ВУЗ:
Составители:
Рубрика:
ЗАЩИТА ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СЕТЯХ 123
кова длина цепочки сертификатов для этого CA.
Поле pathLenConstraint имеет смысл только при условии, если значе-
ние cA установлено в TRUE. В этом случае оно обозначает максимальное
количество сертификатов CA, которые следуют за данным сертификатом
в цепочке. Значение ноль означает, что только сертификаты конечного
пользователя могут следовать в цепочке за данным сертификатом. При
использовании значение pathLenConstraint больше или равно нулю. Если
значение не установлено, это означает, что лимит на длину цепочки не
определен.
ОГРАНИЧЕНИЯ ИМЕНИ. Дополнение Ограничение имени должно исполь-
зоваться только в сертификатах CA. Оно указывает пространство имен,
внутри которого должны быть расположены все имена Владельцев изда-
ваемых сертификатов. Ограничения могут быть применимы как к имени
Владельца (Subject DN), так и к альтернативному имени.
Ограничения определены в терминах допускаемого (permittedSubtrees)
или исключаемого (excludedSubtrees) поддерева имен. Любое имя, совпа-
дающее с ограничением в исключающем поддереве, является некоррект-
ным в независимости от возможного его присутствия в допускаемом под-
дереве.
При реализации данного дополнения RFC 2459 рекомендуется:
— не использовать поля minimum и maximum ни в какой из форм имен,
так что minimum всегда ноль, а maximum всегда отсутствует;
— использовать только поля permittedSubtrees для задания разрешен-
ного диапазона имен и не использовать excludedSubtrees, что согла-
суется с организационной или территориальной схемой иерархии.
ОГРАНИЧЕНИЕ РЕГЛАМЕНТА. Данное дополнение может быть использо-
вано в сертификатах, издаваемых для CA. Дополнение Ограничение ре-
гламента накладывает ограничения на проверяемую цепочку в двух на-
правлениях. Оно может использоваться для запрещения проверки соответ-
ствия регламентов (policy mapping) или требовать, чтобы каждый серти-
фикат в цепочке содержал приемлемый идентификатор регламента (policy
identifier).
ТОЧКА РАСПРОСТРАНЕНИЯ CRL. Точка распространения CRL является
дополнением, которое определяет механизм и расположение CRL опреде-
ленного типа в сети, и определяет зону действия CRL как:
— только для конечных пользователей;
— только для CA;
— или ограничивает коды мотивации.
Коды мотивировки, ассоциированные с точкой распространения, долж-
ны специфицироваться в поле onlySomeReasons. Если поле onlySomeRea-
sons отсутствует, точка распространения должна содержать отзываемые
сертификаты для всех кодов. CA может использовать Точку распростране-
ния CRL как основу для управления потоками данных при компрометации.
Страницы
- « первая
- ‹ предыдущая
- …
- 121
- 122
- 123
- 124
- 125
- …
- следующая ›
- последняя »
