- Поле: issuer:domainComponent (OID 0.9.2342.19200300.100.1.25)
- REQUIRED (НЕОБХОДИМО) / OPTIONAL (ДОПОЛНИТЕЛЬНО): OPTIONAL (ДОПОЛНИТЕЛЬНО)
- Содержание (Contents) : При наличии в сертификате, поле Domain Component MUST (НЕОБХОДИМО, обязательно должно быть) включать в себя все компоненты зарегистрированного
доменного имени Издателя. Выпускающего СЦ (Issuing CA) ordered sequence, with the most significant component, closest to the root of the namespace, written last.
9.1.3 Поле Organization Name Издателя, Выпускающего СЦ (Issuing CA)
- Поле: issuer:organizationName (OID 2.5.4.10)
- REQUIRED (НЕОБХОДИМО) / OPTIONAL (ДОПОЛНИТЕЛЬНО): REQUIRED (НЕОБХОДИМО)
- Содержание (Contents) : Это поле MUST (НЕОБХОДИМО, обязательно должно быть) содержать имя (или его сокращение), торговой марки или другой значимый идентификатор СЦ,
при условии, что они точно определяет ЦС. Поле MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) содержать общие обозначения, такие как "Root" или "CA1"
9.1.4 Поле Country Name Издателя, Выпускающего СЦ (Issuing CA)
- Поле: issuer:countryName (OID 2.5.4.6)
- REQUIRED (НЕОБХОДИМО) / OPTIONAL (ДОПОЛНИТЕЛЬНО): REQUIRED (НЕОБХОДИМО)
- Содержание (Contents) : Это поле MUST (НЕОБХОДИМО, обязательно должно быть) содержать двухбуквенный кодстраны согласно ISO 3166-1 в которой находится ЦС
9.2 Поле Subject
Выпуская сертификат ЦС подтверждает, что он следовал процедуре, изложенной в его Полисе сертификата (Certificate Policy) и/или Положении о рекомендованной практике (Certification Practice Statement)
и что по состоянию на дату выдачи сертификата, вся Информация о субъекте сертификации (Subject Information) была точной. ЦС SHALL NOT (НЕ РАЗРЕШАЕТСЯ, не должно быть) включать Доменое имя (Domain Name) в
Атрибуты Субъекта сертификации (Subject attribute) за исключением случаев, указанных в пунктах 9.2.1 и REQUIRED (НЕОБХОДИМО) / OPTIONAL (ДОПОЛНИТЕЛЬНО): REQUIRED (НЕОБХОДИМО)Содержание (Contents) : Это расширение (extension) MUST (НЕОБХОДИМО, обязательно должно быть) содержать по меньшей мере одну запись.
Каждая запись MUST (НЕОБХОДИМО, обязательно должно быть) быть либо dNSName содержащее Доменное имя (Fully-Qualified Domain Name - FQDN) или IP-адрес содержащий IP-адрес сервера.
ЦС MUST (НЕОБХОДИМО, обязательно должно быть) по мере необходимости. что Заказчик сертификата (претендент на получение сертификат) (Applicant) управляет Доменным именем (Fully-Qualified Domain Name - FQDN) или IP-адресом или ему было предоставлено право на его использование
Регистрантом домена (Domain Name Registrant) или администратором IP-адрес ,
Вилдкард доменные имена (Wildcard FQDNs) не разрешаются.
По состоянию на дату вступления в силу этих Требований до выдачи сертификата с subjectAlternativeName расширение (extension) или
CommonName полями содержащими Зарезервированный IP адрес (Reserved IP Address) или Внутренне имя сервера (Internal Server Name) , ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) уведомить
Заказчика сертификата (претендента на получение сертификата) (Applicant) что использование таких сертификатов является устаревшим согласно требований ЦС / Browser Forum и что эта практика выпуска
таких сертификатов будет прекращена с октября 2016 года.
Кроме того, по состоянию на дату вступления в силу, ЦС SHALL NOT (НЕ РАЗРЕШАЕТСЯ, не должно быть) выпускать сертификат срок действия которого истекает позднее 1 ноября 2015
с subjectAlternativeName расширение (extension) или полем CommonName содержащие Зарезервированный IP адрес (Reserved IP Address) или Внутренне имя сервера (Internal Server Name)С 1 октября 2016 года ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) Отзыв сертификата все оставшиеся существующие сертификаты в которых поле subjectAlternativeName расширение (extension)
или поле Subject commonName содержат Зарезервированный IP адрес (Reserved IP Address) или Внутренне имя сервера (Internal Server Name)
9.2.2 Поле Subject Common Name
- Поле: subject:commonName (OID 2.5.4.3)
- REQUIRED (НЕОБХОДИМО) / OPTIONAL (ДОПОЛНИТЕЛЬНО): Устаревшее (Не рекомендуется, но не запрещается)
- Содержание (Contents) : Если ПРИСУТСТВУЕТ (is present) , это поле MUST (НЕОБХОДИМО, обязательно должно быть) содержать отдельный IP адрес или Доменное имя (Fully-Qualified Domain Name - FQDN)
которое содержится в поле subjectAltName расширение (extension) ( см. 9.2.1 ).
