Не позднее чем за 1 час до истечения старого CRL должен быть выпущен новый CRL и файл по ссылке в cRLDistributionPoints должен быть заменен этим новым CRL.
14. Расширение FreshestCRL (OID.2.5.29.46) - точка распределения дельты списка отзыва - должно содержать валидный путь к файлу дельты CRL (ссылка на файл в Интернет по протоколу http). По этой ссылке УЦ, выдавший СКП, должен обеспечить круглосуточный доступ к валидному файлу дельты CRL.
Примечание. Это расширение является необязательным и должно добавляться в СКП, только если ДУЦ выпускает дельты CRL.
Примечание. Для Корневого СКП Организатора Сети ДУЦ расширение FreshestCRL может отсутствовать.
15. Расширение Certificate Policies (OID.2.5.29.32) - политики сертификата - в котором указываются только OID'ы, описывающие юридическую сферу применения СКП, и ссылку на ресурс, содержание которого поясняет используемые OID.
Формат заполнения этого расширения должен соответствовать рекомендациям RFC.
Указываемые OID информируют о следующем: квалификация подписи (директор, бухгалтер и т.д.), роль владельца СКП в информационных системах ФНС (НП, инспектор НО, уполномоченный представитель НП и т.д.), возможность пользоваться сервисами ИОН.
Идентификаторы политик назначаются по схеме, где каждая арка описывает признак применимости СКП (Приложение 11).
Количество политик в СКП не должно превышать 100 штук.
Остальные расширения могут содержать любые данные в соответствии с рекомендациями IETF RFC и ITU-T.
Размер файла СКП в формате base64 с тегами не должен превышать 8000 байт.
Требования к СОС
Поля СОС должны заполняться в соответствии рекомендациям IETF RFC5280 и ITU-T x.509 (если не указано другое).
Размер файла СОС должен быть не более 250 Кбайт.
Для любого текста, используемого в СОС, разрешается использовать набор символов из Приложения 10.
Каждый СОС должен содержать следующие атрибуты и расширения:
1. Версия (version) - версия должна быть 2.
2. Издатель (issuer) - данные из поля субъект СКП издателя.
3. Дата издания СОС (thisUpdate).
4. Дата издания следующего СОС (nextUpdate).
5. Алгоритм подписи (signature) - должен содержать идентификатор алгоритма подписи ГОСТ Р 34.11-94/34.10-2001 (OID.1.2.643.2.2.3 в соответствии с RFC4491).
6. Расширение authorityKeyIdentifier (OID.2.5.29.35 или OID.2.5.29.1) - идентификатор ключа центра сертификатов - должно быть заполнено поле keyIdentifier значением расширения subjectKeyIdentifier в СКП издателя. OID.2.5.29.1 является устаревшим, для всех вновь выдаваемых СКП его использовать не разрешается.
Поля authorityCertIssuer и authorityCertSerialNumber могут отсутствовать в расширении, но если они заполнены, то должны содержать:
- authorityCertIssuer - DN Субъекта из СКП Издателя.
- authorityCertSerialNumber - Серийный номер из СКП издателя.
7. Номер СОС cRLNumber (OID.2.5.29.20) - порядковый номер, начинающийся с 1 и увеличивающийся каждый раз на 1 при выпуске нового СОС. Допускается формирование значения номера СОС и дельта СОС выполнять по правилу, описанному в rfc 5280: каждый последующий номер должен быть больше предыдущего и длинна номера должна быть не более 160 бит.
8. Индикатор дельты СОС deltaCRLIndicator (OID.2.5.29.27) критическое расширение - если в СОС присутствует это расширение, то СОС считается дельтой. Должен содержать номер, равный или меньший, чем номер основного СОС из расширения cRLNumber.
Остальные расширения могут содержать любые данные, сформированные в соответствии с рекомендациями IETF RFC и ITU-T.
Требования к построению цепочек доверия СКП и СОС
Цепочки доверия СКП и СОС строятся по равенствам данных в расширении subjectKeyIdentifier издателя и auth
> 1 2 ... 3 4 5 6 ... 19 20 21
Zaki.ru законы и право
поиск по сайту
каталог документов
добавить сайт Zaki.ru в избранное
Правовые акты международные
Правовые акты Российской Федерации
