Сертификаты устройств беспроводной связи. Эти сертификаты предназначены для поддержки функциональности SSL-типа применительно к небольшим устройствам и процессорам. В качестве примера можно привести краткосрочные сертификаты WTLS (Wireless Transport Layer Security). На базе основного SSL-сертификата программной системой промежуточного слоя выпускаются временные сертификаты для конечных устройств. Когда основной сертификат аннулируется или заканчивается его срок действия, ПО промежуточного слоя приостанавливает выпуск следующих сертификатов.
SSL-сертификаты. Эти сертификаты генерируются Web-сервером и используются для связывания адреса и программного обеспечения определенного Web-сервера. Сертификаты не только обеспечивают SSL-туннель к обращающемуся с запросом браузеру клиента, но и позволяют определять, принадлежит ли данный унифицированный указатель ресурсов (URL) той организации, которая предъявляет этот URL хосту. Недавно появилась возможность реализовать концепцию "распределенных сертификатов", согласно которой один SSL-сертификат может распределяться между несколькими машинами Web-сервера.
Для поддержки онлайновых приложений в профиль сертификата компьютерной системы включается информация об именах. К содержанию сертификата системы предъявляются те же требования, что и к содержанию сертификата пользователя, за исключением того, что дополнение Subject Alternative Name в качестве альтернативного имени должно задавать DNS-имя компьютера ( dNSname ) или IP-адрес ( iPAddress ), если система является маршрутизатором. Кроме этого, дополнение Extended Key Usage (расширенное назначение ключа) должно задаваться как некритичное, если система является web-сервером, поддерживающим протоколы SSL или TLS, или маршрутизатором, поддерживающим протокол IPsec.
В соответствии с требованиями конкретной локальной среды в сертификате могут указываться и другие дополнения, которые должны быть помечены как некритичные.
Сертификаты удостоверяющих центров
Эти сертификаты выпускаются для субъектов, являющихся удостоверяющими центрами, и образуют узлы пути сертификации [123]. Открытые ключи в этих сертификатах используются для верификации цифровых подписей на сертификатах других субъектов или списках САС. Сертификаты должны предоставлять пользователям информацию, достаточную для построения путей сертификации и локальных списков САС. Субъектом сертификата может быть УЦ внутри данной корпоративной PKI, УЦ внешней корпоративной PKI и мостовой УЦ. Рекомендуемые профили сертификатов варьируются в зависимости от типа субъекта.
Сертификаты удостоверяющих центров корпоративной PKI
Сертификаты удостоверяющих центров корпоративной PKI распространяют простые отношения доверия. Информация о политике применения сертификатов содержится в некритичном дополнении, чтобы позволить легальным субъектам свободно принимать сертификаты друг друга. Соответствие политик устанавливать не обязательно, так как удостоверяющие центры издателя и субъекта находятся в одной и той же организации. Поскольку отношения доверия практически не ограничиваются, в этих сертификатах не задаются ограничения на политики и имена. В содержании сертификата УЦ корпоративной PKI рекомендуется [70]:
1 использовать в качестве имени субъекта отличительное имя (отличительное имя стандарта X.500 или DNS-имя); имя субъекта должно быть образовано только из рекомендуемых атрибутов имен каталогов, а любая часть имени субъекта, совпадающая с именем издателя, должна быть задана тем же типом строки;
2 устанавливать срок действия, начинающийся с момента выпуска сертификата и заканчивающийся тогда, когда истекает срок действия всех сертификатов, цифровые подписи которых могут быть проверены при помощи ключа в данном сертификате. Нежелательно устанавливать срок действия свыше 5 лет;
3 не использовать открытые ключи, связанные с алгоритмами Диффи-Хэллмана, эллиптических кривых Диффи-Хэллмана и обмена ключами; если используется RSA-ключ, то в качестве его назначения не должна указываться транспортировка ключей;
4 задавать дополнение Basic Constraints (основные ограничения) как критичное; устанавливать параметр cA в значение TRUE ; если корпоративная PKI является иерархической, то указывать значение длины пути;
5 задавать дополнение Key Usage (назначение ключа) как критичное, указывать значения: подписание сертификата открытого ключа и подписание САС;
6 задавать дополнение Certificate Policies (политики применения сертификатов) как некритичное; в нем должны быть перечислены все политики, которые УЦ субъекта может включать в подчиненные сертификаты; перечисленные политики не должны содержать никаких спецификаторов;
7 задавать дополнение Subject Key Identifier (идентификатор ключа субъекта) как некритичное; его значение должно сравниваться со значением дополнения Authority Key Identifier (идентификатор ключа УЦ) в сертификатах, изданных УЦ субъекта;
8 задавать дополнение Subject Information Access (доступ к информации о субъекте) как некритичное и указывать репозиторий, который содержит сертификаты, изданные субъектом.
В соответствии с требованиями конкретной локальной среды сертификат может содержать и другие дополнения, они должны быть помечены как некритичные.
Сертификаты удостоверяющих центров в среде нескольких корпоративных PKI
Более сложные отношения доверия отражают сертификаты удостоверяющих центров, которые участвуют во взаимодействии между разными корпоративными PKI. Информация о политике применения сертификатов содержится в некритичном дополнении, чтобы легальные инфраструктуры могли свободно принимать сертификаты друг друга. Для согласования политик разных корпоративных PKI необходимо указывать информацию о соответствии политик. Для защиты пространства имен используются ограничения на имена.
К содержанию сертификата УЦ, используемого в среде нескольких корпоративных PKI, предъявляются практически те же требования, что и к содержанию сертификата УЦ корпоративной PKI, за исключением двух пунктов, касающихся соответствия политик и ограничений на имена [70]. В сертификате УЦ, который участвует во взаимодействии между разными корпоративными PKI, необходимо:
1 задавать дополнение Policy Mappings (соответствие политик) как некритичное и устанавливать в нем только соответствие политик издателя, которые указаны в дополнении Certificate Policies ;
2 задавать дополнение Name constraints (ограничения на имена) как критичное. Исключать поддеревья в иерархии отличительных имен, соответствующие локальному пространству имен каждой PKI. Это позволяет субъекту одной PKI не принимать сертификаты другой PKI, которые содержат локальные имена.
В соответствии с требованиями конкретной локальной среды в сертификате могут указываться и другие дополнения, они должны быть помечены как некритичные.
Сертификаты мостовых удостоверяющих центров
К содержанию сертификатов мостовых удостоверяющих центров применимо большинство требований, характерных для сертификатов удостоверяющих центров, используемых при взаимодействии разных PKI. Но поскольку пространства имен, поддерживаемые мостовым УЦ, не прогнозируемы, в дополнении "ограничения на имена" не должны указываться разрешенные поддеревья иерархии имен, а в дополнении Basic Constraints (основные ограничения) значение длины пути не должно задаваться до тех пор, пока не будет спрогнозирована длина пути сертификации.