9.2.3 Поле Subject Domain Component
- Поле: subject:domainComponent (OID 0.9.2342.19200300.100.1.25)
- REQUIRED (НЕОБХОДИМО) / OPTIONAL (ДОПОЛНИТЕЛЬНО): OPTIONAL (ДОПОЛНИТЕЛЬНО)
- Содержание (Contents) : Если ПРИСУТСТВУЕТ (is present) , это поле MUST (НЕОБХОДИМО, обязательно должно быть) содержать все компоненты зарегистрированного доменного имени субъекта в
упорядоченной последовательности, с наиболее значимыми компонентами, ближе к корню Доменной зоны (Domain Namespace)
9.2.4 Поле Subject Distinguished Name
- a. Поле: subject:organizationName (OID 2.5.4.10)
- OPTIONAL (ДОПОЛНИТЕЛЬНО)
Содержание (Contents) : если ПРИСУТСТВУЕТ (is present) , поле subject:organizationName MUST (НЕОБХОДИМО, обязательно должно быть) содержать Subject’s name или DBA верифицированных согласно требованиям
раздела 11.2
ЦС может включать информацию в это поле, которое несколько отличается от проверенных имен, таких, как общие изменения или сокращения,
при условии, что ЦС владеет документы подтверждающие корректность используемых сокращений:
например. если официальное название \"Company Name Incorporated\", ЦС MAY (ВОЗМОЖНО, МОЖЕТ) использовать \"Company Name Inc.\" или \"Company Name\" .
Поэтому Subject name для физических лиц (например givenName (2.5.4.42) и surname (2.5.4.4)) не достаточно поддерживаются програмным обеспечением,
ЦС MAY (ВОЗМОЖНО, МОЖЕТ) использовать поле subject:organizationName передать имя физического лица Subject’s name или DBA.
- b. Поле: Number и street: subject:streetAddress (OID: 2.5.4.9)
- OPTIONAL (ДОПОЛНИТЕЛЬНО) если поле subject:organizationName ПРИСУТСТВУЕТ (is present)
- Запрещенное если поле subject:organizationName отсутствует.
- Содержание (Contents) : Если ПРИСУТСТВУЕТ (is present) , поле subject:streetAddress MUST (НЕОБХОДИМО, обязательно должно быть) содержать Subject’s street address верифицированных согласно требованиям
раздела 11.2
- c. Поле: subject:localityName (OID: 2.5.4.7)
- REQUIRED (НЕОБХОДИМО) Если поле subject:organizationName ПРИСУТСТВУЕТ (is present) и поле subject:stateOrProvinceName отсутствует
- OPTIONAL (ДОПОЛНИТЕЛЬНО) Если поле subject:organizationName и поле subject:stateOrProvinceName ПРИСУТСТВУЕТ (is present)
- Prohibited Если поле subject:organizationName отсутствует
- Содержание (Contents) : Если ПРИСУТСТВУЕТ (is present) поле subject:localityName MUST (НЕОБХОДИМО, обязательно должно быть) содержать Subject’s locality information as verified under Section 11.2.
Если subject:countryName field specifies the ISO 3166-1 user-assigned code of XX in accordance with Section 9.2.5, the localityName field MAY (ВОЗМОЖНО, МОЖЕТ) contain the Subject’s
locality and/or state or province information as verified under Section 11.2.
