Поле Subject Name содержит отличительное имя субъекта, то есть владельца секретного ключа, соответствующего открытому ключу данного сертификата. Субъектом сертификата может выступать УЦ, РЦ или конечный субъект.
|Версия v1 | Элемент | Название | Описание |
|version | Версия | Версия (0 означает v1, 2 означает v3) |
|serialNumber | Серийный номер сертификата | Серийный номер сертификата |
|signature.algorithm
Identifier
algorithm
parameters
| Идентификатор алгоритма подписи | Тип алгоритма подписи
.
Алгоритм
Параметры
|
|issuer | Издатель | Уникальное название УЦ, выпустившего сертификат |
|Validity
NotBefore
notAfter
| Период действия | Период действия
Дата и время начала действия
Дата и время окончания действия
|
|subject | Субъект | Уникальное имя субъекта |
|SubjectPublicKeyInfo
Algorithm
subjectPublicKey
| Информация об открытом ключе субъекта | Информация об открытом ключе субъекта
Криптографический алгоритм
Ключ (строка битов)
|
|Версия v2 | issuerUniqueID | Уникальный идентификатор издателя | Уникальный идентификатор УЦ, выпустившего сертификат |
|subjectUniqueID | Уникальный идентификатор субъекта | Уникальный идентификатор субъекта сертификата |
|AuthorityKeyIdentifier
keyIdentifier
authorityCertIssuer
authorityCertSerialNumber
| Идентификатор ключа УЦ | Идентификатор ключа УЦ
Идентификатор ключа
Общее название УЦ
Серийный номер сертификата УЦ
|
|subjectKeyIdentifier | Идентификатор ключа субъекта | Идентификатор, используемый тогда, когда субъект имеет более одного ключа (например, во время возобновления сертификата) |
|Версия v3 | keyUsage
digitalSignature
.
nonRepudiation
keyEncipherment
dataEncipherment
.
.
.
keyAgreement
.
.
KeyCertSign
.
.
CRLSign
| Назначение ключа | Назначение ключа (строки битов)
1. Формирование и проверка
цифровой подписи
2. Неотказуемость
3. Шифрование других ключей
4. Шифрование и расшифрова-
ние данных и контроль цело-
стности с использованием
имитозащиты
5. Формирование других ключей
(например, по алгоритму
Диффи-Хелмана)
6. Формирование ЭЦП серти-
фикатов. Может использо-
ваться УЦ
7. Формирование ЭЦП САС.
Может использоваться УЦ
|
|keyUsage
EncipherOnly
DecipherOnly
| Назначение ключа | Назначение ключа (строки битов)
8. Только для шифрования
9. Только для расшифрования
|
|extendedKeyUsage | Расширенное назначение ключа | Задает одно или несколько назначений ключа помимо или вместо дополнения keyUsage |
|cRLDistributionPoint | Пункт распространения списков аннулированных сертификатов | Задает унифицированный идентификатор ресурса (URL) для указания местонахождения списков САС |
|privateKeyUsagePeriod | Период действия секретного ключа | Период действия секретного ключа, соответствующего открытому ключу в данном сертификате. При отсутствии этого дополнения периоды действия секретного и открытого ключей совпадают |
|certificatePolicies | Политики применения сертификат | Содержит уникальный идентификатор объекта OID, характеризующий политику применения сертификата и назначение сертификата |
|PolicyMappings
IssuerDomainPolicy
SubjectDomainPolicy
| Соответствие политик | Используется только в сертификатах УЦ. Задает один или несколько идентификаторов объекта в составе домена УЦ издателя, которые должны совпадать с политикой в составе домена УЦ субъекта |
|BasicConstraints | Основные ограничения | Указывает, действует ли субъект как УЦ, задает длину пути сертификации |
|PolicyConstraints | Ограничение политик | Используется только в сертификатах УЦ, задает проверку пути к политике, запрашивая идентификаторы политик и (или) запрещая задание соответствий политик |
|NameConstraints | Ограничения на имена | Используется только в сертификатах УЦ, задает пространство имен, которому должны принадлежать имена субъектов любого следующего сертификата в пути сертификации |
|SubjectAltName
.
