annexe 1 politique de titre : certification format des … · annexe 1 politique de certification...
TRANSCRIPT
Ministère de l’Intérieur
Page1/25
Date : 07/06/2017
Dossier : INFRASTRUCTURE DE GESTION DE CLES
MINISTERE DE L’INTERIEUR
Titre : ANNEXE 1 POLITIQUE DE
CERTIFICATION FORMAT DES CERTIFICATS
Références : AA100008/PCA0012 version 3
IGC-MI_PC_AC_CERTIFICATS
Etat : APPROUVE
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 2 / 25
VERSIONS SUCCESSIVES Version Date Objet de la modification Auteur Statut
1.0 08/08/2011 Création Ministère Intérieur Approuvé
2.0 01/08/2014 Renouvellement des AC Déléguées
Ajout de nouveaux certificats serveurs
Ministère Intérieur Approuvé
3.0 07/06/2017 Renouvellement des AC Déléguées
Ajout de nouveaux certificats serveurs
Ministère Intérieur Approuvé
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 3 / 25
Référence
Référence Version et date Titre
[IGC/A-PC] Version 2.1 du 18 août 2011
IGC/A – Politique de Certification concernant les Autorités de certification racines gouvernementales
OID : 1.2.250.1.223.1.1.2.
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 4 / 25
TABLE DES MATIERES
1. INTRODUCTION ....................................................................................................................................... 5 1.1. OBJET ............................................................................................................................................... 5 1.2. DOMAINE D'APPLICATION ............................................................................................................. 5 1.3. ACRONYMES ................................................................................................................................... 5
2. IGC-MI DIRECTORY INFORMATION TREE............................................................................................ 6 2.1. DIT DE L’IGC-MI ............................................................................................................................... 6 2.2. DN DES CERTIFICATS POUR LA PLATE FORME DE PRODUCTION ......................................... 7
2.2.1. Règles d’interprétation des DN ................................................................................................. 7 2.2.2. AC Racine ................................................................................................................................. 7 2.2.3. ACD police nationale * et ** ...................................................................................................... 7 2.2.4. ACD administration centrale * et ** ........................................................................................... 7 2.2.5. ACD administration territoriale * et ** ........................................................................................ 7 2.2.6. ACD serveur * et ** ................................................................................................................... 7 2.2.7. Certificats utilisateurs finaux ..................................................................................................... 7 2.2.8. Règles pour les DN des certificats de test porteur émis par la plate-forme de production....... 8
2.3. REGLES POUR LES DN DES CERTIFICATS POUR LA PLATE FORME DE TEST ..................... 8 2.4. ARBORESCENCE DE CERTIFICATION DE I’IGC-MI ..................................................................... 8
2.4.1. OID Ministère de l’intérieur ........................................................................................................ 8 2.4.2. Plan d’attribution des OID politiques de certification pour les ACD 2017 ................................. 9 2.4.3. Plan d’attribution des OID politiques de certification pour l’arborescence de test .................. 10
2.5. FORMAT DES CERTIFICATS ........................................................................................................ 10 2.5.1. Certificat AC Racine ................................................................................................................ 10 2.5.2. Certificat AC Déléguée ............................................................................................................ 11 2.5.3. Certificats des agents .............................................................................................................. 12 2.5.4. Certificats Cachet .................................................................................................................... 16 2.5.5. Certificats Machine .................................................................................................................. 19
2.6. FORMAT DES LAR ET LCR ........................................................................................................... 23 2.6.1. Format LAR ............................................................................................................................. 23 2.6.2. Format LCR ............................................................................................................................. 24 2.6.3. Format OCSP .......................................................................................................................... 25
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 5 / 25
1. INTRODUCTION
1.1. OBJET
Ce document est l’annexe 1 de la Politique de certification de l’IGC-MI.
La version 2 du présent document modifie la version 1 dans les paragraphes suivants :
Présent chapitre pour ajout des nouvelles ACD générées en 2017
Paragraphe 0 avec l’insertion des appellations des nouvelles ACD générées en 2017
Paragraphe Erreur ! Source du renvoi introuvable. avec l’insertion des OID liés aux nouvelles ACD générées en 2017
Paragraphe 0 décrivant les certificats
1.2. DOMAINE D'APPLICATION
Il s’applique à l’IGC-MI.
