Требования к СКП

Ключевая пара СКП должна соответствовать стандарту ГОСТ Р 34.10-2001.

Поля СКП должны заполняться в соответствии рекомендациям IETF RFC5280 и ITU-T x.509 (если не указано другое).

Для любого текста, используемого в СКП, разрешается использовать набор символов из Приложения 10 (если не указано другое).

Каждый СКП должен содержать следующие атрибуты и расширения:

1. Версия СКП (version) - должна быть не ниже 3.

2. Серийный номер (serialNumber) - уникальная последовательность в рамках одного УЦ, не более 160 бит.

3. Алгоритм подписи (signature) - в поле algorithm должен содержаться идентификатор алгоритма подписи ГОСТ Р 34.11-94/34.10-2001 (OID.1.2.643.2.2.3, в соответствии с RFC4491).

4. DN издателя СКП (issuer) - данные из поля субъект СКП издателя.

Для Корневого СКП Организатора Сети ДУЦ значение DN издателя должно быть равно DN субъекта.

5. Дата и время начала действия СКП (notBefore).

6. Дата и время окончания действия СКП (notAfter).

7. В DN субъекта СКП (subject) должны быть заполнены поля:

7.1. CN (OID.2.5.4.3) - обязательно к заполнению - для конечных СКП должно быть записано ФИО владельца СКП (Приложение 1).

Примечание. В СКП центров сертификации, а также СКП ключевых узлов СИОЭД (веб-сервер ИРУЦ, сервер регистрации ИРУЦ, АРМ ДиС, ЦСДИ и т.д.) допускается указывать псевдоним владельца СКП (Приложение 2).

7.2. INN (OID.1.2.643.3.xxx.1.1, OID должен быть зарегистрирован) - обязательно к заполнению. Должен быть записан один из вариантов:

- ИНН организации, сотрудником которой является владелец СКП.

- ИНН физического лица владельца СКП.

- при отсутствии ИНН - 0 (цифра ноль 0x30 Код Windows-1251).

7.3. OU (OID.2.5.4.11) - обязательно к заполнению. Должен быть записан один из вариантов:

- подразделение организации, сотрудником которого является владелец СКП (Приложение 3).

- при отсутствии - 0 (цифра ноль 0x30 Код Windows-1251).

7.4. E (OID.1.2.840.113549.1.9.1) - обязательно к заполнению. Должен быть записан один из вариантов:

- действующий адрес электронной почты владельца СКП (Приложение 4).

- при отсутствии - 0 (цифра ноль 0x30 Код Windows-1251).

7.5. O (OID.2.5.4.10) - обязательно к заполнению. Должен быть записан один из вариантов:

- для ЮЛ или ИП должно быть записано краткое название ЮЛ или ИП - владельца СКП в соответствии с ЕГРЮЛ (Приложение 5).

- при отсутствии - 0 (цифра ноль 0x30 Код Windows-1251).

7.6. C (OID.2.5.4.6) - обязательно к заполнению - должен быть записан двухсимвольный код страны, две прописные латинские буквы в соответствии с ISO 3166 (ISO 3166-1 alpha-2).

7.7. L (OID.2.5.4.7) - обязательно к заполнению. Должен быть записан один из вариантов:

- название города или населенного пункта, где зарегистрированы ЮЛ, ИП или ФЛ (Приложение 6).

- при отсутствии - 0 (цифра ноль 0x30 Код Windows-1251).

7.8. S (OID.2.5.4.8) - обязательно к заполнению. Должен быть записан один из вариантов:

- название региона, где зарегистрированы ЮЛ, ИП или ФЛ (Приложение 7).

- при отсутствии - 0 (цифра ноль 0x30 Код Windows-1251).

7.9. T (OID.2.5.4.12) - обязательно к заполнению. Должен быть записан один из вариантов:

- для ЮЛ должность владельца СКП (Приложение 9).

- при отсутствии - 0 (цифра ноль 0x30 Код Windows-1251).

7.10. SN (OID.2.5.4.5) - не обязательно к заполнению - указывается серийный номер имени владельца сертификата (для обеспечения различимости имен владельцев СКП, если их Фамилии Имя и Отчество полностью совпадают). Для заполнения использовать цифры: 1, 2 и т.д.

Примечание. Каждое поле в DN, описанное в п. п. 7.1 - 7.10, допускается использовать только 1 раз. УЦ могут использовать дополнительные поля, если это не противоречит RFC, однако эти поля не будут обрабатываться в ИРУЦ.

8. Открытый ключ (subjectPublicKeyInfo):

8.1. Атрибут AlgorithmIdentifier поле algorithm - идентификатор алгоритма открытого ключа по ГОСТ Р 34.10-2001 (OID.1.2.643.2.2.19, в соответствии с RFC4491).

