RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич

В большинстве форматов атрибутов, установленных Рекомендацией ITU-T X.520, значение атрибута «AttributeValue» использует DirectoryString-формата. Атрибуты, представленные в Приложении А, а именно «name», «surname», «givenName», «initials», «generationQualifier», «commonName», «localityName», «stateOrProvinceName», «organizationName», «organizationalUnitName», «title» и «pseudonym», используют DirectoryString-формат. Рекомендация ITU-T X.520 использует описание параметрического формата (Рекомендация ITU-T X.683) DirectoryString-кодировки с целью определения синтаксиса каждого из этих атрибутов. А параметр используется для указания максимальной длины последовательности символов, допустимой для конкретного атрибута. В Приложении А, с целью исключения описаний параметрического формата, DirectoryString-формат записывается в своей расширенной форме для описания каждого из этих типов атрибутов. Таким же образом, ASN.1-стандарт в Приложении А определяет синтаксис каждого из этих атрибутов в качестве выбора («CHOICE») из TeletexString-, PrintableString-, UniversalString-, UTF8String- и BMP-String-кодировок, с соответствующими ограничениями на длину последовательности, применяемыми для каждого из форматов в строке «CHOICE», а не использует ASN.1-формат DirectoryString-кодировки для описания синтаксиса.

Целесообразно, чтобы прикладные системы и ИТС обращали внимание на то, что DER-кодировка значений «SET OF» требует упорядочивания закодированных значений. Соответственно, та же проблема касается и уникальных имён.

Целесообразно, чтобы прикладные системы и ИТС обращали внимание на то, что DER-кодирование компонента «SET» или «SEQUENCE», значение которого — «DEFAULT», не включает компонент из закодированного СЕРТ или СОС. Например, субполе «basicConstraints» поля «Расширения» сертификата, в котором флаг «cA» имеет значение «FALSE», могло бы не включать флаг «cA» (тип данных, «boolean») из закодированного СЕРТ.

Идентификаторы объектов (OID) используются в данном стандарте для идентификации политик сертификации, алгоритмов открытых ключей и криптоалгоритмов, расширений СЕРТ и др. Для OID не существует максимальных значений. Данный стандарт даёт полномочия на обработку OID, которые включают маркеры (ветви в дереве иерархии OID), имеющие значения меньше чем 228, т.е. они должны быть, в обязательном порядке в диапазоне от 0 до 268435455, включительно. Это позволяет представлять каждый маркер в форме одного 32-битового слова. Кроме того, прикладные системы и ИТС обязаны обрабатывать OID, в которых длина последовательностей десятичных чисел, разделённых точками (параграф 1.4 стандарта RFC-4512), может достигать до 100 байт, включительно. Прикладные системы и ИТС обязаны обрабатывать OID, в которых длина достигает до 20 маркеров, включительно. Целесообразно, чтобы УЦ не издавали СЕРТ, которые содержат OID, превышающие эти требования. Таким же образом, целесообразно, чтобы издатели СОС не выпускали СОС, которые содержат OID, превышающие эти требования.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.