RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич

Стандарт RFC-1422 содержит правило именования подчинённых субъектов, которое требует, чтобы УЦ мог выпускать сертификаты только для тех субъектов, чьи имена являются производными (подчинёнными) по отношению к наименованию самого этого УЦ. Надёжность, касающаяся МС в PEM-системе, «вытекает» из наименования PCA-центра. Такое правило именования подчинённых субъектов гарантирует, что УЦ, расположенные в иерархии ниже PCA-центров, корректно разделены на группы подчинённых субъектов, которые могут сертифицироваться этими PCA-центрами (например, УЦ организации может сертифицировать только те субъекты, которые входят в структуру дерева именования субъектов этой организации). Системы сертификации пользователей могут автоматически проверять выполнение правила именования подчинённых субъектов.

Стандарт RFC-1422 использует формат сертификата, рекомендованный ITU-T X.509v1. Ограничения Рекомендации ITU-T X.509v1 требуют установления нескольких ограничений на структуру информации о соответствии с предшествующими политиками сертификации или ограничений применимости сертификатов. К таким ограничениям относятся:

  • Строгая иерархия «сверху-вниз», т.е. все МС начинаются с IPRA-центра.

  • Правило именования подчинённых субъектов ограничивает имена подчинённых субъектов УЦ.

  • Использование концепции PCA-центра, что требует знания конкретных PCA-центров с целью построения логической цепочки проверки, размещаемой в сертификате. Знание конкретных PCA-центров также необходимо при определении, а могла ли цепочка быть приемлемой.

С принятием третьей версии Рекомендации ITU-T X.509v3 большинство требований, выдвинутых стандартом RFC-1422, могут быть удовлетворены на основе использования дополнительных субполей поля «Расширения» в СЕРТ и без необходимости ограничения уже используемых структур УЦ. Соответственно субполя поля «Расширения» в СЕРТ, связанные с политиками сертификации, исключают необходимость применения PCA-центров, а субполя, связанные с ограничениями, исключают необходимость использования правил именования подчинённых субъектов. В результате, данный стандарт предлагает более гибкую архитектуру, которая включает:

  • МС начинаются с открытого ключа УЦ, расположенного в собственном сетевом сегменте и обслуживающего пользователей в рамках этого сегмента, или с открытого ключа корневого УЦ в иерархии. Начало маршрута с открытого ключа УЦ, расположенного в собственном сетевом сегменте и обслуживающего пользователей в рамках этого сегмента, имеет ряд существенных преимуществ. В некоторых прикладных системах доверяют больше локальному сегменту.

  • Ограничения на процедуры именования могут быть наложены путём явного включения в СЕРТ дополнительного субполя в поле «Расширения», устанавливающего такие ограничения, но последние не востребованы.

  • Дополнительные субполя в поле «Расширения», определяющие политику сертификации и отображение политики делают ненужной концепцию PCA-центра, которая допускает высокий уровень автоматизации процедуры. Прикладной процесс (система) может определить, является ли МС допустимым, основываясь лишь только на содержании сертификатов, а не на априорном знании PCA-центров. Эта также допускает автоматизированную обработку МС.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.