概要
このセクションでは、検証機関登録者が Google ウォレット アカウント管理サービスにオンボーディングするための手順について説明します。
検証機関登録者(他のエンティティに代わって検証を行う IDV 企業など)は、独自の認証局(CA)として機能し、管理するダウンストリームの最終証明書利用者(RP)の ID リクエストに署名します。
オンボーディング プロセス
ステップ 1: 事業内容の審査と利用規約(ToS)
- 利用規約に同意して詳細情報を送信する: 検証機関登録者のオンボーディング登録フォームに記入して、Google ウォレット検証機関登録者の利用規約に同意し、オンボーディングを開始します。
ステップ 2: 信頼の確立(ルート CA の設定)
Google ウォレットでは、信頼の連鎖モデルを使用しています。
- ルート証明書を送信する: ルート CA 証明書を Google に提供します。
- Google は、ルート証明書を Google ウォレットのトラストストアに追加します。これにより、最終証明書利用者に発行する証明書を検証できるようになります。
ステップ 3: 最終証明書利用者のオンボーディング
署名する最終証明書利用者ごとに、次の操作を行う必要があります。
- Google に通知する: 検証機関登録者のクライアント オンボーディング登録フォームを使用して、新しい証明書利用者とその想定されるユースケースを Google に通知します。
- メタデータを構成する: 証明書利用者の表示情報(名前、ロゴ、プライバシー ポリシーの URL)を入力し、証明書にグローバルに一意の識別名(サブジェクト) を設定します。
技術仕様
A. 証明書プロファイル
リクエストには、P-256 / ECDSA を使用して生成され、カスタムの Google 拡張機能を含む標準の X.509 v3 証明書で署名する必要があります。
- カスタム拡張機能の OID:
1.3.6.1.4.1.11129.10.1 - 重要度: 重要ではない。
- コンテンツ:
RelyingPartyMetadataBytesの SHA256 ハッシュ。ASN.1OCTET STRINGでエンコードされます。
B. メタデータ スキーマ(CBOR)
メタデータは CBOR 形式でエンコードする必要があります。
; in CDDL for CBOR encoding
; schemaVersion = "v1"
RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)
RelyingPartyMetadata = {
"schema_version": tstr,
"display": DisplayInfo,
"aggregator_info": DisplayInfo ; Optional: include to show your branding alongside the RP
}
DisplayInfo = {
"display_name": tstr,
"logo_uri": tstr, ; See note below on brand guidelines
"privacy_policy_uri": tstr
}
logo_uri は Google ウォレットのブランド ガイドライン に準拠する必要があります。
C. OpenID4VP の統合
Base64url でエンコードされたメタデータを client_metadata オブジェクトに含めます。
{
"client_metadata": {
"vp_formats_supported": { ... },
"gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
},
"nonce": "...",
"response_mode": "dc_api",
"response_type": "vp_token"
}
コンプライアンスと失効
- 不正使用のモニタリング: Google は悪意のある証明書利用者のアクティビティをモニタリングし、不正使用が検出された場合は通知します。
- 迅速な失効: 不正使用の証明書利用者の証明書を速やかに失効させ、更新された証明書失効リスト(CRL)を公開する必要があります。
- 監査: Google は、証明書利用者のリクエストが登録されたユースケースと一致していることを確認するために、匿名化されたログを保持します。
次のステップ
オンボーディングを開始するには、提案されたルート CA 証明書と最終証明書利用者の初期リストを Google の担当者にお送りください。