ГОСТ ISO/TS 22600-3—2013
entltyName[1] GeneralNames OPTIONAL.
--Имяобъекта или роли
ObjectDigestlnfo[2) ObjectDigestlnfo OPTIONAL
--Если версия указана, то она должна иметь значение v2
- - Как минимум, одно из полей baseCertrficalelD. entltyName или ObjectDigestlnfo, должно быть указано- -}
SEQUENCE
ObjectDigestlnfo
{
digestedObjectType
ENUMERATED {
риЫюКеу
(0).
publicKeyCert
(1).
otherObJectTypes
(2)}.
otherObJectTypelD OBJECT IDENTIFIER OPTIONAL,
digestAlgorlthm
objectO.gest
Algorithm Identifier.
BIT STRING}
AttCertlssuerCHOICE
{
vi Form GeneralNames.
v2Form(0J V2Form
- - В версии vl или v2
--Только в версии v2
}
V2FormSEQUENCE
{
IssuerName GeneralNames OPTIONAL.
baseCertificatelD
ObjectDigestlnfo
(0)IssuerSertal OPTIONAL.
(1)ObjectDigestlnfo OPTIONAL
}
--Как минимум один из компонентов должен присутствовать
(WITH COMPONENTS{.... IssuerName PRESENT }|
WITH COMPONENTS {.... baseCertificatelD PRESENT} |
WITH COMPONENTS {....
ObjectDigestlnfo
PRESENT ))
IssuerSertal
Issuer
serial
issuerUID
SEQUENCE {
GeneralNames.
CertificateSerialNumber.
Uniqueldentifier OPTIONAL}
CertificateSerialNumber ::= INTEGER
UniqueldentifierBIT STRING
AttributeCLASS
OBJECT IDENTIFIER UNIQUE.
BOOLEAN DEFAULT FALSE.
{
&id
&smgleValued
&Syntax}
AttributeSEQUENCE
{
attrType
attrValues
ATTRIBUTE.&id ({SupportedAttrs}).
ATTRIBUTE.&Syntax ({SupportedAttrs} (@attrType}))
AttCertValidityPeriodSEQUENCE
{
notBefore GeneralizedTime.
notAfterGeneralizedTime}
Компоненты сертификата атрибута используются следующим образом.
Номер версии позволяет различить разные версии сертификата атрибута. Если поле ObjectDigestlnfo прису
тствует или издатель идентифицирован с помощью поля baseCertificatelD. то версиядолжна быть v2.
В поле владельца (holder) передается идентификация владельца сертификата атрибута. Настоящий стан
дарт требует, чтобы использование имени издателя и серийный номер специфичного сертификата открытого клю
ча были обязательными, использование общих имен — необязательным, а использование дайджеста объекта
запрещено. Использование поля GeneralNames самого по себе для идентификации владельца сертификата несет
тот риск, что привязки имени к открытому ключу может быть недостаточно для обеспечения выполнения процесса
аутентификации идентичности владельца сертификата,связанногос использованием сертификата атрибута. Кро
ме того, некоторые из необязательных полей элемента GeneralNames (например, сетевой адрес IPAddress) непри
годны для использования в наименовании владельца сертификата атрибута, которым чаще является роль, а не
конкретный объект. Варианты форм общего имени должны быть ограничены отличительным именем, адресом
электронной почты, соответствующим документу RFC 822 (email, см. [48)) и объектными иденификаторами (для
имен ролей).
24