RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич

5.2. Субполе «Расширения СОС»

Эти расширения СОС определены в стандартах ANSI X9, ISO/IEC и ITU-T X.509 для 2-ой версии СОС и определяют способы привязки дополнительных атрибутов с СОС. Формат СОС в соответствие с Рекомендацией ITU-T X.509 2-ой версии также разрешает различным PKI-инфраструктурам устанавливать частные расширения для доставки информации, являющейся уникальной этих инфраструктур. Каждое расширение в СОС может быть помечено как «критичное» или «не критичное». Если СОС содержит критичное расширение, которое не может обработать прикладной процесс, то этот прикладной процесс обязан не использовать этот СОС для определения статуса сертификатов. Однако, прикладные системы могут игнорировать не распознаваемые не критичные расширения СОС. Различные PKI-инфраструктуры могут сами выбирать, необходимо ли им включать в СОС расширения, которые не представлены в данном стандарте. Тем не менее, целесообразно «с особой осторожностью» включать с СОС какие-либо критичные расширения, которые могли бы использоваться в общем контексте.

Издателям СОС, придерживающимся данного стандарта, рекомендуется включать во все издаваемые ими СОС субполе «crlExtensions» с последовательностями «authorityKeyIdentifier» и «cRLNumber».

5.2.1. Последовательность «authorityKeyIdentifier»

Последовательность «authorityKeyIdentifier» (идентификатор ключа УЦ) указывает на средства идентификации соответствующего закрытого ключа, используемого при подписании СОС. Процедура идентификации может основываться, либо идентификаторе ключа (идентификатор ключа владельца, указанный в сертификате для подписания СОС), либо имя издателя и последовательный номер. Эта последовательность наиболее полезна там, где издатель имеет несколько ключей для подписи, либо вследствие нескольких одновременно действующих пар криптоключей, либо вследствие технологической перенастройки.

Издатели СОС, придерживающиеся данного стандарта, обязаны использовать способ идентификации криптоключей, а также — включать эту последовательность во все издаваемые ими СОС.

Синтаксис последовательности «authorityKeyIdentifier» представлен в 4.2.1.1.

5.2.2. Последовательность «issuerAltName»

Эта последовательность «issuerAltName» (альтернативное имя издателя) включает дополнительные параметры подлинности, указывающие на издателя СОС. К таким параметрам относятся адрес электронной почты («rfc822Name»), DNS-имя, IP-адрес и URI-идентификатор. Одновременно могут использоваться несколько частей формата наименования и несколько форматов имён. Всякий раз, когда используются такие параметры подлинности, обязательно должна использоваться последовательность «issuerAltName». Тем не менее, DNS-имя может быть представлено в субполе «Issuer» с использованием атрибута «domainComponent» (4.1.2.4).

Целесообразно, чтобы издатели СОС, придерживающиеся данного стандарта, помечали последовательность «issuerAltName» как «не критичную».

Описание OID и синтаксиса для данной последовательности представлено в 4.2.1.7.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.