Базові вимоги до випуску і управлінню публічно довірених сертифікатів DV и OV
Приложение B – Расширения сертификата (Норматив)
Данное приложение определяет требования для расширения сертификатов для сертификатов, созданные после вступления в силу данных Требований
Корневой сертификат (Root Certificate)
Корневой сертификат (Root Certificate) MUST (НЕОБХОДИМО, обязательно должно быть) соответствовать требованиям X.509 v3.
- A. basicConstraints
Это расширение (extension) MUST (НЕОБХОДИМО, обязательно должно быть) присутствует как КРИТИЧЕСКОЕ (critical) расширение (extension)
Поле cA MUST (НЕОБХОДИМО, обязательно должно быть) установить как Верно (TRUE)
Поле pathLenConstraint SHOULD_NOT (НЕ ДОЛЖЕН) ПРИСУТСТВОВАТЬ (be present)
- B. keyUsage
Это расширение (extension) MUST (НЕОБХОДИМО, обязательно должно быть) ПРИСУТСТВОВАТЬ (be present) и MUST (НЕОБХОДИМО, обязательно должно быть) и отмечено как КРИТИЧЕСКОЕ (critical)
Бит позиции для keyCertSign и cRLSign MUST (НЕОБХОДИМО, обязательно должно быть) установлены.
Если Приватный ключ (Private Key) Корневого ЦС (Root CA)используется для подписи OCSP ответов, digitalSignature bit MUST (НЕОБХОДИМО, обязательно должно быть) установлен.
- C. certificatePolicies
Это расширение (extension) SHOULD_NOT (НЕ ДОЛЖЕН)- D. extendedKeyUsage
Это расширение (extension) MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть)
Все другие поля и расширения MUST (НЕОБХОДИМО, обязательно должно быть) установлены в соответствии с RFC 5280
Сертификат Подчиненного ЦС (Subordinate CA Certificate)
Сертификат Подчиненного ЦС (Subordinate CA Certificate) MUST (НЕОБХОДИМО, обязательно должно быть) соответствовать требованиям X.509 v3.
- A. certificatePolicies
Это расширение (extension) MUST (НЕОБХОДИМО, обязательно должно быть) ПРИСУТСТВОВАТЬ (be present) и SHOULD_NOT (НЕ ДОЛЖЕН) отмечен как КРИТИЧЕСКОЕ (critical)
certificatePolicies: policyIdentifier ( REQUIRED (НЕОБХОДИМО) )
Следущие поля MAY (ВОЗМОЖНО, МОЖЕТ) ПРИСУТСТВОВАТЬ (be present) если Подчиненный ЦС (Subordinate CA) не является Аффилированной компанией (Affiliate) управляющая Корневым ЦС (Root CA)
certificatePolicies:policyQualifiers: policyQualifierId (OPTIONAL (ДОПОЛНИТЕЛЬНО))
certificatePolicies:policyQualifiers:qualifier:cPSuri (OPTIONAL (ДОПОЛНИТЕЛЬНО))
- Ссылки на Корневой сертификат (Root Certificate) , Положение о рекомендованной практике (Certification Practice Statement) , Полагающаяся (верящая) сторона (Relying Party)
Соглашение, или другие ссылки на соглашения и оповещения ЦС
- B. cRLDistributionPoints
Это расширение (extension) MUST (НЕОБХОДИМО, обязательно должно быть) ПРИСУТСТВОВАТЬ (be present) и MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) как КРИТИЧЕСКОЕ (critical) Оно MUST (НЕОБХОДИМО, обязательно должно быть) содержать HTTP URL Список отозванных сертификатов (CRL Certificate Revocation List) СЦ.
- C. authorityInformationAccess
За исключением сшивания (staples), которое указано ниже, это расширение (extension) MUST (НЕОБХОДИМО, обязательно должно быть) ПРИСУТСТВОВАТЬ (be present)
Это MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) отмечать как КРИТИЧЕСКОЕ (critical), и это MUST (НЕОБХОДИМО, обязательно должно быть) содержать HTTP URL OCSP автответчик (OCSP Responder) ЦС (accessMethod = 1.3.6.1.5.5.7.48.1).
Это SHOULD (ДОЛЖЕН) содержать HTTP URL сертификата ЦС (accessMethod = 1.3.6.1.5.5.7.48.2). Подробнее см. п. 13.2.1
HTTP URL OCSP автответчика (OCSP Responder) ЦС MAY (ВОЗМОЖНО, МОЖЕТ) может быть опущен при условии, что Пользователь сертификата (Subscriber) соединит
ответ (staples) OCSP автответчика (OCSP Responder) для сертификата в TLS рукопожатии [ RFC4366 ].
- D. basicConstraints
Это расширение (extension) MUST (НЕОБХОДИМО, обязательно должно быть) ПРИСУТСТВОВАТЬ (be present) и MUST (НЕОБХОДИМО, обязательно должно быть) ОТМЕЧЕН (be marked) как КРИТИЧЕСКОЕ (critical) The cA field MUST (НЕОБХОДИМО, обязательно должно быть) be set true. The
pathLenConstraint field MAY (ВОЗМОЖНО, МОЖЕТ) ПРИСУТСТВОВАТЬ (be present)
- E. keyUsage
Это расширение (extension) MUST (НЕОБХОДИМО, обязательно должно быть) ПРИСУТСТВОВАТЬ (be present) and MUST (НЕОБХОДИМО, обязательно должно быть) ОТМЕЧЕН (be marked) как КРИТИЧЕСКОЕ (critical) Bit positions для keyCertSign и cRLSign MUST (НЕОБХОДИМО, обязательно должно быть) установлена.
