RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич

RFC 5280, Страница 28 из 108

4.2.1.5. Отображение политик сертификации

Это субполе «policyMappings» поля «Расширения» используется в сертификатах УЦ. В этом субполе содержатся одна или несколько пар OID. Каждая пара включает последовательности «issuerDomainPolicy» и «subjectDomainPolicy». Образование пар указывает на то, что выпускающий УЦ рассматривает политику сертификации в своём сегменте «issuerDomainPolicy» как эквивалентную политике сертификации, проводимую УЦ в сегменте держателя сертификата «subjectDomainPolicy».

Пользователи выпускающих УЦ могут согласиться с политикой «issuerDomainPolicy» для определённых прикладных систем. Субполе «policyMappings» определяет перечень политик, связанных с УЦ владельца сертификата, которые могут рассматриваться как сопоставимые с политикой «issuerDomainPolicy».

Каждая указанная в субполе «policyMappings» политика «issuerDomainPolicy» также должна указываться в субполе «certificatePolicies» в рамках одного и того же сертификата. Политики сертификации не должны в обязательном порядке отображаться в особую политику сертификации «anyPolicy» или наоборот.

В целом, политики сертификации, которые представлены в последовательности «issuerDomainPolicy» субполя «policyMappings», не рассматриваются как политики для включения в последующие сертификаты на МС. В некоторых случаях, УЦ могут пожелать отобразить одну политику (p1) в другую (p2), но по-прежнему будут хотеть, чтобы политика «issuerDomainPolicy» (p1) рассматривалась как приемлемая для включения в последующие сертификаты. Такое событие может произойти, например, если УЦ находится в процессе переходного периода, т.е. переходит от использования политики p1 к использованию политики p2, и при этом имеет достоверные сертификаты, которые были выпущены в соответствие с каждой из политик. УЦ может указать на это путём включения двух субполей «policyMappings» в сертификаты УЦ, которые он издал. Каждое субполе «policyMappings» могло бы включать политику «issuerDomainPolicy» из p1, одно субполе «policyMappings» могло бы включать политику «subjectDomainPolicy» из p1, а другое могло бы включать политику «subjectDomainPolicy» из p2.

Это субполе может применяться УЦ и/или прикладными системами. УЦ, придерживающиеся данного стандарта, обязаны помечать данное субполе как «критичное» («critical»).

id-ce-policyMappings OBJECT IDENTIFIER ::=  { id-ce 33 }
PolicyMappings ::= SEQUENCE SIZE (1..MAX) OF SEQUENCE {
     issuerDomainPolicy      CertPolicyId,
     subjectDomainPolicy     CertPolicyId }

Страница 28 из 108

2007 - 2022 © Русские переводы RFC, IETF, ISOC.