1.3. ACRONYMES
Pour les besoins du présent document, les sigles suivants s’appliquent :
AA Autorité Administrative
AC Autorité de Certification
ACD Autorité de Certification Déléguée
ACR Autorité de Certification Racine
AE Autorité d’Enregistrement
CN Common name ; nom commun
DIT Directory Identification Tree : arborescence d’informations d’annuaire
DN Distinguished Name ; nom distinctif
FQDN Fully Qualified Domain Name
IGC Infrastructure de Gestion de Clés
IGC/A Infrastructure de Gestion de clés de l’Administration
ISO International Organization for Standardization
LAR Liste des certificats d’AC Révoqués
LCR Liste des Certificats Révoqués
OCSP Online Certificate Status Protocol
OID Object Identifier (Identifiant d’Objet)
PC Politique de Certification
RSA Rivest Shamir Adelman
SHA-1 Secure Hash Algorithm version 1
SHA-2 Secure Hash Algorithm version 2
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 6 / 25
2. IGC-MI DIRECTORY INFORMATION TREE
2.1. DIT DE L’IGC-MI
L’IGC–MI utilise les services d’annuaire pour la publication des certificats et des listes de révocation.
La structure de DIT de l’IGC-MI est décrite ci dessous :
C=FR
O = MINISTERE INTERIEUR
CN = AC POLICE NATIONALE PERSONNES 1 ETOILE
CN = AC POLICE NATIONALE PERSONNES 2 ETOILES
CN = AC ADMINISTRATION CENTRALE PERSONNES 1 ETOILE
CN = AC ADMINISTRATION CENTRALE PERSONNES 2 ETOILES
CN = AC ADMINISTRATION TERRITORIALE PERSONNES 1 ETOILE
CN = AC ADMINISTRATION TERRITORIALE PERSONNES 2 ETOILES
CN = POLICE NATIONALE 1E
CN = POLICE NATIONALE 2E
CN = ADMINISTRATION CENTRALE 1E
CN = ADMINISTRATION CENTRALE 2E
CN = ADMINISTRATION TERRITORIALE 1E
CN = ADMINISTRATION TERRITORIALE 2E
CN = AC SERVEURS 1 ETOILE
CN = AC SERVEURS 2 ETOILES
CN = SERVEUR 1E
CN = SERVEUR 2E
OU = 0002 110014016
CN = AC RACINE MINISTERE INTERIEUR
OU = PERSONNES
CN= « Prénom Nom n°RIO»
SN = « Nom »
GN = « Prénom »
UID= «n°RIO»
OU = SERVEURS
CN= « FQDN »
CN= « Service Applicatif »
CN = POLICE NATIONALE 1E 2017
CN = POLICE NATIONALE 2E 2017
CN = ADMINISTRATION CENTRALE 1E 2017
CN = ADMINISTRATION CENTRALE 2E 2017
CN = ADMINISTRATION TERRITORIALE 1E 2017
CN = ADMINISTRATION TERRITORIALE 2E 2017
CN = SERVEUR 1E 2017
CN = SERVEUR 2E 2017
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 7 / 25
2.2. DN DES CERTIFICATS POUR LA PLATE FORME DE PRODUCTION
2.2.1. REGLES D’INTERPRETATION DES DN
2.2.2. AC RACINE
Le DN de L’AC RACINE : {CN=AC RACINE MINSTERE INTERIEUR, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}
2.2.3. ACD POLICE NATIONALE * ET **
Le DN de L’AC POLICE * 2017 : {CN=POLICE NATIONALE 1E 2017, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}
Le DN de L’AC POLICE ** 2017 : {CN=POLICE NATIONALE 2E 2017, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}
2.2.4. ACD ADMINISTRATION CENTRALE * ET **
Le DN de L’AC CENTRALE * 2017 : {CN=ADMINISTRATION CENTRALE 1E 2017, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}
Le DN de L’AC CENTRALE ** 2017 : {CN= ADMINISTRATION CENTRALE 2E 2017, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}
2.2.5. ACD ADMINISTRATION TERRITORIALE * ET **
Le DN de L’AC TERRITORIALE * 2017 : {CN=ADMINISTRATION TERRITORIALE 1E 2017, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}
Le DN de L’AC TERRITORIALE ** 2017 : {CN=ADMINISTRATION TERRITORIALE 2E 2017, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}
2.2.6. ACD SERVEUR * ET **
Le DN de L’AC SERVEUR * 2017 : {CN= SERVEUR 1E 2017, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}
Le DN de L’AC SERVEUR ** 2017 : {CN=SERVEUR 2E 2017, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}
2.2.7. CERTIFICATS UTILISATEURS FINAUX
2.2.7.1. CERTIFICATS DES PORTEURS
Le DN du certificat d’un porteur : {CN= « Prénom Nom n°RIO», SN = « Nom », GN = « Prénom », UID = « n°RIO », OU=PERSONNES, OU=0002 110014016, O=MINISTERE INTERIEUR, C=FR}
2.2.7.2. CERTIFICATS DES SERVEURS
Le DN d’un certificat serveur de type authentification SSL/TLS est : {CN= « FQDN du serveur », OU=SERVEURS, OU=0002 « n° SIRET », O=MINISTERE INTERIEUR, C=FR} Le DN d’un certificat pour un autre service applicatif est : {CN= « Service Applicatif », OU=SERVEURS, OU=0002 « n° SIRET », O=MINISTERE INTERIEUR, C=FR}. Dans ce cas le CN doit contenir un nom significatif du service.