Если Приватный ключ (Private Key) Подчиненного ЦС (Subordinate CA) используется для подписи OCSP автответчика (OCSP Responder) , то digitalSignature bit MUST (НЕОБХОДИМО, обязательно должно быть) установлен.
- F. nameConstraints (OPTIONAL (ДОПОЛНИТЕЛЬНО))
Если ПРИСУТСТВОВАТЬ (be present) расширение (extension) SHOULD (ДОЛЖЕН) ОТМЕЧЕН (be marked) как КРИТИЧЕСКОЕ (critical)*.
Все остальные поля и расширения (extensions) MUST (НЕОБХОДИМО, обязательно должно быть) установлены согласно RFC 5280
* НЕ КРЕТИЧЕСКОЕ (not-critical) Name Constraints являются исключением из RFC 5280 которые MAY (ВОЗМОЖНО, МОЖЕТ)
использованы для ограничения Name Constraints расширение (extension) поддерживаемых Поставщик программного обеспечения (Application Software Supplier)
программное обеспечение которых широко используется Полагающаяся (верящая) сторона (Relying Party) во всем мире.
Сертификат клиента (Subscriber Certificate)
- A. certificatePolicies
Это расширение (extension) MUST (НЕОБХОДИМО, обязательно должно быть) ПРИСУТСТВОВАТЬ (be present) and SHOULD_NOT (НЕ ДОЛЖЕН) ОТМЕЧЕН (be marked) как КРИТИЧЕСКОЕ (critical)
certificatePolicies:policyIdentifier ( REQUIRED (НЕОБХОДИМО) )
- Полис идентификации, определенный выпускающим СЦ, который указывает на Полис сертификата (Certificate Policy) утверждая
что выпуск сертификата произведен СЦ в соответствиия с этими Требованиями.
Следующие расширения (extensions) MAY (ВОЗМОЖНО, МОЖЕТ) ПРИСУТСТВОВАТЬ (be present) :
certificatePolicies:policyQualifiers:policyQualifierId (Recommended)
certificatePolicies:policyQualifiers:qualifier:cPSuri (OPTIONAL (ДОПОЛНИТЕЛЬНО))
- HTTP URL для Подчиненного ЦС (Subordinate CA) Положение о рекомендованной практике (Certification Practice Statement) , Полагающаяся (верящая) сторона (Relying Party) или другие ссылки на соглашения и оповещения ЦС
B. cRLDistributionPoints
Это расширение (extension) MAY (ВОЗМОЖНО, МОЖЕТ) ПРИСУТСТВОВАТЬ (be present) If present, it MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) ОТМЕЧЕН (be marked) как КРИТИЧЕСКОЕ (critical), and it MUST (НЕОБХОДИМО, обязательно должно быть) contain the
HTTP URL oдля сервиса BR_CERTIFICATE_REVOCATION_LIST . Подробнее см. 13.2.1
C. authorityInformationAccess
За исключением сшивания (staples), которое указано ниже, это расширение MUST (НЕОБХОДИМО, обязательно должно быть) ПРИСУТСТВОВАТЬ (be present) ЭтоMUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) ОТМЕЧЕН (be marked) как КРИТИЧЕСКОЕ (critical) , и это MUST (НЕОБХОДИМО, обязательно должно быть) содержать HTTP URL of the Issuing CA’s OCSP responder (accessMethod
= 1.3.6.1.5.5.7.48.1). It SHOULD (ДОЛЖЕН) also contain the HTTP URL of the Issuing CA’s certificate
(accessMethod = 1.3.6.1.5.5.7.48.2). Подробнее см. 13.2.1
HTTP URL OCSP автответчика (OCSP Responder) СЦ MAY (ВОЗМОЖНО, МОЖЕТ) может быть опущен при условии, что Пользователь сертификата (Subscriber) соединит
ответ (staples) OCSP автответчика (OCSP Responder) для сертификата в TLS рукопожатии [ RFC4366 ].
D. basicConstraints (OPTIONAL (ДОПОЛНИТЕЛЬНО))
Если ПРИСУТСТВОВАТЬ (be present) поле cA MUST (НЕОБХОДИМО, обязательно должно быть) установлено в Лож (FALSE)
E. keyUsage (OPTIONAL (ДОПОЛНИТЕЛЬНО))
Если ПРИСУТСТВОВАТЬ (be present) , bit positions для keyCertSign и cRLSign MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) установлена.
F. extKeyUsage ( REQUIRED (НЕОБХОДИМО) )
Любое значение id-kp-serverAuth [ RFC 5280 ] или id-kp-clientAuth [ RFC 5280 ]
или оба значения MUST (НЕОБХОДИМО, обязательно должно быть) ПРИСУТСТВОВАТЬ (be present) id-kp-emailProtection [ RFC 5280 ] MAY (ВОЗМОЖНО, МОЖЕТ) BR_PRESEN Другие значения SHOULD_NOT (НЕ ДОЛЖЕН) ПРИСУТСТВОВАТЬ (be present)
Все другие поля и расширения (extensions) MUST (НЕОБХОДИМО, обязательно должно быть) быть установлены в соответствии с RFC 5280
| 
OV 
Купить сертификат
