Übersicht
In diesem Abschnitt wird der schrittweise Prozess für Registrare von Prüfern beschrieben, um den Google Wallet Identity Service zu nutzen.
Als Registrierungsstelle für die Identitätsüberprüfung (z. B. ein Unternehmen für die Identitätsüberprüfung, das im Namen anderer Rechtssubjekte die Identität überprüft) fungieren Sie als eigene Zertifizierungsstelle (CA, Certificate Authority) und signieren Identitätsanfragen für die nachgelagerten End-RPs (Relying Parties), die Sie verwalten.
Einrichtungsprozess
Schritt 1: Unternehmensüberprüfung und Nutzungsbedingungen
- Nutzungsbedingungen akzeptieren und Details einreichen:Füllen Sie das Verifier Registrar Onboarding Intake Form aus, um die Nutzungsbedingungen für Google Wallet Verifier Registrar zu akzeptieren und mit dem Onboarding zu beginnen.
Schritt 2: Vertrauensstellung (Einrichtung der Stammzertifizierungsstelle)
Google Wallet verwendet ein Chain of Trust-Modell.
- Root-Zertifikat einreichen:Stellen Sie Google Ihr Root-CA-Zertifikat zur Verfügung.
- Google fügt Ihr Root-Zertifikat dem Google Wallet-Vertrauensspeicher hinzu, damit alle Zertifikate, die Sie für Ihre End-RPs ausstellen, überprüft werden können.
Schritt 3: Onboarding für das Empfehlungsprogramm beenden
Für jede Endorsement-Vereinbarung, die du unterzeichnest, musst du Folgendes tun:
- Google informieren:Verwenden Sie das Aufnahmeformular für die Registrierung von Verifier-Clients, um Google über den neuen RP und den vorgesehenen Anwendungsfall zu informieren.
- Metadaten konfigurieren:Geben Sie die Anzeigeinformationen des RP (Name, Logo, URL der Datenschutzerklärung) ein und legen Sie einen global eindeutigen Distinguished Name (Subject) im Zertifikat fest.
Technische Spezifikationen
A. Zertifikatsprofil
Anfragen müssen mit standardmäßigen X.509 v3-Zertifikaten signiert werden, die mit P-256 / ECDSA generiert wurden und eine benutzerdefinierte Google-Erweiterung enthalten:
- Benutzerdefinierte Erweiterungs-OID:
1.3.6.1.4.1.11129.10.1 - Wichtigkeit:Nicht kritisch.
- Inhalt:Ein SHA256-Hash von
RelyingPartyMetadataBytes, codiert in einem ASN.1-OCTET STRING.
B. Metadaten-Schema (CBOR)
Metadaten müssen im CBOR-Format codiert sein.
; in CDDL for CBOR encoding
; schemaVersion = "v1"
RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)
RelyingPartyMetadata = {
"schema_version": tstr,
"display": DisplayInfo,
"aggregator_info": DisplayInfo ; Optional: include to show your branding alongside the RP
}
DisplayInfo = {
"display_name": tstr,
"logo_uri": tstr, ; See note below on brand guidelines
"privacy_policy_uri": tstr
}
Das logo_uri muss den Branding-Richtlinien für Google Wallet entsprechen.
C. OpenID4VP-Integration
Fügen Sie die Base64-URL-codierten Metadaten in das client_metadata-Objekt ein:
{
"client_metadata": {
"vp_formats_supported": { ... },
"gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
},
"nonce": "...",
"response_mode": "dc_api",
"response_type": "vp_token"
}
Compliance und Widerruf
- Missbrauchsüberwachung:Google überwacht auf bösartige RP-Aktivitäten und benachrichtigt Sie, wenn Missbrauch erkannt wird.
- Schneller Widerruf:Sie müssen Zertifikate für missbräuchliche RPs umgehend widerrufen und eine aktualisierte Zertifikatssperrliste (Certificate Revocation List, CRL) veröffentlichen.
- Auditierung:Google führt anonymisierte Logs, um sicherzustellen, dass RP-Anfragen mit den registrierten Anwendungsfällen übereinstimmen.
Nächste Schritte
Wenden Sie sich an Ihren Google-Ansprechpartner, um mit der Einrichtung zu beginnen. Geben Sie dabei Ihr vorgeschlagenes Root-CA-Zertifikat und Ihre erste Liste mit End-RPs an.