Le numéro SIRET est l’un des numéros SIRET valide pour une entité rattachée au Ministère de l’Intérieur.
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 8 / 25
2.2.8. REGLES POUR LES DN DES CERTIFICATS DE TEST PORTEUR EMIS PAR LA PLATE-FORME DE PRODUCTION
Dans le cas où une AC de production souhaite émettre des certificats de test de porteur, l’attribut commonName du DN du champ issuer du certificat doit également être préfixé par « TEST ».
Le choix du délimiteur séparant « TEST » du reste du texte renseigné dans l’attribut commonName est l’espace.
2.3. REGLES POUR LES DN DES CERTIFICATS POUR LA PLATE FORME DE TEST
Les certificats d’AC ou de porteurs utilisés à des fins de test doivent répondre aux mêmes exigences que celles définies pour les certificats de production. De plus, ils doivent être identifiables comme certificats de test. Pour cela la règle suivante s’applique : Le nom d’une AC de test (renseigné dans l’attribut commonName des champs issuer et, pour les certificats d’AC, dans le champ subject) doit être préfixé par « TEST ». Le choix du délimiteur séparant « TEST » du reste du texte renseigné dans l’attribut commonName est l’espace.
2.4. ARBORESCENCE DE CERTIFICATION DE I’IGC-MI
L’arborescence de certification du ministère de l’intérieur est décrite ci-dessous.
2.4.1. OID MINISTERE DE L’INTERIEUR
L'identifiant OID attribué par l'AFNOR pour le ministère de l’intérieur est :
Identifiant (OID) Id-MI:= { iso(1) member-body(2) fr(250) type-org(1) ministère-intérieur(152) }
Identifiant (OID) Id-MI : 1.2.250.1.152.
AC RACINE IGC/A
AC RACINE MINISTERE INTERIEUR
SERVEUR 2E 2017
AC Déléguées 2017 1 Etoile
POLICE NATIONALE 1E 2017 POLICE NATIONALE 2E 2017
ADMINISTRATION CENTRALE 1E 2017 ADMINISTRATION CENTRALE 2E 2017
ADMINISTRATION TERRITORIALE 1E 2017 ADMINISTRATION TERRITORIALE 2E 2017
SERVEUR 1E 2017
AC Déléguées 2017 2 Etoiles
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 9 / 25
2.4.2. PLAN D’ATTRIBUTION DES OID POLITIQUES DE CERTIFICATION POUR LES ACD 2017
Le renouvellement des AC Déléguées en 2017 a donné lieu à la création de nouvelles AC Déléguées, dont l’OID est distinct (dérivé de l’OID original). De nouveaux usages de certificats serveurs ont aussi été introduits.
Remarque : pour le niveau de confiance « une étoile », il n’est pas prévu de certificats de signature ou de confidentialité (au moins dans cette phase du projet), les OID sont définies dans ces deux cas pour une éventuelle évolution.
id-mi : 1.2.250.1.152
igc : 2
politique-certification : 1
igc de test : 9002
centrale2017 : 13
police2017 : 23 territoriale2017 : 33
sign : 1
conf : 2
auth : 3
1etoile : 1
2etoiles : 2
sign : 1
conf : 2
auth : 3
sign : 1
conf : 2
auth : 3
1etoile : 1
2etoiles : 2
sign : 1
conf : 2
auth : 3
sign : 1
conf : 2
auth : 3
1etoile : 1
2etoiles : 2
sign : 1
conf : 2
auth : 3
Serveur 2017:43
sslclient SAN: 31
sslserver : 2
ms-ad : 4
1etoile : 1
timestamp : 1
sslserver SAN: 21
sslsclient : 3
sslclient SAN: 31
sslserver : 2
ms-ad : 4
2etoile : 2
timestamp : 1
sslserver SAN: 21
sslsclient : 3
cachet: 5
xkms: 7
ocsp : 6
cachet : 5
ocsp : 6
xkms : 7
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 10 / 25
2.4.3. PLAN D’ATTRIBUTION DES OID POLITIQUES DE CERTIFICATION POUR L’ARBORESCENCE DE TEST
Le plan d’attribution des OID pour l’IGC de test est quasi identique à celui de l’IGC de production, la différence étant que l’identifiant d’application est 9002 au lieu de 2. Se reporter au diagramme précédent pour le schéma.
