RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич

ДЗУЦ (ДЗУЦ-сертификат) рассматривается как входные данные X.509-алгоритма. Не существует требований, чтобы один и тот же ДЗУЦ-сертификат использовался в ПрПП всех МС. Различные ДЗУЦ-сертификаты могут использоваться в ПрПП различных маршрутов.

Основная цель ПрПП заключается в проверке привязки (связки) уникального или альтернативного имени владельца сертификата к его же открытому ключу, представленном в целевом сертификате, на основе открытого ключа ДЗУЦ. В большинстве случаев, целевой сертификат будет представлять собой сертификат конечного пользователя, но целевой сертификат может быть и сертификатом УЦ, пока открытый ключ владельца сертификата предназначен для решения любых других задач, отличных от проверки подписи в СЕРТ|ОК. Проверка связки между именем и открытым ключом владельца сертификата требует получения последовательности сертификатов, которые обеспечивают такую связку. Процедура получения такой последовательности сертификатов в данном стандарте не рассматривается.

Для достижения этой цели, ПрПП маршрутов проверяет, среди прочего, что предполагаемый МС (последовательность из n сертификатов) удовлетворяет следующим условиям:

  • Для всех x в {1, ..., n-1}, владелец сертификата x является издателем сертификата x+1;

  • Сертификат 1 издан ДЗУЦ;

  • Сертификат n является сертификатом, подлинность которого должна быть подтверждена (т.е. целевой сертификат);

  • Для всех x в {1, ..., n}, сертификат был действителен на момент времени, о котором идёт речь.

Сертификат должен присутствовать в предполагаемом МС не более одного раза, в обязательном порядке.

Когда ДЗУЦ-сертификат представлен в форме само-подписанного сертификата, тогда этот само-подписанный сертификат не включается в предполагаемый МС как его «звено». Информация о ДЗУЦ предоставляется в качестве входных данных алгоритма ПрПП МС.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.