javax.microedition.pki (Foundation Profile, version 1.1.2)

概要

パッケージ

クラス

使用

階層ツリー

非推奨 API

索引

ヘルプ

Foundation 1.1.2

前のパッケージ 次のパッケージ

フレームあり フレームなし

パッケージ javax.microedition.pki

セキュア接続の情報を認証するために使用する証明書です。

参照先:
説明

インタフェースの概要
Certificate	証明書に共通のインタフェースです。

例外の概要
CertificateException	`CertificateException` は、`Certificate` の使用中に発生したエラーをカプセル化します。

パッケージ javax.microedition.pki の説明

セキュア接続の情報を認証するために使用する証明書です。Certificate インタフェースは、アプリケーションに、証明書の発行元と種類に関する情報を提供します。CertificateException は、証明書の検証または使用時に発生した問題に関する情報を提供します。

証明書の形式と使用方法は、後述の MIDP X.509 証明書プロファイルに定義されています。X.509 証明書は必ずサポートされます。その他の証明書の形式もサポートされる場合があります。この実装は、証明書の必要な情報だけを格納できます。また、内部では、実装ごとに適切な任意の形式で証明書のフィールドを格納できます。

参照

MIDP 2.0 デバイスは、標準のインターネットプロトコルとワイヤレスプロトコル、および標準の転送およびセキュリティー技術を使用して動作することが求められます。インターネットコンテンツを保護する最新のメカニズムは、公開鍵暗号化方式の既存のインターネット標準に基づいています。

MIDP X.509 証明書プロファイル

WAP-211-WAPCert-20010522-a [WAPCert] は、RFC 2459 インターネット X.509 公開鍵インフラストラクチャー証明書および CRL プロファイル [RFC 2459] に基づいています。

デバイスは、[WAPCert] に規定されているすべての必須条件を満たしている必要があります。また、[WAPCert] に規定されているすべてのオプション条件を満たすことが推奨されます (ただし次に挙げる除外セクション内の条件を除く)。必須条件とオプション条件の一覧は、[WAPCert] の付録 C に記載されています。[WAPCert] に挙げられている条件に加え、次のような条件があります。

[WAPCert] セクション 6.2「User Certificates for Authentication」を除く部分
[WAPCert] セクション 6.3「User Certificates for Digital Signatures」を除く部分

RFC 2459 には、この仕様の実装と関連性のないセクションも含まれています。WAP 証明書プロファイルでは、これらの機能の説明は除外されています。除外対象は次のとおりです。

セクション 4.2 の第 4 段落「Standard Certificate Extensions」の条件。この仕様の準拠実装は、証明書ポリシー、名前制約、ポリシー制約を含むクリティカルな (またはその可能性がある) 機能拡張を認識する必要はありません。
RFC 2459 のセクション 6.2「Extending Path Validation」。ポリシー証明書発行局やポリシー属性のサポートは不要です。

証明書機能拡張

Version 1 の X.509 証明書は、機能拡張なしの Version 3 の証明書と同等とみなされる必要があります。このプロファイルに準拠するデバイスは、最低限、キーの使用方法 (RFC 2456 セクション 4.2.1.3 を参照) と基本制約 (RFC 2459 のセクション 4.2.1.10) を認識している必要があります。

準拠デバイスが発行局や被認証者の鍵識別子 (RFC 2459 のセクション 4.2.1.1 および 4.2.1.2) の機能拡張を認識しない場合でも、複数の公開鍵と同じ識別名を使用して証明書に署名する証明書発行局をサポートしている必要があります。

実装は、未知の識別名属性を持つ証明書も処理できる必要があります。

実装は、未知の非クリティカルな証明書機能拡張を持つ証明書も処理できる必要があります。

[WAPCert] で定義されている serialNumber 属性が Issuer と Subject の識別名で認識される必要があります。

証明書のサイズ

デバイスは、最大サイズが少なくとも 1500 バイトある、自己署名付きルート CA 証明書でない証明書も処理できる必要があります。

アルゴリズムのサポート

デバイスは、PKCS #1 に定義されているように、RSA 署名アルゴリズムと SHA-1 ハッシュ関数 sha1WithRSAEncryption をサポートする必要があります [RFC 2437]。これらのアルゴリズムをサポートするデバイスは、最大 2048 ビットの RSA 鍵で作成された署名を検証できる必要があります。

デバイスは、署名アルゴリズム md2WithRSAEncryption および md5WithRSAEncryption をサポートすることが推奨されます [RFC 2437]。これらのアルゴリズムをサポートするデバイスは、最大 2048 ビットの RSA 鍵で作成された署名を検証できる必要があります。

HTTPS の証明書処理

デバイスは、RFC 2818 に定義されている拡張鍵使用法の機能拡張が存在し、クリティカルとマークされている場合は、それを認識する必要があります。また、この機能拡張が存在するときは、id-kp-serverAuth オブジェクト識別子が含まれていることを検証する必要があります (RFC 2459 のセクション 4.2.1.13)。

SSL と TLS により、Web サーバーは、サーバー証明書メッセージに重複したルート証明書を含めることができます。実際には、この証明書は、基本制約拡張機能を持っていない場合があります (特に Version 1 の証明書で顕著)。この場合、デバイスは重複した証明書を無視する必要があります。Web サーバーは、証明書チェーンに自己署名付きルート CA を含めてはいけません。

導入されたバージョン:: MIDP 2.0

概要