7.1.2. Зміст і розширення сертифікатів; Застосування RFC 5280
Цей розділ визначає додаткові вимоги до змісту сертифіката та розширень сертифікатів, створених після дати
набрання чинності.
7.1.2.1. Root CA сертифікат
a. basicConstraints
Це розширення MUST (НЕОБХОДИМО, обязательно должно быть) з'являтися як критичне розширення. Поле CA MUST (НЕОБХОДИМО, обязательно должно быть) бути встановлене істинно.
Поле pathLenConstraint SHOULD_NOT (НЕ ДОЛЖЕН) бути присутнім.
b. keyUsage
Це розширення MUST (НЕОБХОДИМО, обязательно должно быть) бути присутнім і MUST (НЕОБХОДИМО, обязательно должно быть) бути маркованим критичним.
Битові позиції для keyCertSign і cRLSign MUST (НЕОБХОДИМО, обязательно должно быть) бути встановлені.
Якщо приватний ключ root CA використовується для підписання відповідей OCSP, то біт digitalSignature MUST (НЕОБХОДИМО, обязательно должно быть) бути встановлений.
c. certificatePolicies
Це розширення SHOULD_NOT (НЕ ДОЛЖЕН) бути присутнім.
d. extendedKeyUsage
Це розширення MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) бути присутнім.
7.1.2.2. Сертифікат Підлеглого CA
a. certificatePolicies
Це розширення MUST (НЕОБХОДИМО, обязательно должно быть) бути присутнім і SHOULD_NOT (НЕ ДОЛЖЕН)бути помітним критичним.
certificatePolicies:policyIdentifier (REQUIRED (НЕОБХОДИМО))
Наступні поля MAY (ВОЗМОЖНО, МОЖЕТ) бути присутні, якщо підпорядкований ЦА не є афілійованою особою, яка контролює коріння СА.
certificatePolicies:policyQualifiers:qualifier:cPSuri (Необов'язково)
HTTP-URL-адреса для Root CA Політики сертифікації кореневої сертифікації, Практики сертифікацію,
Договору про підтвердження сторін або інший вказівник на інформацію про політику в Інтернеті, надану CA.
b. cRLDistributionPoints
Це розширення MUST (НЕОБХОДИМО, обязательно должно быть) бути присутнім і MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) бути маркованим критичним.
Воно MUST (НЕОБХОДИМО, обязательно должно быть) містити HTTP-адресу служби CRL CA.
c. authorityInformationAccess
За винятком сшивання, яке зазначено нижче, це розширення MUST (НЕОБХОДИМО, обязательно должно быть) бути присутнім.
Воно MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) бути маркованою критичною, і вона MUST (НЕОБХОДИМО, обязательно должно быть) містити URL-адресу HTTP-адреси
OCSP-кореспондента-емітента CA (accessMethod = 1.3.6.1.5.5.7.48.1).
Воно також SHOULD (ДОЛЖЕН) містити HTTP-адресу сертифіката CA-видавця (accessMethod = 1.3.6.1.5.5.7.48.2).
HTTP-URL-адреса OCSP-відповідача-емітента MAY (ВОЗМОЖНО, МОЖЕТ) бути опущена, за умови, що Абонент "склеє"
відповідь OCSP для Сертифіката в його рукостисках TLS [ RFC4366 ].
d. basicConstraints
Це розширення MUST (НЕОБХОДИМО, обязательно должно быть) бути присутнім і MUST (НЕОБХОДИМО, обязательно должно быть) бути маркованим критичним.
Поле CA MUST (НЕОБХОДИМО, обязательно должно быть) бути встановлене істинно. Поле pathLenConstraint може бути присутнім.
e. keyUsage
Це розширення MUST (НЕОБХОДИМО, обязательно должно быть) бути присутнім і MUST (НЕОБХОДИМО, обязательно должно быть) бути маркованим критичним.
Битові позиції для keyCertSign і cRLSign MUST (НЕОБХОДИМО, обязательно должно быть) бути встановлені.
Якщо Поіватний ключ Підпорядкованого ЦС використовується для підписання відповідей OCSP,
то біт digitalSignature MUST (НЕОБХОДИМО, обязательно должно быть) бути встановлений.
f. nameConstraints (необов'язково)
Якщо є, це розширення SHOULD (ДОЛЖЕН) бути позначено критичним*
*
Некритичні обмеження Name Constraints є винятком з RFC 5280 (4.2.1.10),
однак вони MAY (ВОЗМОЖНО, МОЖЕТ) бути використані до тих пір, поки розширення Name Constraints не підтримується
Постачальниками програмного забезпечення, чиї програмні засоби використовуються значною частиною
перевіряючих сторін у всьому світі.
g. extkeyUsage (optional)
Для підпорядкованих CA сертифікатів, що мають бути технічно обмеженими відповідно до розділу 7.1.5, тоді значення
або id-kp-serverAuth [ RFC5280 ] або id-kp-clientAuth [ RFC5280 ]
або обидва значення повинні бути присутніми **.
