Обмежувальні розширення сертифіката

Розширення сертифіката

З метою забезпечення гнучкості та масштабованості стандарт визначає механізми розширення сертифіката. У них міститься важлива інформація. Так, розширення дозволяють включати до сертифіката інформацію, яка не може бути представлена в основних полях.

Розширення, що затверджені цим стандартом, можна поділити на дві категорії: обмежувальні та інформаційні [13, 14]. Обмежувальні розширення обмежують область застосування ключа або самого сертифіката. Інформаційні розширення містять додаткову інформацію, яка може бути використана в прикладному програмному забезпеченні користувача сертифіката.

Базові обмеження (BasicConstraints). Розширення BasicConstraints дозволяє розрізняти суб’єкти сертифіката, оскільки основні поля сертифіката не розділяються залежно від типу користувача. Окрім цього, розширення визначає максимальну глибину дійсного шляху сертифікації, який включає цей сертифікат. Розширення є критичним.

Використання ключа (Key Usage). РозширенняKeyUsage визначає область використання ключа, що міститься в сертифікаті. Це розширення має вигляд бітового рядка, де кожен біт означає призначення ключа: цифровий підпис (0), причетність (1), шифрування ключа (2), шифрування даних (3), узгодження ключів (4), перевірка підпису сертифіката (5), підпис ССС (6), тільки шифрування (7), тільки розшифрування (8). Для визначення призначення потрібний біт встановлюється в 1. Можливе спільне використання бітів.

Розширене використання ключів (ЕxtKeyUsage).Це розширення визначає цілі, для яких може використовуватись сертифікований відкритий ключ, додатково до цілей, указаних у розширенні використання ключа. Звичайно, це розширення використовується для сертифікатів кінцевих об’єктів.

Політики застосування сертифікатів. До цієї групи можна віднести обмежувальні розширення CertificatePolicies, PolicyMappings та РolicyConstraints.

Розширення CertificatePolicies містить інформацію про правила застосування сертифіката. Організації можуть підтримувати досить велике коло додатків. Деякі сертифікати бувають більш надійними залежно від процедур їх випуску або типів криптографічних модулів (наприклад, посилені сертифікати, які створені надійними засобами цифрового підпису). Різні організації та відомства використовують різні політики застосування сертифікатів. При цьому користувачі не завжди спроможні розрізняти ці політики. Для вирішення цієї проблеми використовується розширення CertificatePolicies. Це розширення містить унікальний ідентифікатор, який характеризує політику застосування сертифікатів.

Розширення PolicyMappingsвикористовується УС. За допомогою розширення УС може фіксувати відповідність деяких своїх політик застосування сертифіката політикам застосування сертифікатів іншого УС. Розширення містить одну чи більше пар об’єктних ідентифікаторів. Кожна пара включає ІssuerDomainPolicy та SubjectDomainPolicy. Це вказує на те, що УС, який випустив сертифікат, вважає свою політику такою, що відповідає політиці суб’єкта.

За допомогою розширення РolicyConstraints надається можливість об’явити неправомочним розширення PolicyMappings у разі, якщо сертифікація виходить за межі домену. Обмеження впроваджується двома способами: використанням заборони відображення політики або вимогою, щоб кожний сертифікат на шляху містив ідентифікатор доступної політики.

Обмеження імені (NameConstraints). РозширенняNameConstraints вказує на те, у якому просторі імен мають знаходитись імена. Ці обмеження накладаються на розпізнавальні імена та на альтернативні імена суб’єкта. Таким чином, розширення використовується для визначення множини припустимих або неприпустимих імен та є механізмом підтвердження надійності сертифікатів.

Заборона будь-якої політики (ІnhibitAnyPolicy). Розширення Іnhibit AnyPolicy обмежує використання будь-якої політики. Воно вказує на те, що спеціальне значення any-policy не задається у явному вигляді для інших політик застосування сертифікації.

Інформаційні обмеження сертифіката

Ідентифікатори ключів. Стандарт для ідентифікації ключів визначає два розширення: AuthorityKeyIdentifier та SubjectKeyІdentifier. Розширення AuthorityKeyIdentifier надає засоби ідентифікації відкритого ключа УС, який узгоджений з особистим ключем, що був використаний для підпису сертифіката. Це розширення використовується у разі, коли емітент має декілька ключів для підпису.

Користувачі також можуть володіти великою кількістю ключів або декількома сертифікатами для одного ключа. Розширення SubjectKeyIdentifier використовується для того, щоб розпізнавати ключі підпису одного й того самого користувача.

Альтернативні імена. З метою розширення границь ідентифікації суб’єктів сертифіката вводяться розширення SubjectAltName та IssuerAltName. Розширення дозволяють використовувати альтернативні імена, наприклад DNS-ім’я, IP-адреси, URL, e-mail тощо. Альтернативне ім’я повинно перевірятися у відповідності до регламенту УС. Окрім цього підтримується можливість використовувати свої власні імена.

Період використання особистого ключа. Поле PrivateKeyUsagePeriod визначає період дійсності для особистого ключа в тому випадку, коли цей період відрізняється від періоду дійсності сертифіката. Поле складається з двох компонент: час початку і закінчення дії особистого ключа.

Атрибути Каталогу Суб’єкта. Розширення SubjectDirectoryAttributes використовується для передачі ідентифікаційних атрибутів суб’єкта. Розширення подається як послідовність одного чи більше атрибутів.

Пункти розповсюдження списку скасування сертифікатів (ССС). Розширення CRLDistributionPoints задає унікальний ідентифікатор ресурсу – URL для вказівки місцезнаходження списку скасування сертифікатів, а також ідентифікує способи отримання інформації.

Найновіший ССС.Розширення freshestCRL показує, як може бути отримана інформація відносно дельта-ССС. Воно має бути некритичним.

Читайте також:

<== попередня сторінка	\|	наступна сторінка ==>
Поля сертифіката з розширеннями	\|	Інфраструктура управління ключами США.

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

Генерація сторінки за: 0.004 сек.