RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич

Оглавление

1. Введение

Данный стандарт является частью семейства стандартов Х.509/PKI-инфраструктуры в рамках Интернет-сети.

В этом стандарте представлены формат и семантика (конструкция) сертификатов и списков отозванных сертификатов (СОС, certificate revocation lists — CRL) для PKI-инфраструктуры в Интернет-сети (Интернет/PKI-инфраструктуры). В нём также рассматриваются процедуры для обработки маршрутов сертификации (МС), а в приложениях приведены ASN.1-модули всех структур данных, которые рассматриваются или упоминаются.

2. Требования и предположения

Цель данного стандарта — изложить описание Х.509-сертификатов, используемых в прикладных системах Интернет-сообщества, и предоставить информацию для тех корпоративных систем, владельцы которых желают использовать Х.509-технологию. К таким прикладным системам относятся WWW, электронная почта, системы аутентификации пользователей и IPsec-архитектура. В целях преодоления некоторых препятствий, связанных с использованием Х.509-сертификатов, данный стандарт включает рекомендации по дальнейшему развитию систем обеспечения сертификатами, разработке прикладных программных средств и обеспечению функциональной совместимости, определяемой политикой. Некоторым организациям может понадобиться дополнить, или может быть заменить данное описание с целью удовлетворения требованиям специализированных прикладных систем, функционирующим в границах определённых сетевых сегментов или областей, в которых установлены дополнительные требования, затрагивающие авторизацию, обеспечение гарантий или конкретные функциональные аспекты. Тем не менее, при использовании основных прикладных систем, общее представление часто используемых атрибутов таково, что разработчики прикладных систем могут почерпнуть в данном описании всю необходимую информацию без учёта специфики организации, выпустившей соответствующий сертификат (СЕРТ) или СОС.

Пользователь СЕРТ, прежде чем начать пользоваться услугами служб аутентификации или обеспечения неотказуемости, функционирующих на основе открытого ключа, содержащегося в соответствующем СЕРТ, должен оценить (проанализировать) политику сертификации (ПЛС), установленную уполномоченным органом сертификации (CA — Certification Authority, удостоверяющий центр, далее — УЦ). В этой связи, данный стандарт не устанавливает каких-либо юридически обязательных правил или ограничений.

Так как могут появиться средства дополнительной авторизации и обеспечения атрибутами, например, атрибутные сертификаты, то было бы целесообразным ограничивать число атрибутов аутентификации, которые содержаться в СЕРТ. Существуют и другие средства обеспечения атрибутной информацией, которые могут предоставить наиболее предпочтительные методы доставки атрибутов аутентификации.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.