Інші значення MAY (ВОЗМОЖНО, МОЖЕТ) бути присутніми
Якщо є, це розширення SHOULD (ДОЛЖЕН) бути позначено як некритичне.
** Зазвичай розширене використання ключових слів з'являтиметься лише в сертифікатах кінцевих об'єктів
(як це висвітлено в RFC 5280 (4.2.1.12)), але підвідомчі ЦС можуть включати розширення для
подальшого захисту залежностей сторін, доки використання розширення не узгоджується між постачальниками програмного
забезпечення, чиї програмне забезпечення використовується значною частиною провідних сторін у всьому світі.
7.1.2.3. Сертификат абонента
a. certificatePolicies
Це розширення MUST (НЕОБХОДИМО, обязательно должно быть)бути присутнім і SHOULD_NOT (НЕ ДОЛЖЕН) бути позначеним критичним.
.
certificatePolicies:policyIdentifier (REQUIRED (НЕОБХОДИМО))
Ідентифікатор політики, визначений видавцем СА, що вказує на політику сертифікату, що підтверджує дотримання CА, циx вимог.
MAY (ВОЗМОЖНО, МОЖЕТ) бути присутні наступні розширення:
certificatePolicies:policyQualifiers:policyQualifierId ( Рекомендовано )
id-qt 1 [ RFC 5280 ].
certificatePolicies:policyQualifiers:qualifier:cPSuri ( Необов'язково )
HTTP-URL-адреса для Затвердженої практики сертифікації в підпорядкуванні ЦС, Договору про підтверджену угоду або іншим вказівником
на інтерактивну інформацію, надану CA.
b. cRLDistributionPoints
Це розширення MAY (ВОЗМОЖНО, МОЖЕТ) бути присутнім. Якщо він присутній, MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) визначити критично,
і воно MUST (НЕОБХОДИМО, обязательно должно быть) містити HTTP-адресу служби CRL CA.
c. authorityInformationAccess
За винятком сшивання, яке зазначено нижче, це розширення MUST (НЕОБХОДИМО, обязательно должно быть) бути присутнім.
Воно MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) бути маркованою критичною, і вона MUST (НЕОБХОДИМО, обязательно должно быть) містити URL-адресу HTTP-адреси
ОССП-кореспондента-емітента CA (accessMethod = 1.3.6.1.5.5.7.48.1).
Вона також SHOULD (ДОЛЖЕН) містити HTTP-адресу сертифіката CA-видавця (accessMethod = 1.3.6.1.5.5.7.48.2). .
URL-адреса HTTP-відповіді OCSP-видавця MAY (ВОЗМОЖНО, МОЖЕТ) бути опущена, за умови, що Абонент "склеє"
OCSP-відповіді для Сертифіката у своїх TLS рукостисках [ RFC4366 ].
d. basicConstraints (optional)
Поле CA MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) бути дійсним.
e. keyUsage (optional)
Якщо присутні, позиції біт для keyCertSign та cRLSign MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) встановлюватися.
f. extKeyUsage (required)
Або значення id-kp-serverAuth [ RFC5280] або id-kp-clientAuth [ RFC5280 ]
або обидва значення повинні бути присутніми. id-kp-emailProtection [ RFC5280] MUST (НЕОБХОДИМО, обязательно должно быть)
бути присутнім. Інші значення SHOULD_NOT (НЕ ДОЛЖЕН) бути присутніми.
7.1.2.4. Усі сертифікати
Всі інші поля та розширення повинні бути встановлені відповідно до RFC 5280.
CA SHALL NOT (НЕ РАЗРЕШАЕТСЯ, не должно быть) сертифікат, який містить знак keyUsage, extendedKeyUsage значення, розширення сертифіката або інші дані,
не вказані в розділах 7.1.2.1, 7.1.2.2 або 7.1 .2.3, якщо ЦС не усвідомлює причини включення даних у сертифікат.
CAs SHALL NOT (НЕ РАЗРЕШАЕТСЯ, не должно быть) сертифікат з:
a. Розширення, які не застосовуються в контексті загальнодоступного Інтернету (наприклад, розширене значення KeyUsage для служби,
яка дійсна лише у контексті приватної мережі), якщо:
i. таке значення належить до OID, для яких заявник демонструє право власності, або
ii. заявник може іншим чином продемонструвати право стверджувати дані у суспільному контексті; або
b. семантика, яка, якщо вона буде включена, буде вводити в оману Перевірену сторону щодо інформації про сертифікат,
підтверджену ЦС (наприклад, включення розширеного значення для смарт-картки KeyUsage, коли ЦС не в змозі перевірити,
що відповідний приватний ключ обмежений такими апаратними засобами через віддалений випуск).
OV 
Купить сертификат
