3. Расширения сертификата

21. Функция каждого расширения сертификата определена стандартным значением связанного с ним идентификатора объекта (object identifier). Расширение сертификата в зависимости от опции, выбранной УЦ службы ДТС, может быть критическим или некритическим. Приложение, использующее сертификаты, должно отклонять сертификат, если обнаруживает критическое расширение, которое оно не может распознать. Каждое некритическое расширение сертификата может игнорироваться.

22. Версия УЦ (CA version)

Расширение "CA Version" (OID 1.3.6.1.4.1.311.21.1) предназначено для обеспечения связанности изданных УЦ службы ДТС сертификатов, а также списков отозванных сертификатов (далее - СОС) с сертификатом уполномоченного лица УЦ службы ДТС, ключом ЭЦП которого они были подписаны, и используется только в сертификате уполномоченного лица УЦ службы ДТС.

Расширение имеет формат "v<индекс сертификата УЦ службы ДТС>.<индекс пары ключей сертификата УЦ службы ДТС>". При установке УЦ службы ДТС (первичном издании сертификата уполномоченного лица УЦ службы ДТС) индекс сертификата УЦ службы ДТС равен нулю, а индекс пары ключей сертификата УЦ службы ДТС - " (пустая строка). Каждый раз, когда сертификат уполномоченного лица УЦ службы ДТС обновляется, индекс сертификата УЦ службы ДТС увеличивается на единицу. В связи с тем, что регламент УЦ службы ДТС предусматривает обновление сертификатов уполномоченного лица УЦ службы ДТС только с использованием новой пары ключей, индекс пары ключей всегда принимает значение индекса сертификата УЦ службы ДТС.

23. Использование ключа (Key Usage)

Расширение "Использование ключа" может быть критическим или некритическим. Данное расширение определяет способ применения ключа (например, ключ для шифрования данных, ключ для ЭЦП и т.д.). Значение данного расширения зависит от назначения сертификата и политики его применения.

В сертификате уполномоченного лица УЦ службы ДТС расширение "Использование ключа" помечается как критическое (critical) и имеет следующие значения:

keyCertSign (5) - ключ для подписи сертификатов;

cRLSign (6) - ключ для подписи СОС.

В сертификате СПП расширение "Использование ключа" помечается как критическое (critical) и имеет следующие значения:

digitalSignature (0) - ключ для реализации ЭЦП (идентификации субъекта или данных);

nonRepudiation (1) - ключ, связанный с реализацией неотрекаемости.

В сертификате СПСС расширение "Использование ключа" помечается как критическое (critical) и имеет следующие значения:

digitalSignature (0) - ключ для реализации ЭЦП (идентификации субъекта или данных);

nonRepudiation (1) - ключ, связанный с реализацией неотрекаемости.

В сертификатах СШВ, СШВ-В и СШВ ДТС-В расширение "Использование ключа" помечается как критическое (critical) и имеет следующие значения:

digitalSignature (0) - ключ для реализации ЭЦП (идентификации субъекта или данных);

nonRepudiation (1) - ключ, связанный с реализацией неотрекаемости.

24. Расширенная область использования ключа (Extended Key Usage)

Расширение "Расширенная область использования ключа" может быть критическим или некритическим. Данное расширение определяет одну или более областей в дополнение к основному применению, установленному в поле Key Usage, в пределах которых может быть использован сертификат. Данное поле следует интерпретировать как ограничение допустимой области применения ключа, определенного в поле Key Usage. Конкретные значения расширения зависят от назначения сертификата и политики его применения.

В сертификате уполномоченного лица УЦ службы ДТС расширение "Расширенная область использования ключа" не используется.

В сертификатах СПП и СПП ДТС-В расширение "Расширенная область использования ключа" помечается как критическое и содержит объектный идентификатор назначения "Подпись ответов службы DVCS" (id-kp-dvcs): OID 1.3.6.1.5.5.7.3.10.

В сертификате СПСС расширение "Расширенная область использования ключа" помечается как критическое и содержит объектный идентификатор назначения "Подпись ответов службы OCSP" (id-kp-OCSPSigning): OID 1.3.6.1.5.5.7.3.9.

