Читаем Инфраструктуры открытых ключей полностью

К содержанию сертификата УЦ, используемого в среде нескольких корпоративных PKI, предъявляются практически те же требования, что и к содержанию сертификата УЦ корпоративной PKI, за исключением двух пунктов, касающихся соответствия политик и ограничений на имена [70]. В сертификате УЦ, который участвует во взаимодействии между разными корпоративными PKI, необходимо:

1 задавать дополнение Policy Mappings (соответствие политик) как некритичное и устанавливать в нем только соответствие политик издателя, которые указаны в дополнении Certificate Policies ;

2 задавать дополнение Name constraints (ограничения на имена) как критичное. Исключать поддеревья в иерархии отличительных имен, соответствующие локальному пространству имен каждой PKI. Это позволяет субъекту одной PKI не принимать сертификаты другой PKI, которые содержат локальные имена.

В соответствии с требованиями конкретной локальной среды в сертификате могут указываться и другие дополнения, они должны быть помечены как некритичные.

К содержанию сертификатов мостовых удостоверяющих центров применимо большинство требований, характерных для сертификатов удостоверяющих центров, используемых при взаимодействии разных PKI. Но поскольку пространства имен, поддерживаемые мостовым УЦ, не прогнозируемы, в дополнении "ограничения на имена" не должны указываться разрешенные поддеревья иерархии имен, а в дополнении Basic Constraints (основные ограничения) значение длины пути не должно задаваться до тех пор, пока не будет спрогнозирована длина пути сертификации.

Самоподписанные (самоизданные) сертификаты образуют специальный тип сертификатов УЦ, в которых издатель сертификата является одновременно субъектом сертификата. Эти сертификаты используются в PKI для установления пунктов доверия, распространения нового открытого ключа подписи УЦ и изменения политик применения сертификатов.

Самоподписанные сертификаты являются сертификатами только в том смысле, что имеют формат сертификата стандарта X.509. Подпись на самоподписанном сертификате подтверждает только то, что у издателя есть открытый и секретный ключи, и ничего более - ничего имеющего отношение к содержанию сертификата. Пользователь может доверять самоподписанному сертификату только тогда, когда получил его защищенным способом, гарантирующим подлинность источника - данного УЦ.

Самоподписанные сертификаты должны иметь формат X.509 v1 и не содержать дополнений, поскольку в этом нет необходимости. В такие сертификаты пока не включается информация о политиках применения сертификатов, особенно в сертификаты головного УЦ иерархической PKI. Так как изменения в наборе политик отражаются на валидности пути сертификации, можно ожидать, что в будущем самоподписанные сертификаты будут иметь формат X.509 v3 и устанавливать пункты доверия с учетом политик применения сертификатов.

Чтобы ввести в действие новый сертификат или ключ подписи САС, УЦ выпускает пару сертификатов обновления ключа. Первый сертификат содержит старый открытый ключ и подписывается новым секретным ключом. Второй сертификат содержит новый открытый ключ и подписывается старым секретным ключом. Таким образом, пользователи сертификатов, подписанных старым секретным ключом, и пользователи сертификатов, подписанных новым секретным ключом, могут проверять валидность сертификатов друг друга. В обоих сертификатах обновления имена издателя и субъекта совпадают, оба сертификата принадлежат УЦ одной и той же корпоративной PKI. Таблица 7.1 иллюстрирует некоторые отличия профилей этих сертификатов от нормального профиля сертификата УЦ [128].

Старый сертификат УЦ, подписанный новым ключом, позволяет пользователям сертификатов, подписанных новым секретным ключом, строить валидный путь сертификации к сертификатам, подписанным старым секретным ключом.

Новый сертификат УЦ, подписанный старым ключом, дает возможность пользователям сертификатов, подписанных старым секретным ключом, строить валидный путь сертификации к сертификатам, подписанным новым секретным ключом.