ГОСТ Р ИСО 17090-2—2016
- при необходимости обладателю роли может быть присвоено только подмножество привилегий,
назначенных роли;
- обладание ролью может делегироваться;
- ролям и обладанию ролью могут быть назначены определенные сроки действия.
Объекту может быть присвоен СА. содержащий атрибут, уведомляющий, что этому объекту на
значена определенная роль. Этот сертификат имеет расширение, содержащее указатель на другой
СА. определяющий эту роль (такой сертификат роли указывает роль в качестве владельца и содержит
список привилегий, назначенных этой роли). Издатели сертификата объекта и сертификата роли могут
быть независимыми, и эти сертификаты могут управляться (прекращать действие, отзываться и т. д.)
отдельно друг от друга.
Не все формы общего наименования GeneralName пригодныдля использования вкачестве имени
роли. Полезнее всего использовать объектные идентификаторы и отличительные имена.
6 Общие требования к сертификатам
6.1 Соответствие сертификата
Ко всем сертификатам, определенным в настоящем стандарте, предъявляются следующие тре
бования;
a) они должны являться сертификатами формата Х.509 версии 3:
b
) они должны соответствоватьспецификации IETF/RFC 5280. Отклоненияот неедопускаются только
втом случае, если они соответствуют предложенным решениям выявленных проблем этой специ
фикации;
c) сертификаты, подтверждающие индивидуальную идентичность, должны соответствовать спе
цификации IETF/RFC 3739. Отклонения от нее допускаются только втом случае, если они соот
ветствуют предложенным решениям выявленных проблем этой спецификации;
d) поле signature должно идентифицировать используемый алгоритм электронной подписи;
e) минимальная длина сертифицированного открытого ключа должна зависеть от используемого
алгоритма. Длины ключей должны соответствовать ИСО 17090-3. подпункт 7.6.1.5;
f) назначение ключа для шифрования dataEncipherment не должно сочетаться ни с неоспори
мостью. ни с электронной подписью (см. 7.2.3).
Ниже описаны общие элементы всех цифровых сертификатов, предназначенных для здравоохра
нения и показанных на рис. 1. Эти элементы одинаковы у различных типов сертификатов.
Certificate::= SIGNED { SEQUENCE {
[0]Version DEFAULT v1,
CertificateSerialNumber.
Algorithmldentifier,
Name.
Validity.
Name.
SubjectPublicKeylnfo,
[1]IMPLICIT Uniqueldentifier OPTIONAL.
[2]IMPLICIT Uniqueldentifier OPTIONAL.
[3]Extensions MANDATORY.
version
serialNumber
signature
issuer
validity
subject
SubjectPublicKeylnfo
issuerUniqueldontifier
subjectUniqueldentifier
extensions
В поле version указана версия кодированного сертификата. Ее значение должно равняться v3.
6.2 Общие поля всех типов сертификатов
1) Поле serialNumber имеет целое значение, присваиваемое УЦ каждому сертификату. Оно пред
назначенодля уникальной идентификации сертификатов. Значение serialNumber должно бытьуникаль
ным для каждого сертификата, выпущенного данным УЦ (то есть наименование издателя сертификата в
сочетании с серийным номером является глобально уникальным идентификатором).
2) Поле signature содержит идентификатор алгоритма, использованного УЦ для подписи серти
фиката.
3)Поле issuer идентифицирует наименование организации, подписавшей и выпустившей серти
фикат. Значение этого поля представляет собой структуру имени ИСО, состав которой соответствует
определению класса объектов роли в организации (organizational Role). находящегося под классом
объектов организации organization или подразделения organizationUnit.
4) Поле validity содержит интервал времени, в течение которого УЦ гарантирует действительность
информации, содержащейся всертификате. При выдачесертификата квалифицированномумедицинскому
5