ГОСТ Р ИСО 17090-2—2016
работнику УЦ должен примять меры, чтобы срок действия цифрового сертификата не превысил срок
действия сертификата специалиста или профессиональной лицензии. Чтобы выполнить это условие,
УЦ должен либо установить срок действия цифрового сертификата не превышающим срока действия
сертификата специалиста (профессиональной лицензии), либо надежным образом получить подтверж
дение, что сертификат специалиста (лицензия) продлен до истечения его срока действия, а если срок
истек, а подтверждение не получено— отозвать цифровой сертификат или приостановить егодействие.
П р и м е ч а н и е — Отличительные правила кодирования (Distinguished Encoding Rules (DER)) разрешают
использоватьнесколькоспособов форматирования значенийдаты ивремени типаUTCTime иGeneralizedTime. Чтобы
минимизировать проблемыс верификацией цифровой подписи, вреализациях стандарта важноиспользовать один и
тотже формат. Если годбольше или равен 2050, товремя должно кодироваться, используяформатGeneralizedTime.
Чтобы кодированиезначений типа UTCTimeбылосовместимым, необходимо кодироватьих, используяформат «Z».
и не опускать поле секуня даже если оно имеет значение 00 (то есть формат должен быть YYMMDDHHMMSSZ).
При таком кодировании поле года YY должно интерпретироваться как 19YY. если YY больше или равно 50. и как
20YY. если YY меньше 50. Когда используется тип GeneralizedTime, то значение этого типа должно кодироваться,
используя формат «Z». и поле секунддолжно быть включено (тоестьформат должен быть YYYYMMDDHHMMSSZ).
5) Поле subject идентифицирует наименование субъекта, ассоциированного с открытым ключом,
содержащимся в поле subjectPublicKeylnfo.
6) В поле subjectPublicKeylnfo хранятся открытый ключ и идентификатор алгоритма применения
этого ключа.
7)Необязательное поле issuerUniquoldontifierпредставляет собой битовуюстроку, используемую
для уникальной идентификации издателя (всоответствии со спецификацией IETF/RFC 5280 настоящий
стандарт рекомендует не использовать это поле).
8)Необязательное nooesubjectUniqueldentifierпредставляет собойбитовуюстроку,используемую
для уникальной идентификации субъекта (в соответствии со спецификацией IETF/RFC 5280 настоящий
стандарт рекомендует не использовать это поле).
9)Поле extensions должно содержать последовательность из одного или нескольких расширений
сертификата.
Подпись сертификата добавляется к типу данных сертификата с помощью стандартного типа
данных SignedData. определенного в спецификации Х.509.
6.3Спецификации общих полей
6.3.1 Общие сведения
Ниже приведены специфичные требования к информации, содержащейся в базовых полях серти
фиката. которые еще не были включены в спецификацию IETF/RFC 5280 или IETF/RFC 3279.
6.3.2 Поле signature
Рекомендуется присваивать полю signature одно из следующих значений:
1. md5WithRSAEncrypt»on (1.2.840.113549.1.1.4)
2. sha1 WithRSAEncryption (1.2.840.113549.1.1.5)
3. dsa-with-sha1 (1.2.840.10040.4.3)
4. md2WithRSAEncryption (1.2.840.113549.1.1.2)
5. ecdsa-with-SHA1 (1.2.840.10045.4.1)
6. ecdsa-with-SHA224 (1.2.840.10045.4.3.1)
7. ecdsa-with-SHA256 (1.2.840.10045.4.3.2)
8. ecdsa-with-SHA384 (1.2.840.10045.4.3.3)
9. ecdsa-with-SHA512 (1.2.840.10045.4.3.4)
10. id-RSASSA-PSS (1.2.840.113549.1.1.10)
11. sha256WthRSAEncryption 1.2.840.113549.1.1.11
12. sha384WithRSAEncryptk>n 1.2.840.113549.1.1.12
13. sha512WithRSAEncryptk>n 1.2.840.113549.1.1.13
6.3.3 Поле validity
Значения дат срока действия, передаваемые в поле validity, должны соответствовать специфи
кации IETF/RFC 5280. В настоящем стандарте приняты ограничения сроков действия сертификатов,
выдаваемых в системе здравоохранения, описанные в стандарте ИСО 17090-3, подраздел 7.6.3.2.
Момент времени notBefore. указанный всертификате, отражаетточный момент, начинаяс которого
УЦ будет управлять актуальной информацией о статусе сертификата и публиковать ее.
6