Panduan Orientasi Registrar Pemverifikasi

Ringkasan

Bagian ini menguraikan proses langkah demi langkah bagi registrar verifier untuk melakukan aktivasi dengan layanan Identitas Google Wallet.

Sebagai registrar verifikasi (misalnya, perusahaan IDV yang melakukan verifikasi atas nama entitas lain), Anda bertindak sebagai Otoritas Sertifikat (CA) Anda sendiri, menandatangani permintaan identitas untuk Pihak Penerima Akhir (RP) hilir yang Anda kelola.

Proses orientasi

Langkah 1: Peninjauan bisnis dan Persyaratan Layanan (ToS)

  • Penyeleksian: Google akan meninjau proses penyeleksian dan standar keamanan Anda.
  • Menandatangani ToS: Anda harus menandatangani Persyaratan Layanan Pendaftar Verifikasi Google Wallet.

Langkah 2: Pembentukan kepercayaan (Penyiapan CA Root)

Google Wallet menggunakan model Rantai Kepercayaan.

  • Kirimkan Sertifikat Root: Berikan sertifikat CA Root Anda kepada Google.
  • Google akan menambahkan sertifikat root Anda ke penyimpanan tepercaya Google Wallet, sehingga dapat memverifikasi sertifikat apa pun yang Anda terbitkan ke RP Akhir Anda.

Langkah 3: Akhiri orientasi RP

Untuk setiap RP Akhir yang Anda tanda tangani, Anda harus:

  • Memberi tahu Google: Gunakan formulir pendaftaran khusus (segera hadir!) untuk memberi tahu Google tentang RP baru dan kasus penggunaannya yang dimaksud.
  • Konfigurasi Metadata: Isi informasi tampilan RP (Nama, Logo, URL Kebijakan Privasi) dan tetapkan Nama Pembeda (Subjek) yang unik secara global di sertifikatnya.

Spesifikasi teknis

A. Profil sertifikat

Permintaan harus ditandatangani oleh sertifikat X.509 v3 standar yang dibuat menggunakan P-256 / ECDSA dan berisi ekstensi Google kustom:

  • OID Ekstensi Kustom: 1.3.6.1.4.1.11129.10.1
  • Konten: Hash SHA256 dari RelyingPartyMetadataBytes, yang dienkode dalam OCTET STRING ASN.1.

B. Skema metadata (CBOR)

Metadata harus dienkode dalam format CBOR.

; in CDDL for CBOR encoding
; schemaVersion = "v1"

RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)


RelyingPartyMetadata = {
  "schema_version": tstr,
  "display": DisplayInfo,
  "aggregator_info": DisplayInfo  ; Optional: include to show your branding alongside the RP
}

DisplayInfo = {
  "display_name": tstr,
  "logo_uri": tstr,             ; See note below on brand guidelines
  "privacy_policy_uri": tstr
}

logo_uri harus mengikuti Pedoman Merek Google Wallet.

C. Integrasi OpenID4VP

Sertakan metadata yang dienkode base64url dalam objek client_metadata:

{
  "client_metadata": {
    "vp_formats_supported": { ... },
    "gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
  },
  "nonce": "...",
  "response_mode": "dc_api",
  "response_type": "vp_token"
}

Kepatuhan dan pencabutan

  • Pemantauan Penyalahgunaan: Google memantau aktivitas RP yang berbahaya dan akan memberi tahu Anda jika ada penyalahgunaan yang terdeteksi.
  • Pencabutan Segera: Anda diwajibkan untuk segera mencabut sertifikat RP yang melanggar dan memublikasikan Daftar Pencabutan Sertifikat (CRL) yang telah diperbarui.
  • Audit: Google menyimpan log anonim untuk memastikan permintaan RP sesuai dengan kasus penggunaan yang terdaftar.

Langkah berikutnya

Untuk memulai proses aktivasi, hubungi perwakilan Google Anda dengan menyertakan sertifikat Root CA yang diusulkan dan daftar awal RP Akhir Anda.