RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич
4.2.1.6. Альтернативное имя владельца сертификата

Субполе «subjectAltName» поля «Расширения» позволяет «привязать» параметры подлинности к держателю сертификата. Эти параметры подлинности могут быть включены дополнительно или вместо параметра подлинности, расположенного в поле «Subject» сертификата. К некоторым дополнительным параметрам относятся адрес электронной Интернет-почты, DNS-имя, IP-адрес и URI-идентификатор. Существуют и другие дополнительные параметры, к которым относятся только локальные определения. Сюда могут относиться несколько форм имён и несколько вариантов каждой из форм имён. Всякий раз когда такие идентификаторы должны быть «привязаны» к сертификату, субполе с альтернативным именем владельца сертификата (или альтернативным именем издателя сертификата) должны использоваться в обязательном порядке. Тем не менее, в поле «Subject», используя атрибут «domainComponent», может быть также представлено и DNS-имя.

Примечание. Если в поле «Subject» представлены такие имена, то дополнительные программные модули для преобразования таких имён в DNS-имена не требуются.

Так как считается, по определению, что альтернативное имя владельца сертификата должно «привязываться» к открытому ключу, все части альтернативного имени владельца сертификата должны в обязательном порядке проверяться УЦ.

Более того, если только в сертификате представлен параметр подлинности владельца сертификата в форме альтернативного имени (например, адрес электронной почты), то уникальное имя владельца сертификата в обязательном порядке должно быть не пустым (не пустая последовательность), а в сертификате в обязательном порядке должно быть представлено субполе «subjectAltName». Если поле «Subject» содержит пустую последовательность, то выпускающий УЦ обязан включить в сертификат субполе «subjectAltName» и пометить его как «критичное». Если в сертификат включено субполе «subjectAltName», а сам сертификат содержит не пустое уникальное имя держателя сертификата, то УЦ, придерживающиеся данного стандарта, должны помечать данное субполе как «не критичное».

Когда субполе «subjectAltName» содержит адрес Интернет-почты, то данный адрес должен иметь формат, представленный в стандарте RFC-822 («rfc822Name»). Формат «rfc822Name» представляет собой формат адреса почтового ящика («Mailbox»), определённый в стандарте RFC-2821. Формат адреса почтового ящика имеет вид «Local-part@Domain».

Примечание. Адрес почтового ящика не включает перед собой какой-либо фразы (например, стандартного имени) и не имеет после себя комментария (текста в скобках), а также не обрамляется символами «<» и «>».

2007 - 2017 © Русские переводы RFC, IETF, ISOC.