Решение Коллегии Евразийской экономической комиссии от 09.07.2018 N 110 "Об удостоверяющем центре Евразийской экономической комиссии" (вместе с "Положением об удостоверяющем центре Евразийской экономической комиссии")

7.1. Структура сертификата

Структура сертификатов соответствует требованиям к сертификатам ключей проверки электронной цифровой подписи, утверждаемым Комиссией.

Все издаваемые сертификаты содержат следующие базовые поля:

Serial Number - уникальный серийный (регистрационный) номер сертификата в реестре сертификатов УЦ Комиссии;

Signature Algorithm - объектный идентификатор алгоритма, используемого для подписи сертификата;

Issuer - отличительное имя ЦС УЦ Комиссии;

Valid From - дата начала действия сертификата;

Valid To - дата окончания действия сертификата;

Subject - идентификационные данные Владельца сертификата или автоматизированной системы Комиссии;

Subject Public Key - ключ проверки ЭЦП Владельца сертификата или автоматизированной системы Комиссии;

Version - версия структуры сертификата формата X.509;

Signature - ЭЦП Уполномоченного лица УЦ Комиссии.

7.1.1. Номер версии

Версия издаваемых сертификатов не ниже 3.

7.1.2. Расширения сертификата

В издаваемых сертификатах могут использоваться только перечисленные в данном разделе расширения. В случае если значение какого-либо поля (флага) перечисленных расширений не определено настоящим Регламентом, УЦ Комиссии вправе определить значение данного поля для издаваемых сертификатов в соответствии с требованиями X.509 и RFC 5280.

Authority Key Identifier

Данное расширение обязательно для всех сертификатов, за исключением самоподписанных (сертификатов ЦС УЦ Комиссии), и является некритическим. Это расширение должно обязательно содержать поле keyIdentifier, в котором содержится идентификатор ключа проверки ЭЦП ЦС УЦ Комиссии. Остальные поля не обязательны.

Subject Key Identifier

Данное расширение должно присутствовать во всех сертификатах, являться некритическим и содержит идентификатор ключа проверки ЭЦП Владельца сертификата или автоматизированной системы Комиссии.

KeyUsage

Данное расширение должно присутствовать во всех сертификатах и быть критическим.

Значение полей расширения KeyUsage:

Смещение битовой маски

Поле

Сертификат Уполномоченного лица УЦ

Сертификаты OCSP-службы и TSP-службы

Сертификаты членов Коллегии Комиссии, должностных лиц и сотрудников Комиссии

Описание

0

digitalSignature

0

0/1

0/1

ЭЦП

1

nonRepudiation

0

0/1

0/1

Неотрекаемость от авторства

2

keyEncipherment

0

0/1

0/1

Шифрование ключей

3

dataEncipherment

0

0/1

0/1

Шифрование данных

4

keyAgreement

0

0/1

0/1

Согласование ключей

5

keyCertSign

1

0

0

ЭЦП сертификатов

6

CRLSign

1

0

0

ЭЦП СОС

7

encipherOnly

0

0/1

0/1

Зашифрование

8

decipherOnly

0

0/1

0/1

Расшифрование

Certificate Policies

Данное расширение должно присутствовать в каждом сертификате, выпущенном УЦ Комиссии, содержать объектный идентификатор политики применения сертификатов, в соответствии с которой данный сертификат выдан. Идентификаторы политик применения сертификатов используются в соответствии с разделами 7.1.6 и 7.1.7 настоящего Регламента. Расширение является некритическим.

Basic Constraints

Расширение должно содержится сертификате ЦС УЦ Комиссии и является критическим. Значение флага cA установлено в 1 (true). Расширение сертификата ЦС УЦ Комиссии также содержит поле pathLenConstraint, значение которого установлено в 0 (ноль).

Name Constraints

Используется в соответствии с разделом 3.1 настоящего Регламента.

Policy Constraints

Используется в соответствии с разделом 7.1.7 настоящего Регламента.

CRL Distribution Points

Данное расширение должно содержаться во всех сертификатах членов Коллегии Комиссии, должностных лиц, сотрудников Комиссии и автоматизированных систем Комиссии, быть некритическим и содержать список точек распространения СОС. Список точек распространения СОС приведен в разделе 4.10.2 настоящего Регламента.

Authority Information Access

Расширение должно присутствовать во всех сертификатах, быть некритическим и содержать URL-адрес точки публикации сертификата ЦС УЦ Комиссии в соответствии с разделом 6.2.4 настоящего Регламента и URL-адрес OCSP-службы УЦ Комиссии в соответствии с разделом 4.9.9 настоящего Регламента.

Extended Key Usage

Данное расширение присутствует в сертификатах и является некритическим.

Расширение содержит объектные идентификаторы областей использования сертификатов, предусмотренных политикой применения сертификатов, в соответствии с которой выпущен сертификат.

7.1.3. Объектные идентификаторы криптографических алгоритмов

Все участники ИОК должны использовать в своей работе криптографические алгоритмы с объектными идентификаторами, соответствующими RFC 3279, RFC 7091.

7.1.4. Формы имен

В сертификате поля идентификационных данных Уполномоченного лица УЦ Комиссии и Владельца сертификата содержат атрибуты имени формата X.500.

7.1.5. Ограничения имен

Обязательными атрибутами поля идентификационных данных Уполномоченного лица УЦ являются:

Common Name - Псевдоним ЦС УЦ Комиссии;

Organization - Евразийская Экономическая Комиссия;

Organization Unit - УЦ Евразийской экономической комиссии;

Country - буквенный код страны пребывания Комиссии (например, RU)

Email - ca-info@eecommission.org

Обязательные атрибуты поля идентификационных данных Владельца сертификата устанавливаются политикой применения сертификатов, в соответствии с которой выпускается сертификат.

7.1.6. Объектные идентификаторы применяемых политик применения сертификатов

Объектные идентификаторы политик применения сертификатов перечислены в приложении N 2 настоящего Регламента. В сертификате Уполномоченного лица УЦ может использоваться OID 2.5.29.32.0, обозначающий любую политику применения сертификатов.

7.1.7. Использование расширения Policy Constraints

Нет условий.

7.1.8. Семантика и синтаксис квалификаторов политики

Нет условий.

7.1.9. Обработка семантики критического расширения Certificate Policies

Нет условий.

7. Структура сертификатов, СОС, OCSP-ответов и TSP-ответов 7.2. Структура списков отозванных сертификатов