4.2.2.2. Доступ к информации владельца сертификата
Это субполе «subjectInfoAccess» указывает на то, как получить доступ владельцу сертификата, содержащего это расширение, к информации и услугам. Когда держателем сертификата является УЦ, тогда информация и услуги могут включать интерактивные услуги по подтверждению подлинности и данные о политике УЦ. Когда держателем сертификата является конечные пользователь, тогда информация определяет тип предлагаемых услуг и как получить доступ к ним. В таком случае, содержание субполя «subjectInfoAccess» определено в стандартном протоколе для обеспечивающих служб. Это субполе может входить в состав сертификатов конечного пользователя или УЦ. УЦ, придерживающиеся данного стандарта, обязаны помечать данное субполе как «не критичное».
id-pe-subjectInfoAccess OBJECT IDENTIFIER ::= { id-pe 11 }
SubjectInfoAccessSyntax ::=
SEQUENCE SIZE (1..MAX) OF AccessDescription
AccessDescription ::= SEQUENCE {
accessMethod OBJECT IDENTIFIER,
accessLocation GeneralName }
Каждая запись в последовательности «SubjectInfoAccessSyntax» указывает на формат и место расположения дополнительной информации, предоставляемой владельцем сертификата, в котором содержится это субполе. Тип и формат информации определяется с помощью субпоследовательности «accessMethod», место расположения информации определяется с помощью субпоследовательности «accessLocation». Содержание субпоследовательности «accessMethod» или специализированное содержание субпоследовательности «accessLocation» подразумевают способ получения информации.
Данный стандарт рассматривает один способ доступа, используемый тогда, когда владельцем сертификата является УЦ, и один способ доступа, используемый тогда, когда владельцем сертификата является конечный пользователь. Дополнительные способы доступа могут быть п=описаны в дальнейшем в стандартных протоколах других сетевых служб.
Объектный идентификатор «id-ad-caRepository» используется тогда, когда владельцем сертификата является УЦ, которые публикует сертификаты и размещает их в репозитарии. Субпоследовательность «accessLocation» рассматривается как обобщённое имя «GeneralName», которое может иметь несколько форматов.
Если субпоследовательность «accessLocation» является наименованием в формате «directoryName», то прикладная система должна получать необходимую информацию из любого СЕК-сервера, который настраивается исходя из локальных условий. Когда субполе «subjectInfoAccess» используется в указателе на сертификаты УЦ, тогда запись в формате «directoryName» содержит сертификаты УЦ в атрибутах «crossCertificatePair» и/или «cACertificate», как это определено в стандарте RFC-4523. Протокол, используемый прикладной системой (прикладным процессом) для доступа к СЕК-сегменту (например, DAP-или LDAP-протокол), выбирается исходя из локальных условий.