2.5. FORMAT DES CERTIFICATS
2.5.1. CERTIFICAT AC RACINE
Champs de base
CHAMP VALEUR REMARQUES
Version 2 (version 3)
CertificateSerialNumber alloué automatiquement
Signature Algorithm SHA-256WithRSAEncryption
Issuer CN = IGC/A AC racine Etat francais
OU = 0002 130007669
O = ANSSI
C = FR
Validity Not before : << Date d’émission >>
NotAfter: << Date d’émission + 12 années >>
Subject CN=AC RACINE MINISTERE INTERIEUR
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Public Key Algorithm rsaEncryption
SubjectPublicKey Clé RSA (4096bits)
SignatureValue Valeur de la signature
Extensions
CHAMP CRITICITE VALEUR REMARQUES
Key Usage Critique KeyCertSign ,
CRLSign
Subject Key identifier Non Critique hash of SubjectPublicKey
BasicConstraint Critique CA = true
CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1
CPSuri=http://crl.interieur.gouv.fr/igca4096.crl
Ministère de l’Intérieur
Page11/25
2.5.2. CERTIFICAT AC DELEGUEE
Champs de base
CHAMP VALEUR REMARQUES
Version 2 (version 3)
CertificateSerialNumber alloué automatiquement
Signature Algorithm SHA-256WithRSAEncryption
Issuer CN=AC RACINE MINSTERE INTERIEUR
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Validity Not before : << Date d’émission >>
NotAfter: << Date d’émission + 6 years >>
Subject CN= « Nom de l’AC DELEGUE»
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Public Key Algorithm rsaEncryption
SubjectPublicKey Clé RSA (4096bits)
SignatureValue Valeur de la signature
Extensions
CHAMP CRITICITE VALEUR REMARQUES
Key Usage Critique KeyCertSign
CrlSign,
Authority Key identifier Non Critique hash of IssuerPublicKey
Subject Key identifier Non Critique hash of SubjectPublicKey
BasicConstraint Critique CA = true
pathLenConstraint = 0
Le pathLenConstraint rend invalide un certificat qui serait émis pas une sous-autorité de celle-ci.
CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1. [13,23,33, 43]
CPSuri = http://www.igc.interieur.gouv.fr
CRLDistributionPoint Non Critique Uri =http://crl.interieur.gouv.fr/arl-acr-ministere-interieur.crl
AuthorityInformation Access Non critique accessMethod : id-ad-caIssuers
accessLocation : http://crl.interieur.gouv.fr/acr-ministere-interieur.crt
certificat AC Racine émis par l’IGC/A
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 12 / 25
2.5.3. CERTIFICATS DES AGENTS
2.5.3.1. CERTIFICAT D’AUTHENTIFICATION
Champs de base
CHAMP VALEUR REMARQUES
Version 2 (version 3)
CertificateSerialNumber alloué automatiquement
Signature Algorithm SHA-256WithRSAEncryption
Issuer CN= « Nom de l’AC DELEGUE»
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Validity Not before : << Date d’émission >>
NotAfter: << Date d’émission + 3 années maximum>>
Subject CN= « Prénom Nom n°RIO»
SN = « Nom »
GN = « Prénom »
UID= «n°RIO»
OU=PERSONNES
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Public Key Algorithm rsaEncryption
SubjectPublicKey Clé RSA (2048bits)
SignatureValue Valeur de la signature
Extensions
CHAMP CRITICITE VALEUR REMARQUES
Key Usage Critique DigitalSignature
SubjectAltName Non critique OtherName
1. OID = 1.3.6.1.4.1.311.20.2.3
Value = UPN
2. OID = 1.3.6.1.5.2.2 (Kerberos)
Value : Realm, Type : 1, KRB
3. rfc822Name
Value = email
La valeur de l’UPN (User Principal Name) est de la forme prenom.nom.n°[email protected] et se trouve dans le RIO.
