ВУЗ:
Составители:
Рубрика:
118 Д. С. КУЛЯБОВ
4.4.7.2. СЕРТИФИКАТ X.509 ВЕРСИИ 3
Данный раздел описывает версию 3 сертификата X.509. Версия 3 опи-
сала механизм дополнений, дополнительной информации, которая может
быть помещена в сертификат. X.509 и рекомендации RFC 2459 описывают
набор стандартных дополнений, но вместе с тем не ограничивают воз-
можности использования любых других дополнений путем регистрации
идентификатора (ISO или IANA).
Каждое дополнение состоит из трех полей:
— tipe;
— critical;
— value.
Дополнение представляет собой структуру, содержащую:
— идентификатор дополнения;
— признак «критичное / не критичное» дополнение;
— собственно значение дополнения, представленное в бинарном виде
(OCTET STRING).
В свою очередь само дополнение может являться какой угодно слож-
ной структурой (от простого текстового значения до сложной структуры),
формат и интерпретация которого определяются идентификатором допол-
нения.
Основная цель критичных дополнений – предохранить сертификат, из-
данный CA, от возможности использования его в приложениях, которые
не могут обработать такие дополнения. Таком образом, правила обработ-
ки дополнений, изложенные в рекомендациях, требуют от прикладного
ПО отвергнуть сертификат, если дополнение отмечено критичным и при-
кладное ПО не может его интерпретировать. В свою очередь, требование
отвергнуть дополнение прикладным ПО, отмеченное как критичное, при
невозможности его интерпретации, требует от прикладного ПО детально-
го разбора дополнений сертификатов и затрудняет процесс модификации
как прикладного ПО, так и ПО, обеспечивающего реализацию PKI.
ДОПОЛНЕНИЯ X.509 ВЕРСИИ 3 Дополнения, используемые в сертифика-
тах версии 3, определены рекомендациями Х.509 версии 3 ITU-T и реко-
мендациями IETF RFC 2459.
Базовый идентификатор дополнений, определенный рекомендациями
Х.509: id-ce OBJECT IDENTIFIER ::= {joint-iso-ccitt(2) ds(5) 29}, где id-
ce обозначает: Object identifier assignments for ISO certificate extensions.
Все дополнения, определенные указанными рекомендациями, можно
разделить на две категории: ограничивающие и информационные допол-
нения. Первые ограничивают область применения ключа, определенного
сертификатом, или самого сертификата. Вторые содержат дополнитель-
ную информацию, которая может быть использована в прикладном ПО
пользователем сертификата.
К ограничивающим дополнениям относятся:
— базовые ограничения (basicConstraints);
— область применения ключа (keyUsage);
— расширенная область применения ключа (extendedKeyUsage);
Страницы
- « первая
- ‹ предыдущая
- …
- 116
- 117
- 118
- 119
- 120
- …
- следующая ›
- последняя »
