RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич

6.1.1. Входные данные

Данный алгоритм предполагает, что для программы обработки МС предоставляются следующие девять входных параметров:

  1. Предполагаемый МС глубиной n.

  2. Текущие дата и время.

  3. Совокупность исходных политик пользователя («user-initial-policy-set»).

    Это совокупность идентификаторов политик сертификации, которые указывают на политики, приемлемые для пользователя сертификата. Данная совокупность содержит специальное значение в субполе «anyPolicy», если пользователь не имеет отношения к политике сертификации.

  4. Информация о ДЗУЦ («trust anchor information»), описывающая УЦ, который выступает в роли ДЗУЦ в МС.

    Такая информация включает:

    1. Имя доверенного издателя;
    2. Доверенный алгоритм для открытого ключа;
    3. Доверенный открытый ключ;
    4. И дополнительно, параметры доверенного открытого ключа, связанного с открытым ключом.

Информация о ДЗУЦ для процедуры обработки маршрута может предоставляться в форме само-подписанного сертификата. Когда информация о ДЗУЦ предоставляется в форме сертификата, тогда имя в поле «Subject» используется в качестве доверенного имени издателя, а содержание поля «subjectPublicKeyInfo» используется как источник доверенных алгоритма для открытого ключа и самого открытого ключа. Информация о ДЗУЦ является надёжной потому, что она доставлялась для её использования в процедуре обработки МС с помощью некоторой надёжной автономной процедуры (out-of-band procedure). Если доверенный алгоритм для открытого ключа требует дополнительные параметры, то они предоставляются вместе с доверенным открытым ключом.

  1. Исходный запрет на отображение политик («initial-policy-mapping-inhibit»), который указывает, разрешено ли отображение политик в МС.

  2. Точно определённая исходная политика («initial-explicit-policy»), которая указывает на то, что маршрут должен быть, в обязательном порядке, приемлем хотя бы для одной из политик сертификации, представленных в совокупность исходных политик пользователя.

  3. Исходный запрет на использование субполя «anyPolicy» («initial-any-policy-inhibit»), который указывает, целесообразно ли обрабатывать OID в субполе «anyPolicy», если этот идентификатор представлен в сертификате.

  4. Разрешённые исходные субдеревья («initial-permitted-subtrees»), которые определяют для каждого формата имён (например, уникальные имена в соответствие с Рекомендацией ITU-T X.500, адреса электронной почтовой службы или IP-адреса) совокупность субдеревьев, в рамках которых каждый сертификат маршрута сертификации содержит все имена своих владельцев, должны отбрасываться, в обязательном порядке. Входные данные о разрешённых исходных субдеревьях включают несколько групп, каждая для конкретного формата (типа) наименования. Для каждого формата имени такая группа может состоять из одиночного субдерева, которое включает все имена такого формата, или одного или нескольких субдеревьев, каждое из которых определяет подгруппу имён данного формата, или такая группа может быть пустой. Если группа входных данных для некоторого формата имён является пустой, то МС будет считаться не приемлемым в том случае, когда любой сертификат в МС содержит имя такого формата.

  5. Недопустимые исходные субдеревья («initial-excluded-subtrees»), которые определяют для каждого формата имён (например, уникальные имена в соответствие с Рекомендацией ITU-T X.500, адреса электронной почтовой службы или IP-адреса) совокупность субдеревьев, в рамках которых любой сертификат маршрута сертификации не содержит имя своего владельца, могут отбрасываться. Для каждого формата имени такая группа может быть пустой или может состоять из одного или нескольких субдеревьев, каждое из которых определяет подгруппу имён данного формата. Если группа входных данных для некоторого формата имён является пустой, то имена, несоответствующие данному формату имён, исключаются.

От прикладных систем и ИТС, придерживающихся данного стандарта, не требуется группировать все такие допустимые входные данные. Например, прикладные системы и ИТС, придерживающихся данного стандарта, могут обрабатывать все МС, используя значение «FALSE» для входного параметра «initial-any-policy-inhibit» (исходный запрет на использование субполя «anyPolicy»).

2007 - 2017 © Русские переводы RFC, IETF, ISOC.