- d. Поле: subject:stateOrProvinceName (OID: 2.5.4.8)
- REQUIRED (НЕОБХОДИМО) Если поле subject:organizationName ПРИСУТСТВУЕТ (is present) и поле subject:localityName отсутствует
- OPTIONAL (ДОПОЛНИТЕЛЬНО) если поле subject:organizationName и subject:localityName ПРИСУТСТВУЕТ (is present)
- Запрещенно если поле subject:organizationName отсутствует
- Содержание (Contents) : Если ПРИСУТСТВУЕТ (is present) , поле subject:stateOrProvinceName MUST (НЕОБХОДИМО, обязательно должно быть) содержит Subject’s state или province information
верифицированных согласно требованиям раздела 11.2
Если поле subject:countryName определяется ISO 3166-1 назначенный пользователю код XX в соответствии с разделом 9.2.5
поле subject:stateOrProvinceName MAY (ВОЗМОЖНО, МОЖЕТ) содержать полное имя Subject’s country information верифицированных согласно
требованиям раздела 11.2.5
- e. Поле: subject:postalCode (OID: 2.5.4.17)
- OPTIONAL (ДОПОЛНИТЕЛЬНО) Если поле subject:organizationName ПРИСУТСТВУЕТ (is present)
- Запрещено Если поле subject:organizationName отсутствует
- Содержание (Contents) : Если ПРИСУТСТВУЕТ (is present) , поле subject:postalCode field MUST (НЕОБХОДИМО, обязательно должно быть) содержать в Subject’s сод или почтовую информацию
верифицированных согласно требованиям раздела 11.2
, or postal information as verified under Section 11.2
9.2.5 Поле Subject Country Name
- Поле: subject:countryName (OID: 2.5.4.6)
- REQUIRED (НЕОБХОДИМО) Если subject:organizationName field ПРИСУТСТВУЕТ (is present)
- OPTIONAL (ДОПОЛНИТЕЛЬНО) Если поле subject:organizationName отсутствует
- Содержание (Contents) : Если поле subject:organizationName ПРИСУТСТВУЕТ (is present) , поле subject:countryName MUST (НЕОБХОДИМО, обязательно должно быть) содержать двухбуквенный код страны согласно
ISO 3166-1 верифицированных согласно требованиям раздела 11.2
Если gjkt subject:organizationName отсутсвует, поле subject:countryName MAY (ВОЗМОЖНО, МОЖЕТ) содержать двухбуквенный код страны согласно ISO 3166-1
Subject’s country information верифицированных согласно требованиям раздела 11.2.5
Если страна не имеет кода в ISO 3166-1 , ЦС MAY (ВОЗМОЖНО, МОЖЕТ) рекомендовать ISO 3166-1
пользователю получить код XX, что официальный ISO 3166-1 альфа-2 код не был назначен.
9.2.6 Поле Subject Organizational Unit
- Поле: subject:organizationalUnitName
- OPTIONAL (ДОПОЛНИТЕЛЬНО)
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) внедрить процесс, который предотвращает использование в OU атрибута включаяющего имя, DBA, фирменного наименования, товарного знака,
адрес, местоположение, или другой текст, который относится к конкретному физическое лицо Юридическое лицо (Legal Entity) если ЦС имеет верифицированных согласно
требованиям раздела 11.2 и сертификат содержит поля
subject:organizationName, subject:localityName и subject:countryName attributes, также верифицированных согласно требованиям раздела 11.2
9.2.7 Другие Subject Attributes
Все другие OPTIONAL (ДОПОЛНИТЕЛЬНО) атрибуты, представленные в поле subject, MUST (НЕОБХОДИМО, обязательно должно быть) содержать информацию которая была проверена ЦС.
OPTIONAL (ДОПОЛНИТЕЛЬНО) атрибуты MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) атрибуты содержащие метасимволы вида ‘.’, ‘-‘, и ‘ ‘ ( т.е пробела ) , и/или любых других признаков того,
что значение отсутствует, неполное или не применимо.
9.3 Certificate Policy Identification
В этом разделе описаны требования к содержанию Корневого ЦС (Root CA) Подчиненного ЦС (Subordinate CA) и Сертификата клиента (Subscriber Certificate)
как они относятся к identification of Certificate Policy.
9.3.1 Reserved Certificate Policy Identifiers
The following Certificate Policy identifiers are reserved for use by CAs as an OPTIONAL (ДОПОЛНИТЕЛЬНО) means of asserting compliance with these Requirements as follows:
{joint-iso-itu-t(2) international-organizations(23) ca-browser-forum(140) certificate-policies(1) baseline-requirements(2) domain-validated(1)} (2.23.140.1.2.1), Если Certificate complies with these Requirements but lacks Subject Identity Information that is verified in accordance with Section 11.2.
Если Certificate asserts the policy identifier of 2.23.140.1.2.1, then it MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) include organizationName, streetAddress, localityName, stateOrProvinceName, or postalCode in the Subject field.
{joint-iso-itu-t(2) international-organizations(23) ca-browser-forum(140) certificate-policies(1) baseline-requirements(2) subject-identity-validated(2)} (2.23.140.1.2.2), Если Certificate complies with these Requirements and includes Subject Identity Information that is verified in accordance with Section 11.2.
Если Certificate asserts the policy identifier of 2.23.140.1.2.2, then it MUST (НЕОБХОДИМО, обязательно должно быть) also include organizationName, localityName, stateOrProvinceName (if applicable), and countryName in the Subject field.
