Alegerea modalității de prezentare a anumitor date și a restricțiilor suplimentare privind compoziția câmpurilor certificatului se bazează pe următoarele principii:
prezentarea datelor în certificat ar trebui să fie extrem de simplă și lipsită de ambiguitate pentru a exclude diferitele opțiuni de interpretare a documentului în etapa de dezvoltare a aplicației;
caietul de sarcini astfel elaborat ar trebui să lase libertatea necesară pentru a include în certificat date suplimentare de tip arbitrar care sunt specifice domeniului specific de aplicare a certificatelor-cheie EDS;
compoziția câmpurilor și a formatelor pentru prezentarea datelor în certificat trebuie să respecte recomandările internaționale (a se vedea punctul 2), în cazul în care acest lucru nu contravine cerințelor legislației CE;
Certificatele eliberate sunt utilizate în Internet PKI și durata cheilor publice și private pentru astfel de sisteme schtaetsya la fel cum este definit în RFC 3280 (4.2.1.4) și atributul cheie privată Perioada de utilizare nu ar trebui să fie parte a certificatului.
- RFC 3280 (actualizat la RFC 2459) Internet X.509 Infrastructura cheii publice. Certificatul și lista de certificate de revocare a certificatelor (CRL).
- RFC 3039 Internet X.509 Infrastructura cheii publice. Profil certificat calificat - acest RFC oferă cerințe generale pentru sintaxa (compoziția) certificatelor, a căror utilizare este semnificativă din punct de vedere juridic.
Pentru toate câmpurile certificatului, ceea ce înseamnă valori de șir în limba rusă, este preferabil să se folosească codarea universală UTF-8 (tip UTF8String).
Scopul secțiunii este de a determina compoziția și scopul câmpurilor de certificat fără a lua în considerare cerințele unui anumit centru de certificare. Documentele care reglementează activitatea centrului de certificare pot limita compoziția câmpurilor de certificat și setul de atribute utilizate pentru identificarea CA și a proprietarilor certificatelor cheie de semnătură.
versiune
Toate certificatele emise trebuie să aibă versiunea 3.
SerialNumber
Câmpul serialNumber trebuie să conțină "Numărul unic de înregistrare al certificatului cheie de semnătură" (articolul 6 alineatul (1), paragraful 1). Unicitatea numărului de certificat trebuie respectată în cadrul centrului de certificare (CA) dat.
valabilitate
Câmpul de validitate trebuie să conțină "data începerii și sfârșitului valabilității certificatului pentru cheia de semnătură care se află în registrul centrului de certificare" (articolul 6 alineatul (1), paragraful 1).
SubjectPublicKeyInfo
Câmpul SubjectPublicKeyInfo trebuie să conțină cheia ".crypt a semnăturii electronice digitale" (articolul 6, paragraful 1, paragraful 3).
FZ "Despre EDS" implică emiterea de certificate numai pentru persoane fizice, această prevedere se aplică certificatelor CA în sine și certificatelor de resurse. Pentru a respecta cerințele formale din Legea federală este oferit în certificatele CA și atribut de resurse indică informația reală organizația crede că un certificat eliberat de către o persoană fizică autorizată sau o resursă CA și aceste informații ar trebui să fie tratate și înregistrate ca un certificat pentru un alias care permite Legea federală „privind semnătura electronică“.
Câmpul emitentului trebuie să identifice în mod unic organizația care a eliberat certificatul și să păstreze numele înregistrat oficial al organizației.
Următoarele atribute pot fi utilizate pentru identificare:
Câmpul emitentului trebuie să includă în mod obligatoriu atribute care descriu "numele și locația centrului de certificare care a emis certificatul de semnătură cheie" (articolul 6, articolul 1, paragraful 5).
Numele trebuie specificat în atributul organizationName. Când se utilizează atributul organizationName, poate fi folosit și atributul organizationalUnitName.
