RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич
4.2.2.2. Доступ к информации владельца сертификата

Это субполе «subjectInfoAccess» указывает на то, как получить доступ владельцу сертификата, содержащего это расширение, к информации и услугам. Когда держателем сертификата является УЦ, тогда информация и услуги могут включать интерактивные услуги по подтверждению подлинности и данные о политике УЦ. Когда держателем сертификата является конечные пользователь, тогда информация определяет тип предлагаемых услуг и как получить доступ к ним. В таком случае, содержание субполя «subjectInfoAccess» определено в стандартном протоколе для обеспечивающих служб. Это субполе может входить в состав сертификатов конечного пользователя или УЦ. УЦ, придерживающиеся данного стандарта, обязаны помечать данное субполе как «не критичное».

id-pe-subjectInfoAccess OBJECT IDENTIFIER ::= { id-pe 11 }

SubjectInfoAccessSyntax  ::=
        SEQUENCE SIZE (1..MAX) OF AccessDescription

AccessDescription  ::=  SEQUENCE {
        accessMethod          OBJECT IDENTIFIER,
        accessLocation        GeneralName  }

Каждая запись в последовательности «SubjectInfoAccessSyntax» указывает на формат и место расположения дополнительной информации, предоставляемой владельцем сертификата, в котором содержится это субполе. Тип и формат информации определяется с помощью субпоследовательности «accessMethod», место расположения информации определяется с помощью субпоследовательности «accessLocation». Содержание субпоследовательности «accessMethod» или специализированное содержание субпоследовательности «accessLocation» подразумевают способ получения информации.

Данный стандарт рассматривает один способ доступа, используемый тогда, когда владельцем сертификата является УЦ, и один способ доступа, используемый тогда, когда владельцем сертификата является конечный пользователь. Дополнительные способы доступа могут быть п=описаны в дальнейшем в стандартных протоколах других сетевых служб.

Объектный идентификатор «id-ad-caRepository» используется тогда, когда владельцем сертификата является УЦ, которые публикует сертификаты и размещает их в репозитарии. Субпоследовательность «accessLocation» рассматривается как обобщённое имя «GeneralName», которое может иметь несколько форматов.

Если субпоследовательность «accessLocation» является наименованием в формате «directoryName», то прикладная система должна получать необходимую информацию из любого СЕК-сервера, который настраивается исходя из локальных условий. Когда субполе «subjectInfoAccess» используется в указателе на сертификаты УЦ, тогда запись в формате «directoryName» содержит сертификаты УЦ в атрибутах «crossCertificatePair» и/или «cACertificate», как это определено в стандарте RFC-4523. Протокол, используемый прикладной системой (прикладным процессом) для доступа к СЕК-сегменту (например, DAP-или LDAP-протокол), выбирается исходя из локальных условий.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.