RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич

RFC 5280, Страница 66 из 108

5.2.7. Доступ к информации УЦ

Далее рассматривается применение последовательности «authorityInformationAccess» в СОС. Синтаксис и семантика, используемые в данной последовательности, аналогичны тем, которые используются в субполе «crlExtensions» СОС (4.2.2.1).

Эта последовательность должна, в обязательном порядке, маркироваться как «не критичная».

Когда последовательность «authorityInformationAccess» представлена в СОС, тогда он должна, в обязательном порядке, включать, по крайней мере, одно описание доступа (субпоследовательность «AccessDescription»), содержащее идентификатор «id-ad-caIssuers» в качестве способа доступа «accessMethod». Идентификатор «id-ad-caIssuers» используется тогда, когда доступная информация содержит список сертификатов, которые могут использоваться при проверке подписи СОС (т.е., сертификаты, которые содержат имя владельца сертификата, сравниваемое с именем издателя, указанного в СОС, и которые содержат открытый ключ владельца сертификата, соответствующий закрытому ключу, используемому при подписании СОС). Типы способов доступа, отличающиеся от тех, которые определяют идентификаторы «id-ad-caIssuers», должны быть исключены, в обязательном порядке. По крайней мере, одна запись в субпоследовательности «AccessDescription» должна определять точку доступа «accessLocation», для которой используется URI-идентификатор совместно HTTP- или LDAP-протоколом (RFC-2616, RFC-4516).

Когда информация предоставляется на основе HTTP- или FTP-протокола, тогда запись «accessLocation» должна, в обязательном порядке, включать идентификатор «uniformResourceIdentifier», а URI-идентификатор должен, в обязательном порядке, указывать, либо на одиночный сертификата в DER-кодировке (RFC-2585), либо на совокупность сертификатов в BER- и DER-кодировке, доставляемых с помощью CMS-сообщений типа «certs-only» (RFC-2797).

Прикладные системы, придерживающиеся данного стандарта и использующие HTTP- или FTP-протокол для обеспечения доступа к сертификатам, обязаны предоставлять доступ к индивидуальным сертификатам, закодированным по DER-правилам, а также целесообразно, чтобы такие прикладные системы обеспечивали обмен CMS-сообщениями (тип «certs-only»).

Страница 66 из 108

2007 - 2022 © Русские переводы RFC, IETF, ISOC.