Le domaine Realm est KRB.MININT.FR
La valeur de KRB est de la forme prenom.nom.n°RIO.KRB.MININT.FR
Authority Key identifier Non Critique hash of IssuerPublicKey
Subject Key identifier Non Critique hash of SubjectPublicKey
BasicConstraint Non Critique CA = false
CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[13,23, 33].[1 ou 2].3
CPSuri = http://www.igc.interieur.gouv.fr
[Centrale :13, police : 23 , territoriale : 33]
[2 étoiles :2 ou 1 étoile :1]
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 13 / 25
CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl>
ACD 2017 :
police-nationale-1e-2017.crl
police-nationale-2e-2017.crl
administration-centrale-1e-2017.crl
administration-centrale-2e-2017.crl
administration-territoriale-1e-2017.crl
administration-territoriale-2e-2017.crl
Extended Key Usage Non Critique id-kp-clientAuth
id-kp-smartcard-logon
AuthorityInformation Access
Non critique accessMethod : id-ad-caIssuers
accessLocation : http://crl.interieur.gouv.fr/<nom du certificat >
ACD 2017 :
police-nationale-1e-2017.crt
police-nationale-2e-2017.crt
administration-centrale-1e-2017.crt
administration-centrale-2e-2017.crt
administration-territoriale-1e-2017.crt
administration-territoriale-2e-2017.crt
2.5.3.2. CERTIFICAT DE SIGNATURE
Champs de base
CHAMP VALEUR REMARQUES
Version 2 (version 3)
CertificateSerialNumber alloué automatiquement
Signature Algorithm SHA-256WithRSAEncryption
Issuer CN= « Nom de l’AC DELEGUE»
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Validity Not before : << Date d’émission >>
NotAfter: << Date d’émission + 3 années maximum >>
Subject CN= « Prénom Nom n°RIO»
SN = « Nom »
GN = « Prénom »
UID= «n°RIO»
OU=PERSONNES
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Public Key Algorithm rsaEncryption
SubjectPublicKey Clé RSA (2048bits)
SignatureValue Valeur de la signature
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 14 / 25
Extensions
CHAMP CRITICITE VALEUR REMARQUES
Key Usage Critique nonRepudiation
Authority Key identifier Non Critique hash of IssuerPublicKey
Subject Key identifier Non Critique hash of SubjectPublicKey
BasicConstraint Non Critique CA = false
SubjectAltName Non critique rfc822Name
Value = email
CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[13, 23, 33].[1 ou 2].1
CPSuri = http://www.igc.interieur.gouv.fr
[Centrale:13,Police :23,Territoriale:33]
[2 étoiles :2 ou 1 étoile :1]
CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl>
ACD 2017 :
police-nationale-1e-2017.crl
police-nationale-2e-2017.crl
administration-centrale-1e-2017.crl
administration-centrale-2e-2017.crl
administration-territoriale-1e-2017.crl
administration-territoriale-2e-2017.crl
AuthorityInformation Access
Non critique accessMethod : id-ad-caIssuers
accessLocation : http://crl.interieur.gouv.fr/<nom du certificat >
ACD 2017 :
police-nationale-1e-2017.crt
police-nationale-2e-2017.crt
administration-centrale-1e-2017.crt
administration-centrale-2e-2017.crt
administration-territoriale-1e-2017.crt
administration-territoriale-2e-2017.crt
2.5.3.3. CERTIFICAT DE CHIFFREMENT
Champs de base
CHAMP VALEUR REMARQUES
Version 2 (version 3)
CertificateSerialNumber alloué automatiquement
Signature Algorithm SHA-256WithRSAEncryption
Issuer CN= « Nom de l’AC DELEGUEE»
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Validity Not before : << Date d’émission >>
NotAfter: << Date d’émission + 3 années >>
Subject CN= « Prénom Nom n°RIO»
SN = « Nom »
GN = « Prénom »
UID= «n°RIO»
OU=PERSONNES
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 15 / 25
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Public Key Algorithm rsaEncryption
SubjectPublicKey Clé RSA (2048bits)
SignatureValue Valeur de la signature
Extensions
CHAMP CRITICITE VALEUR REMARQUES
Key Usage Critique KeyEncipherment
Authority Key identifier Non Critique hash of IssuerPublicKey
Subject Key identifier Non Critique hash of SubjectPublicKey
BasicConstraint Non Critique CA = false
SubjectAltName Non critique rfc822Name
Value = email
CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[13, 23, 33].[1 ou 2].2
CPSuri = http://www.igc.interieur.gouv.fr
[Centrale:13,Police :23,Territoriale:33]
[2 étoiles :2 ou 1 étoile :1]
CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl>
ACD 2017 :
police-nationale-1e-2017.crl
police-nationale-2e-2017.crl
administration-centrale-1e-2017.crl
administration-centrale-2e-2017.crl
administration-territoriale-1e-2017.crl
administration-territoriale-2e-2017.crl
AuthorityInformation Access Non critique accessMethod : id-ad-caIssuers
