RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич

6. Подтверждение подлинности маршрута сертификации

Процедуры подтверждения подлинности (ПрПП) МС в рамках Интернет/PKI-инфраструктуры основаны на алгоритме, представленном в Рекомендации ITU-T X.509 (X.509-алгоритм). Обработка МС подразумевает проверку привязки уникального имени владельца сертификата и/или его альтернативного имени к его открытому ключу. Такая связка ограничивается некоторыми условиями, содержащимися в сертификате, который включает маршрут и входные данные, устанавливаемые проверяющей стороной. Субполя «basicConstraints» и «policyConstraints» обеспечивают логическую обработку МС, что позволяет автоматизировать процесс принятия решения.

Далее рассматривается X.509-алгоритм ПрПП МС. От прикладных систем и ИТС, придерживающихся данного стандарта, не требуется применять стандартный X.509-алгоритм, но они обязаны использовать эквивалентную ПрПП маршрутов, обеспечивающую функциональную совместимость с внешней процедурной характеристикой, реализуемой X.509-алгоритмом, и приводящую к результату, который аналогичен результату при выполнении X.509-алгоритма. Соответствующая прикладная система или ИТС может использовать любой алгоритм сколь угодно долго, но при условии, что он будет приводить к корректному результату.

Ниже описывается основная ПрПП маршрута. Приемлемые маршруты начинаются с сертификатов, изданных доверенным «замыкающим УЦ» («trust anchor[?]»). Для алгоритма необходимы открытый ключ УЦ, наименование УЦ и ограничения на установку маршрутов, подлинность которых может быть подтверждена с использованием этого криптоключа.

Выбор доверенного замыкающего УЦ (ДЗУЦ) — это дело политики сертификации. ДЗУЦ не может быть корневой УЦ в иерархической PKI-инфраструктуре, УЦ, который издал собственный(е) сертификат(ты) проверяющего, или любой другой УЦ в PKI-инфраструктуре сетевого типа. ПрПП маршрута неизменна и не зависит от выбора ДЗУЦ. Кроме того, различные прикладные системы могут доверять различным ДЗУЦ или могут признавать маршруты, которые начинаться с любой группы ДЗУЦ.

Далее будут представлены способы использования алгоритма ПрПП маршрута в специфических прикладных системах и ИТС, а также итерации, необходимые для определения, является ли сертификат отозванным, когда ведение СОС является способом аннулирования, используемым издателем сертификатов.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.