Name Constraints Правила выпуска SSL сертификатов Центром сертификации Украина купить сертификат 

Исходные требования для выдачи и управлению
Публично доверенными сертификатами

 Контакты
☎ +380672576220

Проверка
SSL		 Установка
SSL		 Цепочка
SSL		 Seal
SSL		 CSR
pKey		 Экспорт-Импорт
Конвертер		 Code Sign
сертификаты		 Email Smime
сертификаты		 PDF и Word
сертификаты		 База
знаний		 Купить
SSL

Правила SSL
Допомога

1. Вступ
2. Публікація та обов'язки репозиторія
3. Ідентифікація і аутентіфікація
4. Операційні вимоги життєвого циклу сертифіката
5. Управління, операційний та фізичний контроль
6. Контроль технічної безпеки
7. Сертифікати, CRL та OCSP профілі
8. Аудит відповідності та інші оцінки
9. Інші ділові та юридичні питання

7. Certificate, CRL and OCSP Profiles

7.1. Certificate profile
7.1.1. Version Number(s)
7.1.2. Certificate Content and Extensions; Application of RFC 5280
7.1.3. Algorithm Object Identifiers
7.1.4. Name Forms
7.1.5. Name Constraints
7.1.6. Certificate Policy Object Identifier
7.1.7. Usage of Policy Constraints Extension
7.1.8. Policy Qualifiers Syntax and Semantics
7.1.9. Processing Semantics for the Critical Certificate Policies Extension
7.2. CRL profile
7.2.1. Version number(s)
7.2.2. CRL and CRL entry extensions
7.3. OCSP profile
7.3.1. Version number(s)
7.3.2. OCSP extensions

7.1.5. Name Constraints

Для того, щоб Сертифікат Підпорядкованого CA вважався технічно обмеженим, сертифікат MUST (НЕОБХОДИМО, обязательно должно быть) включати розширення Extended Key Execution (EKU), що визначає всі розширені ключі, для яких Сертифікат субординованого CA має право видавати сертифікати. AnyExtendedKeyUsage KeyPurposeId MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) відображатись у цьому розширенні.

Якщо сертифікат субординованого сертифіката включає використання розширеного ключа id-kp-serverAuth, сертифікат субординованого сертифіката повинен включати розширення назви обмежень X.509v3 з обмеженнями на dNSName, iPAddress та DirectoryName таким чином:


(a) Для кожного домену dNSN у дозволених підгрупах CA має MUST (НЕОБХОДИМО, обязательно должно быть) підтвердити, що заявник зареєстрував dNSName або був авторизований реєстентом домену, щоб діяти від імені реєструвача відповідно до методів перевірки, зазначених у розділі 3.2.2.4.
(b) Для кожного діапазону iPAddress у дозволених підгрупах CA MUST (НЕОБХОДИМО, обязательно должно быть) підтверджувати, що заявникові було призначено діапазон iPAddress або він отримав дозвіл від розпорядника, щоб діяти від імені правонаступника.
(c) Для кожної DirectoryName у дозволених підгрупах СЦ MUST (НЕОБХОДИМО, обязательно должно быть) підтвердити заявникові та / або організаційне ім'я та місце розташування дочірнього підприємства такими, що сертифікати кінцевих юридичних осіб, видані з підпорядкованого сертифіката СА, будуть відповідати розділам 7.1.2.4 та 7.1.2.5.

Якщо підпорядкованому СА не дозволяється видавати сертифікати з iPAddress, сертифікат підпорядкованого ЦС MUST (НЕОБХОДИМО, обязательно должно быть) визначати всі діапазони адрес IPv4 та IPv6 у виключених підгрупах. Сертифікат Підпорядкованого CA MUST (НЕОБХОДИМО, обязательно должно быть) включати в виключений підменю iPAddress GeneralName 8 нульових октетів (охоплюючи діапазон адрес IPv4 0.0.0.0/0). Сертифікат Підпорядкованого ЦС MUST (НЕОБХОДИМО, обязательно должно быть) також включати до виключених підгрупп iPAddress GeneralName з 32 нульових октетів (охоплюючи діапазон адрес IPv6 :: 0/0). В іншому випадку сертифікат підпорядкованого сертифіката MUST (НЕОБХОДИМО, обязательно должно быть) включати принаймні одну адресу iPA у дозволених підгрупах.

Декодированный пример для выдачи домену и поддоменам example.com по организации: - Пример LLC, Бостон, Массачусетс, США: 

	X509v3 Name Constraints:
		Permitted:
			DNS:example.com
			DirName: C=US, ST=MA, L=Boston, O=Example LLC
		Excluded:
			IP:0.0.0.0/0.0.0.0
			IP:0:0:0:0:0:0:0:0/0:0:0:0:0:0:0:0

Якщо підпорядкованому ЦС не дозволяється видавати сертифікати з dNSNames, сертифікат підпорядкованого ЦС повинен включати в DNSN-ім'я нульової довжини у виключених підгрупах. В іншому випадку сертифікат підпорядкованого сертифіката MUST (НЕОБХОДИМО, обязательно должно быть) включати принаймні одне ім'я dNSN в дозволених підгрупах. 

 DV SSL OV Сертификаты подтверждающие только Домен OV SSL OV Сертификаты подтверждающие Домен и Организацию EV SSL EV Зеленые усиленные сертификаты с указанием названия Организации подтверждают Домен и Организацию WC SSL wildcard Сертификаты защищающие все субдомены. Класс DV OV и EV SAN SSL SAN Мульти доменные сертификаты защищающие несколько FQDN Доменов. Класс DV OV и EV PRO SSL SGC PRO сертификаты с технологией Server Gated Cryptography. Класс OV и EV CodeSign Сертификаты для подписи приложений и програмного кода MS, Java. Класс OV и EV Email Сертификаты для подписи емаил smime. Класс DV OV PDF Сертификаты для подписи документов PDF. Класс OV PV Wi-Fi Сертификаты DigiCert для IoT и Wi Fi IoT Сертификаты DigiCert для IIoT ALL Все сертификаты DigiCert Familie: thawte, GeoTrust, DigiCert Купить сертификат
NO russia - мы не осблуживаем резидентов из россии Copyright © 1997-2024 adgrafics