ГОСТ Р ИСО 17090-2—2010
6.2 Общи© поля всех типов сертификатов
1) Поле «serialNumber» имеет целое значение, присваиваемое ЦС каждому сертификату. Оно
предназначено для уникальной идентификации сертификатов. Значение «serialNumber» должно быть
уникальным для каждого сертификата, выпущенного данным ЦС (то есть наименование издателя сер
тификата в сочетании с серийным номером является глобально уникальным идентификатором).
2) Поле «signature» содержит идентификатор алгоритма, использованного ЦС для подписи сер
тификата.
3) Поле «issuer» идентифицирует наименование организации, подписавшей и выпустившей сер
тификат. Значениеэтого поля представляетсобой соответствующую ISO (6]структуру имени, состав ко
торой соответствует определению класса объектов роли в организации «organizationalRole»,
находящегося под классом объектов организации «organization» или подразделения «organization-
Unit».
4) Поле «validity» содержит интервал времени, в течение которого ЦС гарантирует действитель
ность информации, содержащейся в сертификате. При выдаче сертификата квалифицированному ме
дицинскому работнику ЦС должен принять меры, чтобы срок действия цифрового сертификата не
превысил срок действия сертификата специалиста или профессиональной лицензии. Чтобы выполнить
это условие, ЦС должен либо установитьсрокдействия цифровогосертификата, не превышающий сро ка
действия сертификата специалиста (профессиональной лицензии), либо надежным образом полу чить
подтверждение, что сертификатспециалиста (лицензия) продлендо истечения егосрокадействия, а
если срок истек, а подтверждение не получено. — отозвать цифровой сертификат или приостановить ого
действие.
П р и м е ч а н и е — Отличительные правила кодирования (Distinguished Encoding Rules — DER) разреша
ют использовать несколько способов форматирования значений даты и времени типа «UTCTtme» и
«GenerallzedTime*. Чтобы минимизировать проблемы с верификацией цифровой подписи, в реализациях стандар
та важно использовать один и тот же формат. Если год больше или равен 2050, то время должно кодироваться,
ис пользуя формат «GenerallzedTime». Чтобы кодирование значений типа «UTCTImeo быпо
совместимым, необходимо кодировать их. используя формат «2». и не опускать поле секунд, даже если оно имеет
значение 00 (т. е. формат должен быть YYMMDDHHMMSSZ). При таком кодировании поле года YY должно
интерпретироваться как 19УУ,если YY больше или равно 50. и как 20YY, если YY меньше 50. Когда используется тип
«GenerallzedTime», то значение этого типа должно кодироваться, используя формат «2». и поле секунд должно
быть включено (то есть формат должен быть YYYYMMDDHHMMSS2).
5) Поле «subject» идентифицирует наименование субъекта, ассоциированного с открытым клю
чом. содержащимся в поле «subjectPublicKeylnfo».
6) В поле «subjectPublicKeylnfo» хранятся открытый ключ и идентификатор алгоритма примене
ния этого ключа.
7) Необязательное поле «issuerUniqueldentifier» представляет собой битовую строку, использу
емую для уникальной идентификации издателя (в соответствии с IETF/RFC 3280 настоящий стандарт не
рекомендует использовать это поле).
8) Необязательное поле «subjectUniquoldentifier» представляет собой битовую строку, исполь
зуемуюдля уникальной идентификации субъекта (в соответствии с IETF/RFC 3280 настоящий стандарт
не рекомендует использовать это поле).
9) Поле «extensions» должно содержать последовательность изодного или нескольких расшире
ний сертификата.
Подпись сертификатадобавляется к типуданныхсертификата с помощью стандартного типадан
ных «SignedOata».
6.3 Спецификации общих полей
6.3.1 Общие сведения
Ниже приведены специфические требования к информации, содержащейся в базовых полях сер
тификата. которые еще не были включены в IETF/RFC 3280 или IETF/RFC 3279 [7].
6.3.2 Поле «signature»
Рекомендуется присваивать полю «signature» одно из следующих значений:
1. md5WithRSAEncryption (1.2.840.113549.1.1.4)
2. sha1WithRSAEncryption (1.2.840.113549.1.1.5)
3. dsa-with-sha1 (1.2.840.10040.4.3)
4. md2WithRSAEncryption (1.2.840.113549.1.1.2)
6