RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич

При использовании URI-идентификаторов ограничение накладывается на часть имени (адреса) IP-узла. Такое ограничение должно в обязательном порядке указывать на полностью определённое наименование сегмента/области и может указывать на IP-узел или сетевой сегмент (область). Примерами сказанного выше могли бы быть адреса «host.example.com» и «.example.com». Если ограничение начинается с точки, разделяющей маркеры, то оно может быть продолжено на один или несколько маркеров. Т.е., под ограничение «.example.com» подпадают два следующих адреса: «host.example.com» и «my.host.example.com». Тем не менее, под ограничение «.example.com» не подпадает адрес «example.com». Если ограничение не начинается с точки, разделяющей маркеры, то оно указывает на адрес IP-узла. Если ограничение накладывается на формат имён «uniformResourceIdentifier», а в данном сертификате присутствует субполе «subjectAltName», содержащее последовательность «uniformResourceIdentifier», которая, в свою очередь, не содержит компонент «Authority» с наименованием IP-узла в формате полностью определённого наименования сегмента/области (например, если URI-идентификатор, либо не содержит компонент «Authority», либо содержит компонент «Authority», в котором наименование IP-узла представлено в формате IP-адреса), то прикладная система обязана уничтожить такой сертификат.

Ограничение на имена в формате адресов электронной Интернет-почты могут указывать на соответствующий почтовый ящик, на все адреса соответствующего IP-узла (почтового сервера) или на все почтовые ящики в сетевом сегменте (области). Для указания соответствующего почтового ящика ограничение (субполе «nameConstraints» поля «Расширения») содержит полный адрес электронной почты. Например, адрес «root@example.com» определяет корневой почтовый ящик, расположенный на IP-узле (почтовом сервере) с именем «example.com». Для указания всех адресов электронной Интернет-почты на соответствующем IP-узле (почтовом сервере) ограничение (субполе «nameConstraints» поля «Расширения») содержит наименование этого IP-узла (почтового сервера). Например, ограничение «example.com» накладывает запрет на использование любого адреса почтовой службы относящегося к IP-узлу (почтовому серверу) с именем «example.com». Для указания любого адреса почтовой службы в границах сетевого сегмента (области) ограничение начинается с точки, разделяющей маркеры (по аналогии с URI-идентификаторами). Например, под ограничение «.example.com» попадают все адреса Интернет-почты в границах сетевого сегмента (области) «example.com», но не адреса Интернет-почты, относящиеся к IP-узлу (почтовому серверу) с именем «example.com».

Ограничения на DNS-имена отображаются как «host.example.com». Любое DNS-имя, которое может быть сформировано путём обычного добавления маркеров с левой стороны имени, подпадает под данное ограничение. Например, DNS-имя «www.host.example.com» могло бы попасть под данное ограничение, а вот DNS-имя «host1.example.com» не могло бы.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.