RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич

RFC 5280, Страница 75 из 108

Соответствующая часть маршрута, тем не менее, может быть не приемлемой для всех прикладных систем. Более того, прикладная система может расширить алгоритм до нужного предела, определяемого совокупностью приемлемых маршрутов. ПрПП маршрута также устанавливает совокупность политик, которые допустимы для этого МС, основываясь при этом на данных в субполях «certificatePolicies», «policyMappings», «policyConstraints» и «inhibitAnyPolicy». Для выполнения этого алгоритм ПрПП маршрута строит дерево приемлемых политик. Если совокупность политик сертификации, которые являются допустимыми для этого маршрута, представлена, то в результате будет сформировано дерево приемлемых политик глубиной n, в противном случае, будет сформировано нулевое (пустое) дерево приемлемых политик.

    +--------+
    | Начало |
    +--------+
        |
        V
+--------------- +
| Инициализация  |
+----------------+
        |
        +<---------------------------+
        |                            |
        V                            |
+----------------+                   |
|  Обработка     |                   |
|  сертификата   |                   |
+----------------+                   |
        |                            |
        V                            |
+================+                   |
| Это последний  |  Нет  +-------------------------+
|   сертификат   |------>|  Подготовка к обработке |
|  на маршруте?  |       |  следующего сертификата |
+================+       +-------------------------+
        |
     Да |
        V
+----------------+
|   Завершение   |
+----------------+
        |
        V
    +-------+
    | Конец |
    +-------+
Рис. 2. Блок-схема процедуры обработки МС

Сертификат является само-изданным, если одно и тоже уникальное имя представлено в полях «Subject» и «Issuer» (два уникальных имени являются одинаковыми, если они совпадают при их сравнении по правилам, представленным в 7.1). В общем, поля «Subject» и «Issuer» в сертификатах, составивших маршрут, отличаются в каждом сертификате. Однако, УЦ может издать сертификат для самого себя с целью обеспечения смены ключей и изменений политик сертификации. Такие само-изданные сертификаты не учитываются, когда анализируются глубина маршрута или ограничения на форматы имён (субполе «nameConstraints»).

X.509-алгоритм включает четыре итерации (фазы):

  1. Инициализация;
  2. Основная обработка сертификата;
  3. Подготовка к обработке следующего сертификата;
  4. Завершение.

Страница 75 из 108

2007 - 2022 © Русские переводы RFC, IETF, ISOC.