Locația centrului de certificare poate fi specificată utilizând setul de atribute countryName, stateOrProvinceName, localityName (fiecare dintre acestea este opțional) sau utilizând un singur atribut postalAddress. În oricare dintre aceste moduri, locația CA trebuie să fie prezentă în certificat.
Atributul câmpului subiectul serialNumber ar trebui să fie utilizat atunci când coliziunea nume.
subiectUrmătoarele atribute pot fi utilizate pentru a reprezenta DN (Distinsul Nume) al proprietarului certificatului:
Pentru a respecta cerințele formale din Legea federală este oferit în certificatele CA și atribut de resurse indică informația reală organizația crede că un certificat eliberat de către o persoană fizică autorizată sau o resursă CA și aceste informații ar trebui să fie tratate și înregistrate ca un certificat pentru un alias care permite Legea federală „privind semnătura electronică“.
Câmpul subiect trebuie să conțină următoarele informații: "numele, prenumele și patronimul titularului certificatului cheie de semnătură sau al pseudonimului proprietarului" (articolul 6, punctul 1, paragraful 2).
Numele de familie, numele și patronimicul proprietarului trebuie să figureze în atributul commonName și să coincidă cu cele specificate în pașaport. Spațiul (caracterul "0x20") trebuie utilizat ca separator.
Alias-ul proprietarului trebuie să fie inclus în atributul pseudonim.
Utilizarea unuia dintre aceste atribute exclude utilizarea celeilalte.
Atributele rămase sunt opționale.
"Dacă este necesar, se indică titlul certificatului-cheie de semnătură pe baza documentelor justificative (indicând numele și locul organizației în care este stabilită această funcție)" (articolul 6 alineatul (2)).
Titlul titularului de certificat trebuie să fie specificat în atributul titlu. Valoarea atributului trebuie să se potrivească cu intrarea din documente care confirmă poziția stabilită pentru titularul certificatului.
Atributul titlului, în conformitate cu RFC 3039, trebuie inclus în extensia subjectDirectoryAttributes. Cu toate acestea, acest document (și RFC 3280) permite includerea acestuia în câmpul subiect.
Când se utilizează atributul titlu, trebuie incluse atributele care descriu numele și locația organizației în care este stabilită poziția.
Numele organizației trebuie specificat în numele organizației attributeName. Valoarea atributului trebuie să coincidă cu înregistrarea denumirii organizației în componenta sau alte documente echivalente. Când se utilizează atributul organizationName, poate fi folosit și atributul organizationalUnitName.
Locația organizației poate fi specificată utilizând setul de atribute countryName, stateOrProvinceName, localityName (fiecare dintre acestea este opțional) sau utilizând un singur atribut postalAddress.
Dacă este prezent atributul organizationName, atributele countryName, stateOrProvinceName, localityName și postalAddress trebuie interpretate ca locația organizației.
Atribute opționale câmp subiect (COUNTRYNAME, stateOrProvinceName, localityName, ORGANIZATIONNAME, organizationalUnitName, din titlu, postalAddress) pot fi incluse în cazul în care este determinată de funcționare regulament CA, în loc de o extensie subjectDirectoryAttributes câmp subiect (a se vedea. 3.8.1 f). În acest caz, acestea nu trebuie incluse în subiect și nu pot fi folosite pentru a distinge proprietarii certificatelor de chei de semnătură.
Atributul serialNumber trebuie să fie inclus în câmpul certificatului subiectului atunci când numele se ciocnesc. De asemenea, poate fi inclusă, dacă este determinată de regulamentul centrului de certificare.
Atributul serialNumber poate.- să fie arbitrară (atribuită chiar de centrul de certificare);
- să conțină identificatorul (numărul) atribuit de stat (sau de altă organizație) (de exemplu, TIN, seria și numărul pașaportului, numărul de identificare etc.).
Certificatul cheie-semnătură trebuie să includă următoarele extensii:
- KeyUsage
- certificatePolicies
KeyUsage
Pentru ca un certificat să fie folosit pentru a verifica o semnătură digitală, biți digitalSignature (0) și nonRepuduation (1) trebuie să fie setați în extensia keyUsage.
certificatePolicies
Extinderea certificatuluiPolicies este destinată să determine domeniul de aplicare al aplicării semnificative din punct de vedere juridic a certificatului.
