Вибір способу представлення тих чи інших даних і додаткових обмежень на склад полів сертифіката заснований на наступних принципах:
представлення даних в сертифікаті має бути гранично простим і однозначним, щоб виключити різні варіанти трактування документа вже на етапі розробки додатків;
складена таким чином специфікація повинна залишати необхідну свободу для включення в сертифікат додаткових даних довільного виду, характерних для конкретної області застосування сертифікатів ключів ЕЦП;
склад полів і формати представлення даних в сертифікаті повинні відповідати міжнародним рекомендаціям (см.п.2) там, де це не суперечить вимогам Закону про ЕЦ;
випускаються сертифікати використовуються в інтернет PKI і період дії відкритого і закритого ключів для такого роду систем счтается однаковим згідно RFC 3280 (4.2.1.4) і атрибут Private Key Usage Period не повинен входити до складу сертифіката.
- RFC 3280 (в оновлення до RFC 2459) Internet X.509 Public Key Infrastructure. Certificate and Certificate Revocation List (CRL) Profile.
- RFC 3039 Internet X.509 Public Key Infrastructure. Qualified Certificate Profile - в даному RFC пропонуються загальні вимоги до синтаксису (складу) сертифікатів, використання яких юридично значимо.
Для всіх полів сертифіката, які мають на увазі російськомовні строкові значення, краще використовувати універсальну кодування UTF-8 (тип UTF8String).
Метою розділу є визначення складу і призначення полів сертифіката без урахування вимог конкретного засвідчує центру. Документи, які регламентують роботу засвідчувального центру, можуть обмежувати склад полів сертифіката і набір атрибутів, використовуваних для ідентифікації УЦ і власників сертифікатів ключів підпису.
Version
Все що випускаються сертифікати повинні мати версію 3.
SerialNumber
Поле serialNumber повинно містити ". Унікальний реєстраційний номер сертифіката ключа підпису" (ст.6, п.1, абз.1). Унікальність номера сертифіката повинна дотримуватися в рамках даного посвідчує центру (УЦ).
Validity
Поле validity повинно містити ". Дати початку і закінчення терміну дії сертифіката ключа підпису, що знаходиться в реєстрі посвідчує центру" (ст.6, п.1, абз.1).
SubjectPublicKeyInfo
Поле subjectPublicKeyInfo повинно містити ". Відкритий ключ електронного цифрового підпису" (ст.6, п.1, абз.3).
ФЗ "Про ЕЦП" передбачає видачу сертифікатів тільки фізичним особам, це положення стосується і сертифікатів самих УЦ і сертифікатів ресурсів. Для дотримання формальних вимог ФЗ пропонується в сертифікатах УЦ і ресурсів в атрибутах вказувати реальну інформацію організації вважаючи, що такий сертифікат видано уповноваженому фізичній особі УЦ або Ресурсу і зазначена інформація повинна трактуватися і реєструватися як сертифікат на псевдонім, що допускає ФЗ "Про ЕЦП".
Поле issuer має однозначно ідентифікувати організацію, що випустила сертифікат, і містити офіційно зареєстроване найменування організації.
Для ідентифікації можуть використовуватися такі атрибути:
Поле issuer має обов'язково включати атрибути, що описують "найменування та місце знаходження центра, що засвідчує, що видав сертифікат ключа підпису" (ст.6, п.1, абз.5).
Найменування повинно вказуватися в атрибуті organizationName. При використанні атрибуту organizationName може також використовуватися атрибут organizationalUnitName.
Місцезнаходження посвідчує центру може вказуватися за допомогою набору атрибутів countryName, stateOrProvinceName, localityName (кожен з яких є необов'язковим) або за допомогою єдиного атрибута postalAddress. Будь-яким із зазначених способів місцезнаходження УЦ має бути обов'язково присутня в сертифікаті.
Атрибут поля subject serialNumber повинен використовуватися при колізії імен.
SubjectДля уявлення DN (Distinguished Name - відмітна ім'я) власника сертифіката можуть використовуватися такі атрибути:
Для дотримання формальних вимог ФЗ пропонується в сертифікатах УЦ і ресурсів в атрибутах вказувати реальну інформацію організації вважаючи, що такий сертифікат видано уповноваженому фізичній особі УЦ або Ресурсу і зазначена інформація повинна трактуватися і реєструватися як сертифікат на псевдонім, що допускає ФЗ "Про ЕЦП".
Поле subject має обов'язково містити такі відомості: "прізвище, ім'я та по батькові власника сертифіката ключа підпису або псевдонім власника" (ст.6, п.1, абз.2).
Прізвище, ім'я та по батькові власника повинні міститися в атрибуті commonName і значенням, вказаним в паспорті. Пропуск (символ '0x20') повинен використовуватися як роздільник.
Ім'я користувача власника повинен міститися в атрибуті pseudonym.
Використання одного з цих атрибутів виключає використання іншого.
Решта атрибути є необов'язковими.
"У разі потреби в сертифікаті ключа підпису на підставі підтвердних документів зазначаються посада (із зазначенням найменування та місцезнаходження організації, в якій встановлена ця посада)." (Ст.6, п.2).
Посада власника сертифіката повинна вказуватися в атрибуті title. Значення атрибута повинно відповідати запису в документах, що підтверджують встановлену для власника сертифіката посаду.
Атрибут title, згідно RFC 3039, повинен включатися в розширення subjectDirectoryAttributes. Однак справжнім документом (і RFC 3280) допускається його включення в поле subject.