accessLocation : http://crl.interieur.gouv.fr/<nom du certificat >
ACD 2017 :
police-nationale-1e-2017.crt
police-nationale-2e-2017.crt
administration-centrale-1e-2017.crt
administration-centrale-2e-2017.crt
administration-territoriale-1e-2017.crt
administration-territoriale-2e-2017.crt
Ministère de l’Intérieur
Page16/25
2.5.4. CERTIFICATS CACHET
2.5.4.1. CERTIFICAT D’HORODATAGE
Champs de base
CHAMP VALEUR REMARQUES
Version 2 (version 3)
CertificateSerialNumber alloué automatiquement
Signature Algorithm SHA-256WithRSAEncryption
Issuer CN= « nom de l’AC DELEGUEE SERVEUR »
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Validity Not before : << Date d’émission >>
NotAfter: << Date d’émission + 3 années >>
Subject CN= « Nom du serveur d’horodatage »
OU=SERVEURS
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Public Key Algorithm rsaEncryption
SubjectPublicKey Clé RSA (2048bits)
SignatureValue Valeur de la signature
Extensions
CHAMP CRITICITE REMARQUES
Key Usage Critique DigitalSignature
NonRepudiation
Authority Key identifier Non Critique hash of IssuerPublicKey
Subject Key identifier Non Critique hash of SubjectPublicKey
BasicConstraint Non Critique CA = false
CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.43.[1 ou 2].1
CPSuri = http://www.igc.interieur.gouv.fr
[2 étoiles :2 ou 1 étoile :1]
CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl> ACD 2017 :
serveur-1e-2017.crl
serveur-2e-2017.crl
Extended Key Usage Critique id-kp-timestamping
AuthorityInformation Access Non critique accessMethod : id-ad-caIssuers
accessLocation: http://crl.interieur.gouv.fr/<nom du certificat>
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 17 / 25
2.5.4.2. CERTIFICAT CACHET SIGNATURE
Champs de base
CHAMP VALEUR REMARQUES
Version 2 (version 3)
CertificateSerialNumber alloué automatiquement
Signature Algorithm SHA-256WithRSAEncryption
Issuer CN= « nom de l’AC DELEGUEE SERVEUR »
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Validity Not before : << Date d’émission >>
NotAfter : << Date d’émission + 3 années >>
Subject CN= « Nom du serveur »
OU=SERVEURS
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Public Key Algorithm rsaEncryption
SubjectPublicKey Clé RSA (2048bits)
SignatureValue Valeur de la signature
Extensions
CHAMP CRITICITE VALEUR REMARQUES
Key Usage Critique DigitalSignature
NonRepudiation
Authority Key identifier Non Critique hash of IssuerPublicKey
Subject Key identifier Non Critique hash of SubjectPublicKey
BasicConstraint Non Critique CA = false
CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.43.[1 ou 2].5
CPSuri = http://www.igc.interieur.gouv.fr
[2 étoiles :2 ou 1 étoile :1]
CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl>
ACD 2017 :
serveur-1e-2017.crl
serveur-2e-2017.crl
AuthorityInformation Access Non critique AccessMethod : id-ad-caIssuers
accessLocation : http://crl.interieur.gouv.fr/<nom du certificat >
ACD 2017 :
serveur-1e-2017.crt
serveur-2e-2017.crt
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 18 / 25
2.5.4.3. CERTIFICAT DE VALIDATION XKMS
Champs de base
CHAMP VALEUR REMARQUES
Version 2 (version 3)
CertificateSerialNumber alloué automatiquement
Signature Algorithm SHA-256WithRSAEncryption
Issuer CN= « nom de l’AC DELEGUEE SERVEUR »
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Validity Not before : << Date d’émission >>
NotAfter : << Date d’émission + 3 années >>
Subject CN= « Nom du serveur »
OU=SERVEURS
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Public Key Algorithm rsaEncryption
SubjectPublicKey Clé RSA (2048bits)
SignatureValue Valeur de la signature
Extensions
CHAMP CRITICITE VALEUR REMARQUES
Key Usage Critique DigitalSignature
NonRepudiation
Authority Key identifier Non Critique hash of IssuerPublicKey
Subject Key identifier Non Critique hash of SubjectPublicKey
BasicConstraint Non Critique CA = false
CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1. 43.[1 ou 2].7
CPSuri = http://www.igc.interieur.gouv.fr
[2 étoiles :2 ou 1 étoile :1]
CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl>
ACD 2017:
serveur-1e-2017.crl
serveur-2e-2017.crl
AuthorityInformation Access Non critique accessMethod : id-ad-caIssuers
accessLocation : http://crl.interieur.gouv.fr/<nom du certificat >
ACD 2017 :
serveur-1e-2017.crt
serveur-2e-2017.crt
Ministère de l’Intérieur
Page19/25
2.5.5. CERTIFICATS MACHINE
2.5.5.1. CERTIFICAT AUTHENTIFICATION SSL SERVER
Champs de base
CHAMP VALEUR REMARQUES
Version 2 (version 3)
CertificateSerialNumber alloué automatiquement
Signature Algorithm SHA-256WithRSAEncryption
Issuer CN= « nom de l’AC DELEGUEE SERVEUR »
