Стандарт RFC-1422 содержит правило именования подчинённых субъектов, которое требует, чтобы УЦ мог выпускать сертификаты только для тех субъектов, чьи имена являются производными (подчинёнными) по отношению к наименованию самого этого УЦ. Надёжность, касающаяся МС в PEM-системе, «вытекает» из наименования PCA-центра. Такое правило именования подчинённых субъектов гарантирует, что УЦ, расположенные в иерархии ниже PCA-центров, корректно разделены на группы подчинённых субъектов, которые могут сертифицироваться этими PCA-центрами (например, УЦ организации может сертифицировать только те субъекты, которые входят в структуру дерева именования субъектов этой организации). Системы сертификации пользователей могут автоматически проверять выполнение правила именования подчинённых субъектов.
Стандарт RFC-1422 использует формат сертификата, рекомендованный ITU-T X.509v1. Ограничения Рекомендации ITU-T X.509v1 требуют установления нескольких ограничений на структуру информации о соответствии с предшествующими политиками сертификации или ограничений применимости сертификатов. К таким ограничениям относятся:
Строгая иерархия «сверху-вниз», т.е. все МС начинаются с IPRA-центра.
Правило именования подчинённых субъектов ограничивает имена подчинённых субъектов УЦ.
Использование концепции PCA-центра, что требует знания конкретных PCA-центров с целью построения логической цепочки проверки, размещаемой в сертификате. Знание конкретных PCA-центров также необходимо при определении, а могла ли цепочка быть приемлемой.
С принятием третьей версии Рекомендации ITU-T X.509v3 большинство требований, выдвинутых стандартом RFC-1422, могут быть удовлетворены на основе использования дополнительных субполей поля «Расширения» в СЕРТ и без необходимости ограничения уже используемых структур УЦ. Соответственно субполя поля «Расширения» в СЕРТ, связанные с политиками сертификации, исключают необходимость применения PCA-центров, а субполя, связанные с ограничениями, исключают необходимость использования правил именования подчинённых субъектов. В результате, данный стандарт предлагает более гибкую архитектуру, которая включает:
МС начинаются с открытого ключа УЦ, расположенного в собственном сетевом сегменте и обслуживающего пользователей в рамках этого сегмента, или с открытого ключа корневого УЦ в иерархии. Начало маршрута с открытого ключа УЦ, расположенного в собственном сетевом сегменте и обслуживающего пользователей в рамках этого сегмента, имеет ряд существенных преимуществ. В некоторых прикладных системах доверяют больше локальному сегменту.
Ограничения на процедуры именования могут быть наложены путём явного включения в СЕРТ дополнительного субполя в поле «Расширения», устанавливающего такие ограничения, но последние не востребованы.
Дополнительные субполя в поле «Расширения», определяющие политику сертификации и отображение политики делают ненужной концепцию PCA-центра, которая допускает высокий уровень автоматизации процедуры. Прикладной процесс (система) может определить, является ли МС допустимым, основываясь лишь только на содержании сертификатов, а не на априорном знании PCA-центров. Эта также допускает автоматизированную обработку МС.