4.2.1.11. Ограничения на применение политик
Субполе «policyConstraints» поля «Расширения» может использоваться в сертификатах, выпускаемых для УЦ. Это субполе ограничивает подтверждение подлинности МС двумя способами: либо оно запрещает отображение политик, либо оно содержит требование, чтобы каждый сертификат в МС включал приемлемый идентификатор политики.
Если имеет место последовательность «inhibitPolicyMapping», то её значение указывает на число дополнительных сертификатов, которые могут присутствовать на МС ещё до того, как отображение политики не будет больше разрешено. Например, значение «1» указывает на то, что отображение политики может обрабатываться, но только в тех сертификатах, которые были изданы держателем данного сертификата, а не в дополнительных сертификатах, присутствующих на маршруте.
Если имеет место последовательность «requireExplicitPolicy», то её значение указывает на число дополнительных сертификатов, которые могут присутствовать на МС прежде, чем потребуется точно определённая политика для всего МС. Если требуется точно определённая политика, то необходимо, чтобы она была включена во все сертификаты, присутствующие на маршруте, в формате идентификатора приемлемой политики в составе субполя «certificatePolicies» поля «Расширения» сертификата. Идентификатор приемлемой политики представляет собой идентификатор политики, которая востребована пользователем МС, или идентификатор политики, которая была объявлена эквивалентной на основе отображения политики.
УЦ, придерживающиеся данного стандарта, обязаны обрабатывать последовательность «requireExplicitPolicy», а также им целесообразно обрабатывать последовательность «inhibitPolicyMapping». Прикладные системы, которые обрабатывают последовательность «inhibitPolicyMapping», также обязаны обрабатывать субполе «policyConstraints» в поле «Расширения» сертификата. Если субполе «policyConstraints» помечено, как «критичное», и в нём представлена последовательность «inhibitPolicyMapping», то прикладные системы, которые не способны обрабатывать последовательность «inhibitPolicyMapping», обязаны удалять такие сертификаты.
УЦ, придерживающиеся данного стандарта, обязаны не издавать сертификаты, в которых субполе «policyConstraints» является пустой последовательностью. Т.е., в субполе «policyConstraints» должна быть представлена, либо последовательность «inhibitPolicyMapping», либо последовательность «requireExplicitPolicy». Поведение клиентов, которые натолкнулись на пустое субполе «policyConstraints», в данном стандарте не рассматривается.
УЦ, придерживающиеся данного стандарта, должны помечать это субполе как «критичное».
id-ce-policyConstraints OBJECT IDENTIFIER ::= { id-ce 36 }
PolicyConstraints ::= SEQUENCE {
requireExplicitPolicy [0] SkipCerts OPTIONAL,
inhibitPolicyMapping [1] SkipCerts OPTIONAL }
SkipCerts ::= INTEGER (0..MAX)