9.3.2 Root CA сертификат
Root CA сертификат SHOULD_NOT (НЕ ДОЛЖЕН) содержать certificatePolicies расширение (extension)
9.3.3 Subordinate CA сертификат
Сертификат выпущенный после даты вступления в силу этих Требований для Подчиненного ЦС (Subordinate CA) , который не является Аффилированной компанией (Affiliate) Издателя. Выпускающего СЦ (Issuing CA) :
- MUST (НЕОБХОДИМО, обязательно должно быть) включать один или несколько явных policy identifiers которая указывает Подчиненного ЦС (Subordinate CA) соблюдает и выполняет эти Требования
include one or more explicit policy identifiers that indicates the Subordinate CA’s adherence to and compliance with these Requirements
( т.е. либо ЦС / Browser Forum reserved identifiers или identifiers определяются ЦС в своей Полисе сертификата (Certificate Policy) и/или Положении о рекомендованной практике (Certification Practice Statement) ) и
- MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) содержать \"anyPolicy\" identifier (2.5.29.32.0).
Сертификат выпущенный после даты вступления в силу этих Требований для Подчиненного ЦС (Subordinate CA) , который является Аффилированной компанией (Affiliate) Издателя. Выпускающего СЦ (Issuing CA) :
- MAY (ВОЗМОЖНО, МОЖЕТ) включать ЦС/Browser Forum reserved identifiers или an identifier defined by ЦС в своей Полисе сертификата (Certificate Policy) и/или Положении о рекомендованной практике (Certification Practice Statement)
для indicate Подчиненного ЦС (Subordinate CA) на соответствием этим Требованиям и
- MAY (ВОЗМОЖНО, МОЖЕТ) содержать \"anyPolicy\" identifier (2.5.29.32.0) вместо явного explicit policy identifier.
Подчиненного ЦС (Subordinate CA) SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) represent, в своей Полисе сертификата (Certificate Policy) и/или Положении о рекомендованной практике (Certification Practice Statement)
что все сертификаты, содержащие policy identifier, указывающий на соответствие этим Требованиям и выдаются и управляются в соответствии с этими Требованиями.
9.3.4 Сертификат пользователя
Сертификат выпущенный для Пользователя сертификата (Subscriber) MUST (НЕОБХОДИМО, обязательно должно быть) содержать один или несколько policy identifier(s),
определяется Издателя, Выпускающего СЦ (Issuing CA) , в расширение (extension) certificatePolicies , что указывает на соблюдение и выполнение этих Требований.
ЦС в соответствии с этими требованиями MAY (ВОЗМОЖНО, МОЖЕТ) также утверждают, одно из зарезервированных reserved policy OIDs используемых в сертификате.
Издатель. Выпускающий СЦ (Issuing CA) SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) документ в своей Полисе сертификата (Certificate Policy) и/или Положении о рекомендованной практике (Certification Practice Statement) it issues containing the
specified policy identifier(s) управляются в соответствии с этими Требованиями.
9.4 Срок действия
Сертификаты, выданные после вступления в силу этих Требований MUST (НЕОБХОДИМО, обязательно должно быть) иметь срок действия не более 60 месяцев.
За исключением случаев, предусмотренных ниже, Сертификаты, выданные после 1 April 2015 MUST (НЕОБХОДИМО, обязательно должно быть) иметь срок действия не более 39 месяцев.
После 1 April 2015, ЦС MAY (ВОЗМОЖНО, МОЖЕТ) продолжать выпускать сертификаты со сроком действия больше чем 39 месяцев, но не более 60 месяцев при условии,
что ЦС документов , что сертификат для системы или программного обеспечения :
- (a) была в использовании до даты вступления в силу этих Требований;
- (b) в настоящее время используется большим количеством Заказчика сертификата (претендента на получение сертификата) (Applicant) или Полагающихся (доверяющих) сторон (Relying Party)
- (c) не работает если срок действия составляет менее 60 месяцев;
- (d) не содержит известные риски безопасности для Полагающихся (доверяющих) сторон (Relying Party) и
- (e) трудно обновить или заменить без существенных экономических затрат.
9.5 Public Key пользователя
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) отклонить Запрос на подпись сертификата CSR (CSR Certificate Signing Request) если Public Key не отвечает требованиям, изложенным в Приложении A
или если он имеет известные слабые места (например как слабые места Debian.
9.6 Серийный номер сертификата
ЦС SHOULD (ДОЛЖЕН) генерировать непоследовательных сертификат серийные номера, которые обладают по меньшей мере 20 бит энтропии.
9.7 Дополнительные технические требования
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) соответствовать техническим требованиям, изложенным в Appendix A - Криптографический алгоритм и требования к Ключам , и
Appendix B – расширения (extensions) сертификата и Appendix C – Тестирование Приложений разработчика ПО
