใบรบรองของผใชบรการ (Subscriber Certificate)

ใบรบรองของผใชบรการ คอ ใบรบรองทออกโดยผใหบรการออกใบรบรองล าดบชนถดลงมาเพอรบรองขอมลตวตนและความเปนเจาของคกญแจของเอนทต โดยใบรบรองของผใชบรการสามารถใชงานไดตามวตถประสงคทก าหนดในใบรบรอง เชน การลงลายมอชอดจทล การเขารหสลบ หรอการยนยนตวตน เปนตน

รปท 1 โครงสรางความสมพนธของใบรบรองในประเทศไทย

ใบรบรองของผใหบรการออกใบรบรองล าดบชนบนสด

ใบรบรองของผใชบรการ



----- -------

----- -------

----- -------

----- -------

----- -------

----- -------

----- -------

----- -------

ขมธอ. 15-2560

-44-

บรรณานกรม

[1] ประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรอง แนวทางการจดท าแนวนโยบาย (Certificate Policy) และแนวปฏบต (Certification Practice Statement) ของผใหบรการออกใบรบรองอเลกทรอนกส (Certification Authority) พ.ศ. 2552 ประกาศ ณ วนท 8 ตลาคม พ.ศ. 2552.

[2] พระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544 และฉบบแกไขเพมเตม (ฉบบท 2) พ.ศ. 2551 [3] Recommendation ITU-T X.509 (2016) | ISO/IEC 9594-8 : 2017 Information technology -

Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks. [4] D. Cooper, S. Santesson, S. Farrel, S. Boeyen, R. Housley, W. Polk, "IETF RFC 5280 (2008),

Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile," IETF, May 2008. Available: https://tools.ietf.org/html/rfc5280.

[5] Recommendation ITU-T X.680 (2015) | ISO/IEC 8824-1 : 2015 Information Technology - Abstract Syntax Notation One (ASN.1) : Specification of basic notation.

[6] Recommendation ITU-T X.501 (2012) | ISO/IEC 9594-2 : 2014 Information Technology - Open Systems Interconnection – The Directory: Models.

[7] Recommendation ITU-T X.520 (2012) | ISO/IEC 9594-6 : 2014 Information Technology - Open Systems Interconnection – The Directory: Selected attribute types.

[8] P. Geelen, "Microsoft Trusted Root Program Requirements," Microsoft, 16 11 2016. [Online]. Available: https://social.technet.microsoft.com/wiki/contents/articles/31633.microsoft-trusted-root-program-requirements.aspx#E_EKU_Requirements.

[9] CA/Browser Forum, "Baseline Requirement Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates," Version 1.4.2, January 7, 2017.

ข้อเสนอแนะมาตรฐานด้าน ......4.3 ข อแนะน...

Documents