4.2.1.9. Основные ограничения
Субполе «basicConstraints» поля «Расширения» определяет, является ли УЦ владельцем данного сертификата, а также максимальную «протяжённость» (глубину) приемлемого МС, который включает данный сертификат.
Установленный в «1» бит (флаг) «cA» указывает, может ли сертифицированный открытый ключ использоваться для проверки подписей на сертификатах. Если флаг «cA» не установлен, то и бит «keyCertSign» в субполе «keyUsage» тоже должен быть нулевым. Если субполе «basicConstraints» не представлено в третьей версии сертификата, или оно представлено, но не установлен флаг «cA», то сертифицированный открытый ключ не должен использоваться для проверки подписей на сертификатах.
Последовательность «pathLenConstraint» (ограничение протяжённости МС) имеет смысл только тогда, когда установлен флаг «cA» и субполе «keyUsage», если оно представлено, содержит установленный в «1» бит «keyCertSign». В данном случае, эта последовательность указывает на максимальное число не само-изданных промежуточных сертификатов, которые могут следовать за этим сертификатом по приемлемому МС.
Примечание. Последний сертификат на МС не является промежуточным сертификатом, и не является его пределом. Обычно, последний сертификат является сертификатом конечного пользователя, но может быть сертификатом УЦ.
Последовательность «pathLenConstraint» с нулевым значение указывает на то, что на МС не могут следовать не само-изданные промежуточные сертификаты УЦ. Если такой случай имеет место, то последовательность «pathLenConstraint» должна в обязательном порядке содержать значение равное или больше нуля. Если последовательность «pathLenConstraint» отсутствует, то ограничение не устанавливается.
УЦ, придерживающиеся данного стандарта, обязаны включать субполе «basicConstraints» во все сертификаты УЦ, содержащие открытые ключи, используемые для подтверждения подлинности цифровых подписей в сертификатах, и кроме того, в указанных сертификатах такие УЦ обязаны помечать это субполе как «критичное». Субполе «basicConstraints» может присутствовать в сертификатах УЦ как «критичное» или как «некритичное», если такие сертификаты содержат открытые ключи, используемые исключительно в тех целях, которые отличны от подтверждения подлинности цифровых подписей в сертификатах. К сертификатам таких УЦ относятся, либо сертификаты, которые содержат открытые ключи, используемые исключительно в процедурах подтверждения подлинности цифровых подписей в СОС, либо сертификаты, которые содержат открытые ключи, используемые в процедурах обеспечения криптоключами в соответствие с протоколами, зарегистрированными в сертификатах. Субполе «basicConstraints» может присутствовать в сертификатах конечных пользователей как «критичное» или как «некритичное».
УЦ запрещено включать последовательность «pathLenConstraint» до тех пор, пока не будет установлен флаг «cA», а в субполе «keyUsage» не будет установлен флаг «keyCertSign».
id-ce-basicConstraints OBJECT IDENTIFIER ::= { id-ce 19 }
BasicConstraints ::= SEQUENCE {
cA BOOLEAN DEFAULT FALSE,
pathLenConstraint INTEGER (0..MAX) OPTIONAL }