概览
本部分概述了验证方注册机构加入 Google 钱包身份服务的逐步流程。
作为验证机构注册商(例如,代表其他实体进行验证的 IDV 公司),您充当自己的证书授权机构 (CA),为所管理的下游最终信赖方 (RP) 签署身份请求。
引导流程
第 1 步:商家审核和服务条款 (ToS)
- 接受服务条款并提交您的详细信息:填写验证方注册机构初始配置信息收集表单,以接受《Google 钱包验证方注册机构服务条款》并开始初始配置。
第 2 步:信任建立(根 CA 设置)
Google 钱包使用信任链模型。
- 提交根证书:向 Google 提供您的根 CA 证书。
- Google 会将您的根证书添加到 Google 钱包受信任证书存储区,以便验证您向最终 RP 签发的任何证书。
第 3 步:结束 RP 加入流程
对于您签署的每份 End RP,您都必须:
- 通知 Google:使用验证方注册机构客户导入初始表单通知 Google 新 RP 及其预期使用情形。
- 配置元数据:填充 RP 的显示信息(名称、徽标、隐私权政策网址),并在其证书中设置全局唯一的 Distinguished Name(主题)。
技术规范
A. 证书配置文件
请求必须使用通过 P-256 / ECDSA 生成的标准 X.509 v3 证书进行签名,并且包含自定义 Google 扩展:
- 自定义扩展 OID:
1.3.6.1.4.1.11129.10.1 - 严重程度:非严重。
- 内容:
RelyingPartyMetadataBytes的 SHA256 哈希值,以 ASN.1OCTET STRING编码。
B. 元数据架构 (CBOR)
元数据必须以 CBOR 格式编码。
; in CDDL for CBOR encoding
; schemaVersion = "v1"
RelyingPartyMetadataBytes = #6.24(bstr .cbor RelyingPartyMetadata)
RelyingPartyMetadata = {
"schema_version": tstr,
"display": DisplayInfo,
"aggregator_info": DisplayInfo ; Optional: include to show your branding alongside the RP
}
DisplayInfo = {
"display_name": tstr,
"logo_uri": tstr, ; See note below on brand guidelines
"privacy_policy_uri": tstr
}
logo_uri 必须遵循 Google 钱包品牌推广指南。
C. OpenID4VP 集成
在 client_metadata 对象中添加 base64url 编码的元数据:
{
"client_metadata": {
"vp_formats_supported": { ... },
"gw_rp_metadata_bytes": "<base64url encoding of RelyingPartyMetadataBytes>"
},
"nonce": "...",
"response_mode": "dc_api",
"response_type": "vp_token"
}
合规性和撤消
- 滥用行为监控:Google 会监控恶意 RP 活动,并在检测到任何滥用行为时通知您。
- 及时撤消:您必须及时撤消滥用 RP 的证书,并发布更新的证书吊销列表 (CRL)。
- 审核:Google 会维护匿名化日志,以确保 RP 请求与其注册的用例相符。
后续步骤
如需开始新手入门流程,请与您的 Google 代表联系,并提供您提议的根 CA 证书和初始的最终 RP 列表。