В сертификатах СШВ, СШВ-В и СШВ ДТС-В расширение "Расширенная область использования ключа" помечается как критическое и содержит объектный идентификатор назначения "Подпись штампов времени" (id-kp-timeStamping): OID 1.3.6.1.5.5.7.3.8.

25. Основные ограничения (Basic Constraints)

Расширение "Основные ограничения" является критическим в сертификатах УЦ и может быть критическим или некритическим в сертификатах конечных пользователей. Расширение позволяет определить, является ли субъект сертификата УЦ (поле СА), а также сколько максимально (принимая иерархическую систематизацию УЦ) может быть УЦ на пути, ведущем от рассматриваемого УЦ до конечного пользователя (поле pathLength).

Значение поля pathLength, равное 0, означает, что сертификат принадлежит УЦ, который может издавать сертификаты только для конечных пользователей.

В сертификатах СПП, СПП ДТС-В, СПСС, СШВ, СШВ-В и СШВ ДТС-В в расширение "Основные ограничения" вносится пустая последовательность без указания в ней поля СА и поля pathLength.

26. Точки доступа к СОС (CRL Distribution Points)

Расширение "Точки доступа к СОС" не является критическим. Поле определяет протоколы и сетевые адреса, по которым можно получить актуальный СОС, выданный издателем сертификата, в котором находится данное расширение.

27. Доступ к информации об УЦ (Authority Information Access)

Расширение "Доступ к информации об УЦ" не является критическим. Поле указывает, каким образом передаются данные и услуги издателем сертификата, в сертификате которого имеется данное расширение. Данное расширение содержит URL адреса услуги OCSP проверки статуса сертификата.

28. Идентификатор ключа проверки ЭЦП издателя (Authority Key Identifier)

Расширение "Идентификатор ключа проверки ЭЦП издателя" позволяет однозначно идентифицировать ключ проверки ЭЦП, соответствующий ключу ЭЦП, используемому для подписи сертификата. Расширение используется для облегчения построения путей сертификации.

29. Идентификатор ключа проверки ЭЦП субъекта (Subject Key Identifier)

Расширение "Идентификатор ключа проверки ЭЦП субъекта" позволяет однозначно идентифицировать ключ проверки ЭЦП, содержащийся в сертификате. Используется для построения цепочек доверия и управления процессами отзыва сертификатов.

30. Идентификатор алгоритма (signatureAlgorithm)

Расширение "Идентификатор алгоритма" содержит идентификатор криптографического алгоритма, описывающего алгоритм, применяемый для реализации ЭЦП, которую ставит УЦ службы ДТС на сертификате.

Для сертификатов, издаваемых УЦ службы ДТС, поле имеет следующее значение:

id-tc26-gost3410-2012-512 OBJECT IDENTIFIER ::= id-tc26-signwithdigest-gost3410-2012-512 OBJECT IDENTIFIER ::= {iso(1) member-body(2) ru(643) rosstandart(7) tc26(1) algorithms(1) signwithdigest(3) gost3410-2012-512(3)}.

31. Формы имен

УЦ службы ДТС издает сертификаты, содержащие имена издателя и субъекта, издаваемые в соответствии с правилами, описанными в Регламенте удостоверяющего центра службы доверенной третьей стороны интегрированной информационной системы Евразийского экономического союза.

32. Политики применения сертификата (Certificate Policies)

Расширение "Политики применения сертификата" (Certificate Policies) содержит информацию типа PolicyInformation (идентификатор, электронный адрес) о политике, используемой УЦ службы ДТС, для издания сертификата. Расширение "Политики применения сертификата" не является критическим.

В сертификатах, издаваемых УЦ службы ДТС, возможно указание идентификаторов политик применения сертификата в зависимости от типа и назначения сертификата, представленных в таблице 14.

Таблица 14

Идентификаторы политик применения сертификата

В сертификатах СПП, СПП ДТС-В, СПСС, СШВ, СШВ-В и СШВ ДТС-В, издаваемых УЦ службы ДТС, содержатся квалификаторы политик применения сертификата в виде указателей на опубликованные в репозитории УЦ службы ДТС политики применения сертификатов, утвержденные руководителем УЦ службы ДТС.