RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич

Стандартные наборы атрибутов определены в Рекомендациях ITU-T X.500-серии. Прикладные системы, следующие требованиям данного стандарта, обязаны быть готовыми к приёму сертификатов, в которых имена издателей и владельцев сертификатов содержат следующие стандартные типы атрибутов:

  • Страна (country);
  • Организация (organization);
  • Структурное подразделение организации (organizational unit);
  • Определитель уникального имени (distinguished name qualifier);
  • Наименование штата (провинции) или региона (области) (state or province name);
  • Общепринятое имя (например, «Susan Housley», common name);
  • Последовательный номер (serial number).

Кроме того, прикладные системы, следующие требованиям данного стандарта, должны быть готовы к приёму сертификатов, в которых имена издателей и владельцев сертификатов содержат следующие дополнительные стандартные типы атрибутов:

  • Местоположение (locality);
  • Титул (звание) (title);
  • Фамилия (surname);
  • Имя (given name);
  • Инициалы (initials);
  • Псевдоним (pseudonym);
  • Определитель поколения (представитель одной из ступеней семейного генеалогического древа) (например, «Jr.» («Мл.»), «3 rd» или «IV», generation qualifier).

Синтаксис и соответствующие идентификаторы объектов (object identifier — OID) для этих типов атрибутов представлены в ASN.1-модулях Приложения «А».

Дополнительно, прикладные системы, следующие требованиям данного стандарта, должны быть готовы к приёму атрибута «domainComponent», представленного в стандарте RFC-4519. Система именования сегментов/областей определяет иерархическую систему маркирования (именования) сетевых ресурсов (компонентов). Указанный атрибут предоставляет организациям, по их желанию, весьма удобный способ одновременного использования уникальных имён и их DNS-имён. Это не предусматривает замену компонента «dNSName» на субполе «Альтернативное имя» поля «Расширения». Прикладные системы не требуют преобразования таких имён в DNS-имена.

Пользователи сертификатов должны быть готовы к обработке полей, содержащих уникальное имя издателя сертификата и уникальное имя владельца сертификата, с целью построения «цепочки имён» (name chaining) при проверке подлинности МС. Цепочка имён проверяется путём сравнения уникального имени издателя сертификата в одном сертификате с уникальным именем владельца сертификата, указанного в сертификате УЦ. Если имена в поле «Issuer» и в поле «Subject» сертификата совпадают, в соответствие с принятыми правилами, то имеет место само-изданный сертификат.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.