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Validity Not before : << Date d’émission >>
NotAfter: << Date d’émission + 3 années >>
Subject CN= « Nom du serveur »
OU=SERVEURS
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Public Key Algorithm rsaEncryption
SubjectPublicKey Clé RSA (2048bits)
SignatureValue Valeur de la signature
Extension
CHAMP CRITICITE VALEUR REMARQUES
Key Usage Critique DigitalSignature et/ou
KeyEncipherment
Errata de l’ANSSI publié le 23 avril 2012 autorisant temporairement le keyUsage digitalSignature en plus de keyEncipherment
Authority Key identifier Non Critique hash of IssuerPublicKey
Subject Key identifier Non Critique hash of SubjectPublicKey
BasicConstraint Non Critique CA = false
CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.43.[1 ou 2].[2 ou 21]
CPSuri = http://www.igc.interieur.gouv.fr
[2 étoiles :2 ou 1 étoile :1]
[2 : SIMPLE , 21 : MultiSAN]
extendedKeyUsage Non Critique id-kp-serverAuth
CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl>
ACD 2017 :
serveur-1e-2017.crl
serveur-2e-2017.crl
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 20 / 25
AuthorityInformation Access Non critique accessMethod : id-ad-caIssuers
accessLocation : http://crl.interieur.gouv.fr/<nom du certificat >
ACD 2017 :
serveur-1e-2017.crt
serveur-2e-2017.crt
SubjectAltName Non critique contenu du CN du sujet Uniquement pour les MultiSAN
2.5.5.2. CERTIFICAT AUTHENTIFICATION SSL CLIENT
Champs de base
CHAMP VALEUR REMARQUES
Version 2 (version 3)
CertificateSerialNumber alloué automatiquement
Signature Algorithm SHA-256WithRSAEncryption
Issuer CN= « nom de l’AC DELEGUEE SERVEUR »
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Validity Not before : << Date d’émission >>
NotAfter : << Date d’émission + 3 années >>
Subject CN= « Nom du serveur »
OU=SERVEURS
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Public Key Algorithm rsaEncryption
SubjectPublicKey Clé RSA (2048bits)
SignatureValue Valeur de la signature
Extensions
CHAMP CRITICITE VALEUR REMARQUES
Key Usage Critique DigitalSignature
Authority Key identifier Non Critique hash of IssuerPublicKey
Subject Key identifier Non Critique hash of SubjectPublicKey
BasicConstraint Non Critique CA = false
CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.[4 ou 43].[1 ou 2].[3 ou 31]
CPSuri = http://www.igc.interieur.gouv.fr
[2 étoiles :2 ou 1 étoile :1]
[2 : SIMPLE , 21 : MultiSAN]
extendedKeyUsage Non Critique id-kp-clientAuth
CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl>
ACD 2017 :
serveur-1e-2017.crl
serveur-2e-2017.crl
AuthorityInformation Access Non critique accessMethod : id-ad-caIssuers
accessLocation : http://crl.interieur.gouv.fr/<nom du certificat >
ACD 2017 :
serveur-1e-2017.crt
serveur-2e-2017.crt
SubjectAltName Non critique contenu du CN du sujet Uniquement pour les MultiSAN
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 21 / 25
2.5.5.3. CERTIFICAT CONTROLEUR DU DOMAINE
Champs de base
CHAMP VALEUR REMARQUES
Version 2 (version 3)
CertificateSerialNumber alloué automatiquement
Signature Algorithm SHA-256WithRSAEncryption
Issuer CN= « nom de l’AC DELEGUEE SERVEUR »
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Validity Not before : << Date d’émission >>
NotAfter : << Date d’émission + 3 années >>
Subject CN= « Nom du serveur »
OU=SERVEURS
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Public Key Algorithm rsaEncryption
SubjectPublicKey Clé RSA (2048bits)
SignatureValue Valeur de la signature
Extensions
CHAMP CRITICITE VALEUR REMARQUES
Key Usage Critique KeyEncipherment
DigitalSignature
SubjectAltName Non crtique GUID :
DNS Name :
Authority Key identifier Non Critique hash of IssuerPublicKey
Subject Key identifier Non Critique hash of SubjectPublicKey
BasicConstraint Non Critique CA = false
CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1.43.[1 ou 2].4
CPSuri = http://www.igc.interieur.gouv.fr
[2 étoiles :2 ou 1 étoile :1]
extendedKeyUsage Non Critique id-kp-serverAuth
id-kp-clientAuth
CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl>
ACD 2017 :
serveur-1e-2017.crl
serveur-2e-2017.crl
AuthorityInformation Access Non critique accessMethod : id-ad-caIssuers
accessLocation : http://crl.interieur.gouv.fr/<nom du certificat >
ACD 2017 :
serveur-1e-2017.crt
serveur-2e-2017.crt
Certificate Template Name Non critique Domain Controller Authentication
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 22 / 25
2.5.5.4. CERTIFICAT DE VALIDATION OCSP
Note : Les certificats OCSP sont réservés à un usage exclusif du Ministère de l'Intérieur.