OtherName
rfc822Name
dNSName
x400Address
directoryName
ediPartyName
uniformResource-
Identifier
iPAddress
registeredID
| Альтернативное имя субъекта | Альтернативное имя субъекта.
Свободный выбор имени.
Произвольное имя
Адрес электронной почты
Имя домена
Адрес отправителя/получателя
Имя каталога
EDI-имя
Унифицированный указатель
ресурсов WWW URL
IP-адрес
Зарегистрированный ID объекта
|
|issuerAltName | Альтернативное имя издателя | Альтернативное имя издателя |
|SubjectDirectory Attributes | Атрибуты каталога субъекта | Необязательные атрибуты субъекта, например, почтовый адрес, номер телефона и т.п. |
Таблица 6.1.Формат сертификата X.509
Поле Subject Public Key Information содержит информацию об открытом ключе субъекта: сам открытый ключ, необязательные параметры и идентификатор алгоритма генерации ключа. Это поле всегда должно содержать значение. Открытый ключ и необязательные параметры алгоритма используются для верификации цифровой подписи (если субъектом сертификата является УЦ) или управления ключами.
Необязательные поля Issuer Unique Identifier и Subject Unique Identifier информируют об уникальных идентификаторах субъекта и издателя сертификата и предназначены для управления многократным использованием имен субъектов и издателей. Вследствие неэффективности подобного механизма управления Интернет-стандарты профилей сертификата и списка аннулированных сертификатов не рекомендуют использовать в сертификатах эти поля.
Дополнения сертификата
Важная информация находится также в дополнениях сертификата. Они позволяют включать в сертификат информацию, которая отсутствует в основном содержании, определять валидность сертификата и наличие у владельца сертификата прав доступа к той или иной системе. Кроме того, в дополнениях содержится технологическая информация, позволяющая легко проверить подлинность сертификата. Каждая организация может использовать свои частные дополнения, удовлетворяющие конкретным требованиям ведения бизнеса. Однако большинство требований включено в стандартные дополнения, поддержку которых обеспечивают коммерческие программные продукты.
Опциональное поле Extensions (дополнения) появляется в сертификатах третьей версии. Каждое дополнение состоит из идентификатора типа дополнения Extension identifier, признака критичности Criticality flag и собственно значения дополнения Extension value. Идентификатор типа дополнения задает формат и семантику значения дополнения. Признак критичности сообщает приложению, использующему данный сертификат, существенна ли информация о назначении сертификата и может ли приложение игнорировать данный тип дополнения. Если дополнение задано как критичное, а приложение не распознает данный тип дополнения, то сертификат не должен использоваться приложением. Приложение может игнорировать нераспознанное некритичное дополнение и использовать сертификат.
Дополнения сертификатов X.509 определены рекомендациями Х.509 версии 3 Международного Союза по телекоммуникациям и документом RFC 3280 [167]. Все эти дополнения можно разделить на две категории: ограничивающие и информационные [10]. Первые ограничивают область применения ключа, определенного сертификатом, или самого сертификата. Вторые содержат дополнительную информацию, которая может быть использована в прикладном программном обеспечении пользователем сертификата. К ограничивающим дополнениям относятся:
* основные ограничения ( Basic Constraints );
* назначение ключа ( Key Usage );
* расширенное назначение ключа ( Extended Key Usage );
* политики применения сертификата ( Certificates Policies, Policy Mappings, Policy Constraints );
* ограничения на имена ( Name Constraints ).
К информационным дополнениям относятся:
* идентификаторы ключей ( Subject Key Identifier, Authority Key Identifier );
* альтернативные имена ( Subject Alternative Name, Issuer Alternative Name );
* пункт распространения списка аннулированных сертификатов ( CRL Distribution Point, Issuing Distribution Point );