При використанні атрибуту title обов'язково повинні включатися атрибути, що описують найменування і місце знаходження організації, в якій встановлена дана посада.
Найменування організації повинно вказуватися в атрибуті organizationName. Значення атрибута повинно збігатися із записом найменування організації в установчих або інших рівнозначних документах. При використанні атрибуту organizationName може також використовуватися атрибут organizationalUnitName.
Місцезнаходження організації може вказуватися за допомогою набору атрибутів countryName, stateOrProvinceName, localityName (кожен з яких є необов'язковим) або за допомогою єдиного атрибута postalAddress.
При наявності атрибута organizationName атрибути countryName, stateOrProvinceName, localityName і postalAddress повинні інтерпретуватися як місцезнаходження організації.
Необов'язкові атрибути поля subject (countryName, stateOrProvinceName, localityName, organizationName, organizationalUnitName, title, postalAddress) можуть бути включені, якщо це визначено регламентом роботи УЦ, замість поля subject в розширення subjectDirectoryAttributes (див. П 3.8.1). У цьому випадку вони не повинні включатися в subject і не можуть бути використані для розрізнення власників сертифікатів ключів підпису.
Атрибут serialNumber повинен включатися в поле subject сертифікату при колізії імен. Він також може включатися, якщо це визначено регламентом роботи засвідчує центру.
Атрибут serialNumber може.- бути довільним (присвоюватися самим підтверджуючий центр);
- містити ідентифікатор (номер), присвоєний державної (або іншої) організацією (наприклад, ІПН, серія і номер паспорта, номер посвідчення особи і т.д).
До складу сертифіката ключа підпису повинні входити наступні розширення:
- KeyUsage
- CertificatePolicies
KeyUsage
Для того щоб сертифікат міг бути використаний для перевірки цифрового підпису, в розширенні keyUsage повинні бути встановлені біти digitalSignature (0) і nonRepuduation (1).
CertificatePolicies
Розширення certificatePolicies призначене для визначення області юридично значущого застосування сертифіката.
". Найменування засобів ЕЦП, з якими використовується даний відкритий ключ." (Ст.6, п.1, абз.4), ". Відомості про відносини, при здійсненні яких електронний документ з електронним цифровим підписом матиме юридичне значення." ( ст.6, п.1, абз.6) та інші дані, що регламентують порядок отримання і використання сертифікатів ключів підпису, можуть бути доступні за вказаною в даному розширенні CPSuri (Certificate Practice Statement URI).
необов'язкові розширення
До складу сертифіката ключа підпису можуть входити будь-які інші розширення. При включенні в сертифікат ключа ЕЦП розширень необхідно забезпечувати несуперечність і однозначність представленої в сертифікаті інформації.
Цей документ не регламентує використання розширень, за винятком розширення subjectDirectoryAttributes.
SubjectDirectoryAttributes
Розширення subjectDirectoryAttributes може містити атрибути, що доповнюють інформацію, представлену в поле subject.
На додаток до атрибутів, перерахованим в RFC 3039, рекомендується підтримувати в розширенні subjectDirectoryAttributes наступні атрибути:
"У разі потреби в сертифікаті ключа підпису на підставі підтвердних документів вказуються. Кваліфікація власника сертифіката ключа підпису" (ст.6, п.2).
Дані про кваліфікацію власника сертифіката ключа ЕЦП повинні вказуватися в атрибуті qualification. Даний атрибут не визначений в міжнародних рекомендаціях (см.п.2) і підлягає реєстрації.
Якщо атрибути countryName, stateOrProvinceName, localityName, organizationName, organizationalUnitName, title, postalAddress включені в розширення subjectDirectoryAttributes, вони не повинні включатися в поле subject.
Для зберігання інших відомостей про власника сертифіката ключа підпису можуть використовуватися інші (вже зареєстровані або підлягають реєстрації) атрибути, які не суперечать обмеженням, що накладається розширенням certificatePolicies і іншими документами, що регламентують роботу УЦ.
додаток ASN1
id-at: OID value: 2.5.4
OID description: X.500 attribute types.
id-ce: OID value: 2.5.29
OID description: Object Identifier for Version 3 certificate extensions.
OID value: 2.5.4.3
OID description: The common name attribute type specifies an identifier of an object. A common name is not a directory name; it is a (possibly ambiguous) name by which the object is commonly know in some limited scope (such as an organization) and conforms to the naming conventions of the country or culture with which it is associated.
(RFC 3039. Qualified Certificate Profile)
OID value: 2.5.4.65
OID value: 2.5.29.17
OID description: id-ce-subjectAltName This extension contains one or more alternative names, using any of a variety of name forms, for the entity that is bound by the CA to the certified public key.
OID value: 2.5.4.16
OID description: The Postal Address attribute type specifies the address information for the physical delivery of postal messages by the postal authority to the named object. An attribute value for Postal Address will be typically composed of selected attributes from the MHS Unformatted Postal O / R Address version 1 according to CCITT Rec F.401 and limited to 6 lines of 30 characters each, including a Postal Country Name. Normally the information contained in such an address could include an addressee's name, street address, city, state or province, postal code and possibly a Post Office Box number depending on the specific requirements of the named object.
OID value: 2.5.4.12
OID description: The Title attribute type specifies the designated position or function of the object within an organzation. An attribute value for Title is string.