ГОСТ Р ИСО 17090-2—2016
7 Использование расширений сертификата
7.1 Общие сведения
Ниже приведены требования кэлементам полей расширения (extensions) сертификатов формата
Х.509 версии 3. предъявляемые ких использованию взадачах здравоохранения. Болоедетальная инфор
мациях об этих полях приведена в спецификациях IETF/RFC 5280 и IETF/RFC 3739.
7.2 Общие расширения
7.2.1 Поле идентификатора ключа УЦ authorityKeyldentifier
Это расширение должно идентифицировать открытый ключ, используемый для проверки подписи
сертификата. С его помощью можно отличать разные ключи, используемые одним УЦ (например, при
обновлении ключа).
Должен использоваться только элемент keyldentifier поля расширения authorityKeyldentifier.
Это расширение является некритическим. Если оно используется, рекомендуется объявлять его
обязательным.
7.2.2 Поле идентификатора ключа субъекта subjoctKeyldentifier
Это расширение используется для идентификации открытого ключа, содержащегося в поле сер
тификата subjectPublicKeylnfo.
В спецификации IETF/RFC 5280 приведены указания, каким образом элемент идентификатора
может быть извлечен из открытого ключа. Разрешен любой алгоритм извлечения при условии, что иден
тификатор будет обладать свойством уникального представления ключа.
Это расширение являетсяобязательным инекритическим для всехсертификатов конечныхобъектов
и всех сертификатов УЦ в цепочке доверия, построенной для системы здравоохранения.
7.2.3 Поле основного назначения ключа keyUsage
Это расширение должно идентифицировать основное назначение, ассоциированное с открытым
ключом сертификата. Использование одной и той же пары ключей идля шифрования, идля электронной
подписи воспрещается, а использование ключа для шифрования не должно сочетаться ни с неоспори
мостью. ни с электронной подписью (см. 6.1).
Это расширение должно быть обязательным. Рекомендуется считать его критическим (как это
указано в спецификации IETF/RFC 5280).
7.2.4 Поле срока использования секретного ключа privatoKeyUsagePeriod
Использование этого расширения не рекомендуется.
По умолчанию в отсутствие этого расширения период действия секретного ключа совпадает со
сроком действия сертификата.
7.2.5 Поле политик сертификации certificatePolicies
Расширение certificatoPolicies должно содержать объектный идентификатор стандартизованной
политики сертификации УЦ в соответствии с ИСО 17090-3.
Это расширение является обязательным и некритическим.
7.2.6 Поле альтернативного имени субъекта subjectAltName
Рекомендуется, чтобы это расширение присутствовало в сертификате, и чтобы оно содержало
адрес электронной почты получателя сертификата, соответствующий спецификации RFC 822. Если в
него включен элемент имени каталога directoryName. то в целях обеспечения поддержки международ
ного набора символов для отличительного имени субъекта он должен иметь тип данных UTF8String.
Это расширение является необязательным и некритическим.
7.2.7 Поле базовых ограничений basicConstraints
Расширение basicConstraints содержит булевское значение, используемое, чтобы указать, может
ли субъект действовать как УЦ. используя сертифицированный ключ для подписи сертификатов. Если
это значение равно TRUE, то может быть также указано ограничение длины пути сертификации.
Сертификаты УЦ должны включать в себя расширение basicConstraints со значением TRUE.
Чтобы удостовериться, является ли данное расширение критическим либо некритическим и обя
зательным либо необязательным, см. таблицу 3.
12