Champs de base
CHAMP VALEUR REMARQUE
Version 2 (version 3)
CertificateSerialNumber alloué automatiquement
Signature Algorithm SHA-256WithRSAEncryption
Issuer CN=« nom de l’AC DELEGUEE SERVEUR »
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Validity Notbefore : << Date d’émission >>
NotAfter: << Date d’émission + 3 années >>
Subject CN= « Nom du service OCSP »
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
Public Key Algorithm rsaEncryption
SubjectPublicKey Clé RSA (2048bits)
SignatureValue Valeur de la signature
Extensions
CHAMP CRITICITE VALEUR REMARQUE
Key Usage Critique DigitalSignature
Authority Key identifier Non Critique hash of IssuerPublicKey
Subject Key identifier Non Critique hash of SubjectPublicKey
BasicConstraint Non Critique CA = false
CertificatePolicies Non Critique OID = 1.2.250.1.152.2.1. 43.[1 ou 2].6
CPSuri = http://www.igc.interieur.gouv.fr
[2 étoiles :2 ou 1 étoile :1]
Extended Key Usage Critique id-kp-OCSPSigning
CRLDistributionPoint Non Critique Uri = http://crl.interieur.gouv.fr/<nom de la crl>
ACD 2017 :
serveur-1e-2017.crl
serveur-2e-2017.crl
AuthorityInformation Access
Non critique accessMethod : id-ad-caIssuers
accessLocation : http://crl.interieur.gouv.fr/<nom du certificat >
ACD 2017 :
serveur-1e-2017.crt
serveur-2e-2017.crt
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 23 / 25
2.6. FORMAT DES LAR ET LCR
2.6.1. FORMAT LAR
Champs de base
CHAMP VALEUR REMARQUES
Version V2
Signature Algorithm SHA-256WithRSAEncryption
Issuer CN= « non de l’AC émettrice »
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
thisUpdate « Date d’émission»
nextUpdate « Date de la prochaine publication » 1 mois et une semaine après la date d’émission pour une LAR de l’AC RACINE.
RevokedCertificates
userCertificate n° de série du certificat
revocationDate date de révocation du certificat
signatureAlgorithm sha256WithRSAEncryption
signatureValue Valeur de la signature numérique
Extensions
CHAMP CRITICITE VALEUR REMARQUES
Authority Key Identifier Non Critique hash of IssuerPublicKey
CRLnumber Non Critique Numéro de la CRL
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 24 / 25
2.6.2. FORMAT LCR
Champs de base
CHAMP VALEUR REMARQUES
Version V2
Signature Algorithm SHA-256WithRSAEncryption
Issuer CN= « non de l’AC émettrice »
OU=0002 110014016
O=MINISTERE INTERIEUR
C=FR
thisUpdate « Date d’émission»
nextUpdate « Date de la prochaine publication » 2 jours après la date d’émission pour une LCR d’une AC Déléguée pour les ACD 2011
6 jours après la date d’émission pour une LCR d’une AC Déléguée pour les ACD 2014
RevokedCertificates
userCertificate n° de série du certificat
revocationDate date de révocation du certificat
signatureAlgorithm sha256WithRSAEncryption
signatureValue Valeur de la signature numérique
Extensions
CHAMP CRITICITE VALEUR REMARQUES
Authority Key Identifier Non Critique hash of IssuerPublicKey
CRLnumber Non Critique Numéro de la CRL
ANNEXE 1 POLITIQUE DE CERTIFICATION FORMAT DES CERTIFICATS
Ministère de l’Intérieur
AA100008/PCA0012 Version 3 du 31/07/20147 Page 25 / 25
2.6.3. FORMAT OCSP
2.6.3.1. FORMAT DE LA REQUETE OSCP
CHAMP VALEUR REMARQUES
Version V1 (0)
Requester Name Optionnel DN du demandeur Non analysé
Request List Liste des identifiants des certificats telle que définie dans la RFC 2560
Les extensions non critiques des requêtes sont ignorées
Les extensions critiques ne sont pas supportées (échec de la requête)
Signature Optionnel sha256WithRSAEncryption Non vérifiée
Extensions
champ CRITICITE VALEUR REMARQUES
Nonce Non Critique Optionnel
2.6.3.2. FORMAT DE LA REPONSE OCSP
CHAMP VALEUR REMARQUES
Response Status Comme spécifié RFC 2560
Response Type id-pkix-ocsp-basic
Version V1 (0)
Responder ID DN du répondeur OCSP. DN du certificat du service de validation OCSP
Produced At Generalized Time Date où la réponse a été signée
List of Responses Chaque réponse contient certificate id; certificate status, thisUpdate, nextUpdate.
Signature sha256WithRSAEncryption
Extensions
CHAMP CRITICITE VALEUR REMARQUES
Nonce Non Critique Valeur de l’attribut nonce de la requête
Inclus si présente dans la requête
Le Préfet,
Haut fonctionnaire de défense adjoint