8.2. Атрибут AlgorithmIdentifier поле parameters - два параметра с OID.1.2.643.2.2.36.0 и OID.1.2.643.2.2.30.1 (в соответствии с RFC4491).

8.3. Для Корневого СКП Организатора Сети ДУЦ и Кросс СКП ДУЦ значение поля parameters формируется в соответствии с RFC4491.

8.4. Атрибут subjectPublicKey - открытый ключ.

9. Расширение extKeyUsage (OID.2.5.29.37) - расширенное использование ключа - должно содержать идентификатор использования "Защищенная электронная почта" (OID.1.3.6.1.5.5.7.3.4). Также сюда могут быть добавлены другие идентификаторы использования по усмотрению ДУЦ, но при этом это расширение должно содержать не более 100 элементов.

Для Корневого СКП Организатора Сети ДУЦ и Кросс СКП ДУЦ расширение extKeyUsage может отсутствовать.

10. Расширение subjectKeyIdentifier (OID.2.5.29.14) - идентификатор ключа субъекта - должно содержать идентификатор открытого ключа в СКП в виде уникальной последовательности, формируемой в соответствие с RFC.

11. Расширение authorityKeyIdentifier (OID.2.5.29.35 или OID.2.5.29.1) - идентификатор ключа центра сертификатов - должно быть заполнено поле keyIdentifier значением расширения subjectKeyIdentifier в СКП издателя. OID.2.5.29.1 является устаревшим, для всех вновь выдаваемых СКП его использовать не разрешается.

Примечание. Для Корневого СКП Организатора Сети ДУЦ расширение authorityKeyIdentifier может отсутствовать.

Поля authorityCertIssuer и authorityCertSerialNumber могут отсутствовать в расширении, но если они заполнены, то должны содержать:

- authorityCertIssuer - DN Субъекта из СКП Издателя.

- authorityCertSerialNumber - Серийный номер из СКП издателя.

12. Расширение keyUsage (OID.2.5.29.15) - использование ключа:

12.1. Для конечных СКП должны быть установлены в 1 биты:

- 0 (цифровая подпись) или 1 (неотрекаемость) или оба, и 2 (шифрование ключей);

- биты 5 (подпись СКП) и 6 (подпись СОС) должны быть установлены в 0.

12.2. Для Корневого СКП Организатора Системы и Кросс СКП ДУЦ биты 5 (подпись СКП) и 6 (подпись СОС) должны быть установлены в 1.

12.3. Остальные биты должны заполняться в соответствии с рекомендациями RFC.

13. Расширение cRLDistributionPoints (OID.2.5.29.31) - точка распределения списка отзыва - должно содержать валидный путь к файлу CRL (ссылка на файл в Интернет по протоколу http). По этой ссылке УЦ, выдавший СКП, должен обеспечить круглосуточный доступ к валидному файлу CRL.

Примечание. Для Корневого СКП Организатора Сети ДУЦ расширение cRLDistributionPoints может отсутствовать.

Не позднее чем за 1 час до истечения старого CRL должен быть выпущен новый CRL и файл по ссылке в cRLDistributionPoints должен быть заменен этим новым CRL.

14. Расширение FreshestCRL (OID.2.5.29.46) - точка распределения дельты списка отзыва - должно содержать валидный путь к файлу дельты CRL (ссылка на файл в Интернет по протоколу http). По этой ссылке УЦ, выдавший СКП, должен обеспечить круглосуточный доступ к валидному файлу дельты CRL.

Примечание. Это расширение является необязательным и должно добавляться в СКП, только если ДУЦ выпускает дельты CRL.

Примечание. Для Корневого СКП Организатора Сети ДУЦ расширение FreshestCRL может отсутствовать.

15. Расширение Certificate Policies (OID.2.5.29.32) - политики сертификата - в котором указываются только OID'ы, описывающие юридическую сферу применения СКП, и ссылку на ресурс, содержание которого поясняет используемые OID.

Формат заполнения этого расширения должен соответствовать рекомендациям RFC.

Указываемые OID информируют о следующем: квалификация подписи (директор, бухгалтер и т.д.), роль владельца СКП в информационных системах ФНС (НП, инспектор НО, уполномоченный представитель НП и т.д.), возможность пользоваться сервисами ИОН.

Идентификаторы политик назначаются по схеме, где каждая арка описывает признак применимости СКП (Приложение 11).

Количество политик в СКП не должно превышать 100 штук.

Остальные расширения могут содержать любые данные в соответствии с рекомендациями IETF RFC и ITU-T.

Размер файла СКП в формате base64 с тегами не должен превышать 8000 байт.