RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич

Целесообразно, чтобы прикладные системы, функционирующие с использованием URI-идентификаторов при обеспечении доступа к HTTP-серверу, указывали тип доставки «application/pkix-cert» в поле заголовка «content-type» ответного сообщения на запрос одиночного сертификата, закодированного по DER-правилам. Кроме того, целесообразно, чтобы такие прикладные системы указывали тип доставки «application/pkcs7-mime» (RFC-2797) в поле заголовка «content-type» ответного сообщения при обмене CMS-сообщениями («certs-only»). При использовании FTP-протокола, целесообразно, чтобы имя файла, содержащего одиночный сертификат, закодированный по DER-правилам, включало суффикс «.cer» (RFC-2585), а имя файла, содержащего CMS-сообщение («certs-only»), — «.p7c» (RFC-2797). Касаясь клиентов, то они могут использовать расширение «тип доставки» («media type») или «файл» («file») как указатель на содержание, но, в то же время, не целесообразно, чтобы оно зависело только от наличия корректного расширения «тип доставки» или «файл» в ответе сервера.

Семантика других форматов имён «id-ad-caIssuers» и «accessLocation» в данном стандарте не рассматривается.

Субполе «authorityInfoAccess» может включать несколько идентификаторов «id-ad-caIssuers» и субпоследовательностей «accessMethod». Различные идентификаторы и способы доступа могут указывать, либо на различные способы обеспечения доступа к одной и той же информации, либо на различную информацию. Когда используются идентификаторы «id-ad-caIssuers» и субпоследовательности «accessMethod», тогда целесообразно, чтобы, по крайней мере, один идентификатор указывал на точку доступа («accessLocation»), которая использовала бы URI-идентификаторы при обеспечении доступа к HTTP- или LDAP-серверу (RFC-2616 и RFC-4516).

Идентификатор «id-ad-ocsp» используется в тех случаях, когда информация об аннулированных сертификатов, содержащих данное расширение, доступна с помощью интерактивного протокола проверки состояния сертификата (OCSP, RFC-6960).

Когда идентификатор «id-ad-ocsp» используется в качестве указателя на способ доступа (субпоследовательность «accessMethod»), тогда субпоследовательность «accessLocation» определяет место расположение сетевого субъекта, использующего OCSP-протокол в соответствие с RFC-6960.

Дополнительные определители типов доступа могут быть представлены в других стандартах Интернет/PKI-инфраструктуры.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.