"Denumirea mijloacelor EDS, cu care se utilizează această cheie publică" (articolul 6 clauza 1, paragraful 4), "Informații privind relațiile în implementarea cărora un document electronic cu o semnătură digitală electronică va avea semnificație juridică" ( 6, clauza 6) și alte date care reglementează procedura de obținere și utilizare a certificatelor cheie de semnătură pot fi disponibile la CPSuri (Certificatul de Practică URI) specificat în această extensie.
Extensii opționale
Certificatul cheie de semnătură poate include orice alte extensii. Când includeți extensii în certificatul cheie EDS, este necesar să se asigure coerența și lipsa de ambiguitate a informațiilor prezentate în certificat.
Acest document nu reglementează utilizarea extensiilor, cu excepția extensiei subjectDirectoryAttributes.
SubjectDirectoryAttributes
Extensia subjectDirectoryAttributes poate conține atribute care completează informațiile furnizate în câmpul subiect.
În plus față de atributele enumerate în RFC 3039, se recomandă ca următoarele atribute să fie suportate în extensia subjectDirectoryAttributes:
"Dacă este necesar, certificatul cheii de semnătură pe baza documentelor justificative indică calificarea titularului certificatului-cheie de semnătură" (articolul 6 alineatul (2)).
Datele privind calificarea proprietarului certificatului-cheie EDS trebuie indicate în atributul de calificare. Acest atribut nu este definit în recomandările internaționale (a se vedea punctul 2) și este supus înregistrării.
Dacă COUNTRYNAME atribute, stateOrProvinceName, localityName, ORGANIZATIONNAME, organizationalUnitName, din titlu, postalAddress incluse în subjectDirectoryAttributes de expansiune, acestea nu ar trebui să fie incluse în câmpul subiectului.
Pentru a stoca alte informații despre proprietarul certificatului cheii semnăturii poate fi folosit de alte (deja înregistrate sau înregistrabil), atribute care nu contravin cu certificatePolicies prelungire limite și alte documente care reglementează activitatea autorităților contractante.
Aplicația ASN1
id-at: valoarea OID: 2.5.4
Descrierea OID: tipuri de atribute X.500.
id-ce: valoarea OID: 2.5.29
Descrierea OID: identificatorul obiectului pentru extensiile de certificat din versiunea 3.
Valoarea OID: 2.5.4.3
Descrierea OID: Tipul atributului de nume comun specifică un identificator al unui obiect. Un nume comun nu este un nume de director; este un nume (eventual ambiguu) asociat, este asociat.
(RFC 3039. Profil certificat calificat)
Valoarea OID: 2.5.4.65
Valoarea OID: 2.5.29.17
Descrierea OID: id-ce-subjectAltName Această extensie conține unul sau mai multe nume alternative, utilizând oricare dintre o varietate de formulare de nume, pentru entitatea care este legată de CA de cheia publică certificată.
Valoarea OID: 2.5.4.16
Descrierea OID: Tipul atributului Adresa poștală specifică informațiile de adresă pentru livrarea fizică a mesajelor poștale. O valoare a atributului pentru adresa poștală este MHS neformatată O / R adresa versiunea 1 în conformitate cu CCITT Rec F.401 și limitată la 6 rânduri de 30 de caractere fiecare, inclusiv un nume de țară poștală. În mod normal, informațiile conținute într-o astfel de adresă ar putea include numele destinatarului, adresa străzii, orașul, statul sau provincia, un cod poștal și, eventual, un număr de cutie poștală, în funcție de cerințele specifice ale obiectului numit.
Valoarea OID: 2.5.4.12
Descrierea OID: Tipul atributului titlu specifică poziția sau funcția desemnată a obiectului din cadrul unei organizații. O valoare de atribut pentru titlu este șir.
Articole similare
Trimiteți-le prietenilor: