RFC 5280 — Описание сертификатов и списков отозванных сертификатов для Х.509/PKI-инфраструктуры Интернет-сети

Оглавление

• 1. Введение
• 2. Требования и предположения
• 2.1. Связь и топология
• 2.2. Критерий приемлемости
• 2.3. Перспективы для пользователей
• 2.4. Перспективы для администраторов
• 3. Обзор модели Х.509/PKI-инфраструктуры
• 3.1. Х.509-сертификат третьей версии
• 3.2. Маршруты сертификации и доверие
• 3.3. Аннулирование (отзыв)
• 3.4. Функциональные протоколы
• 3.5. Протоколы обеспечения
• 4. Описание сертификата и поля «расширения» в сертификате
• 4.1. Основные поля сертификата
• 4.1.1. Поля сертификата
• 4.1.1.1. Поле «tbsCertificate»
• 4.1.1.2. Поле «signatureAlgorithm»
• 4.1.1.3. Поле «signatureValue»
• 4.1.2. Субполя (состав) поля «tbsCertificate»
• 4.1.2.1. Версия «Version»
• 4.1.2.2. Последовательный номер «Serial Number»
• 4.1.2.3. Подпись «Signature»
• 4.1.2.4. Издатель «Issuer»
• 4.1.2.5. Период действия «Validity»
• 4.1.2.5.1. Время UTCTime
• 4.1.2.5.2. Время GeneralizedTime
• 4.1.2.6. Держатель (владелец) СЕРТ|ОК «Subject»
• 4.1.2.7. Информация об открытом ключе владельца СЕРТ|ОК «SubjectPublicKeyInfo»
• 4.1.2.8. Уникальные идентификаторы «UniqueIdentifier»
• 4.1.2.9. Расширения «Extensions»
• 4.2. Субполя «Расширение сертификата» поля «Расширения»
• 4.2.1. Стандартные субполя поля «Расширения»
• 4.2.1.1. Идентификатор ключа УЦ «authorityKeyIdentifier»
• 4.2.1.2. Идентификатор ключа владельца сертификата «subjectKeyIdentifier»
• 4.2.1.3. Предназначение (применимость) ключа «keyUsage»
• 4.2.1.4. Политики сертификации
• 4.2.1.5. Отображение политик сертификации
• 4.2.1.6. Альтернативное имя владельца сертификата
• 4.2.1.7. Альтернативное имя издателя сертификата
• 4.2.1.8. Атрибуты СЕК-сегмента владельца сертификата
• 4.2.1.9. Основные ограничения
• 4.2.1.10. Ограничения на форматы имён
• 4.2.1.11. Ограничения на применение политик
• 4.2.1.12. Расширение сферы применения ключа
• 4.2.1.13. Точки распространения СОС
• 4.2.1.14. Запрет на использование субполя «anyPolicy»
• 4.2.1.15. Самый последний СОС (известный также как «точка распространения обновлённого (delta) СОС»)
• 4.2.2. Частные расширения для Интернет/PKI-инфраструктуры
• 4.2.2.1. Доступ к информации УЦ
• 4.2.2.2. Доступ к информации владельца сертификата
• 5. Описание СОС и субполя «Расширения СОС»
• 5.1. Поля СОС
• 5.1.1. Субполя (состав) поля «CertificateList»
• 5.1.1.1. Субполе «tbsCertList»
• 5.1.1.2. Субполе «signatureAlgorithm»
• 5.1.1.3. Субполе «signatureValue»
• 5.1.2. Список сертификатов, подлежащих подписанию
• 5.1.2.1. Версия СОС
• 5.1.2.2. Подпись
• 5.1.2.3. Имя (наименование) издателя СОС
• 5.1.2.4. Дата издания СОС
• 5.1.2.5. Дата издания следующего СОС
• 5.1.2.6. Аннулированные сертификаты
• 5.1.2.7. Субполе «Расширения СОС»
• 5.2. Субполе «Расширения СОС»
• 5.2.1. Последовательность «authorityKeyIdentifier»
• 5.2.2. Последовательность «issuerAltName»
• 5.2.3. Последовательность «CRLNumber»
• 5.2.4. Индикатор усечённого СОС
• 5.2.5. Точка распространения СОС
• 5.2.6. «Свежайший» СОС (так называемая точка распространения СОС)
• 5.2.7. Доступ к информации УЦ
• 5.3. Расширения записей СОС
• 5.3.1. Код причины
• 5.3.2. Дата окончания срока действия сертификата
• 5.3.3. Издатель сертификата
• 6. Подтверждение подлинности маршрута сертификации
• 6.1. Основная процедура подтверждения подлинности маршрута
• 6.1.1. Входные данные
• 6.1.2. Фаза инициализации
• 6.1.3. Фаза основной обработки сертификата
• 6.1.4. Фаза подготовки к обработке (i+1)-го сертификата
• 6.1.5. Завершающая фаза
• 6.1.6. Выходные данные
• 6.2. Использование алгоритма ПрПП маршрута
• 6.3. ПрПП списков отозванных сертификатов
• 6.3.1. Входные данные для аннулирования
• 6.3.2. Фаза инициализации и переменные состояния отзыва
• 6.3.3. Обработка СОС
• 7. Правила обработки наименований, основанных на национальных алфавитах
• 7.1. Отображение ИНА в уникальные имена
• 7.2. Отображение ИСНА в обобщённые имена «GeneralName»
• 7.3. Отображение ИСНА в уникальные имена
• 7.4. Отображение ИРНА
• 7.5. Отображение адресов электронной почтовой службы, основанных на национальных алфавитах
• 8. Проблемы обеспечения информационной безопасности
• Ссылки
• Нормативные документы
• Дополнительная литература
• Приложение А
• А.1. Точно размеченный ASN.1-модуль, синтаксис 1988 г.
• А.2. Размеченный по содержанию ASN.1-модуль, синтаксис 1988 г.
• Приложение В. Комментарии к ASN.1-модулю
• Приложение C. Примеры
• C.1. Само-подписанный сертификат с использованием RSA-алгоритма
• C.2. Сертификат конечного пользователя, изданный с использованием RSA-алгоритма
• C.3. Сертификат конечного пользователя, изданный с использованием DSA-алгоритма
• C.4. СОС

1. Введение

Данный стандарт является частью семейства стандартов Х.509/PKI-инфраструктуры в рамках Интернет-сети.

В этом стандарте представлены формат и семантика (конструкция) сертификатов и списков отозванных сертификатов (СОС, certificate revocation lists — CRL) для PKI-инфраструктуры в Интернет-сети (Интернет/PKI-инфраструктуры). В нём также рассматриваются процедуры для обработки маршрутов сертификации (МС), а в приложениях приведены ASN.1-модули всех структур данных, которые рассматриваются или упоминаются.

2. Требования и предположения

Цель данного стандарта — изложить описание Х.509-сертификатов, используемых в прикладных системах Интернет-сообщества, и предоставить информацию для тех корпоративных систем, владельцы которых желают использовать Х.509-технологию. К таким прикладным системам относятся WWW, электронная почта, системы аутентификации пользователей и IPsec-архитектура. В целях преодоления некоторых препятствий, связанных с использованием Х.509-сертификатов, данный стандарт включает рекомендации по дальнейшему развитию систем обеспечения сертификатами, разработке прикладных программных средств и обеспечению функциональной совместимости, определяемой политикой. Некоторым организациям может понадобиться дополнить, или может быть заменить данное описание с целью удовлетворения требованиям специализированных прикладных систем, функционирующим в границах определённых сетевых сегментов или областей, в которых установлены дополнительные требования, затрагивающие авторизацию, обеспечение гарантий или конкретные функциональные аспекты. Тем не менее, при использовании основных прикладных систем, общее представление часто используемых атрибутов таково, что разработчики прикладных систем могут почерпнуть в данном описании всю необходимую информацию без учёта специфики организации, выпустившей соответствующий сертификат (СЕРТ) или СОС.

Пользователь СЕРТ, прежде чем начать пользоваться услугами служб аутентификации или обеспечения неотказуемости, функционирующих на основе открытого ключа, содержащегося в соответствующем СЕРТ, должен оценить (проанализировать) политику сертификации (ПЛС), установленную уполномоченным органом сертификации (CA — Certification Authority, удостоверяющий центр, далее — УЦ). В этой связи, данный стандарт не устанавливает каких-либо юридически обязательных правил или ограничений.

Так как могут появиться средства дополнительной авторизации и обеспечения атрибутами, например, атрибутные сертификаты, то было бы целесообразным ограничивать число атрибутов аутентификации, которые содержаться в СЕРТ. Существуют и другие средства обеспечения атрибутной информацией, которые могут предоставить наиболее предпочтительные методы доставки атрибутов аутентификации.