Требования к составу сертификата ключа подписи

1. Общие требования

СКП представляет собой электронный сертификат, соответствующий международным рекомендациям X.509 версии 3, и содержит:

• стандартные поля сертификата версии 1;
• расширения сертификата;
• ·свойства сертификата.

2. Требования к составу и содержанию стандартных полей версии 1 сертификата

В состав стандартных полей версии 1 предоставляемого СКП входят следующие поля:

• поле «Версия»;
• поле «Серийный номер»;
• поле «Алгоритм подписи»;
• поле «Поставщик»;
• поле «Действителен с»;
• поле «Действителен по»;
• поле «Субъект»;
• поле «Открытый ключ».

2.1. Поле «Версия» (version) должна быть не ниже 3.

2.2. Поле «Серийный номер» (serialNumber) должно содержать серийный номер СКП, уникальный в пределах серийных номеров всех сертификатов, выданных центром сертификации УЦ, издавшего предоставляемый СКП.

2.3. Поле «Алгоритм подписи» (signature) должно содержать OID алгоритма «1.2.643.2.2.3» (ГОСТ Р 34.11/34.10-2001).

2.4. Поле «Поставщик» (issuer) должно содержать имя УЦ, издателя сертификата.

2.5. Поле «Субъект» должно содержать следующие компоненты имени и формироваться следующим образом:

• компонент «Общее имя» (CN, Common Name), содержащий фамилию, имя, отчество.

2.5.1. Формат CN

2.5.1.1. Длина текста не более 64 символов.

2.5.1.2. ФИО должно быть указано полностью так, как оно указано в документе, удостоверяющем личность владельца (например, паспорт). Формат:

• первое слово – Фамилия;
• 1 пробел;
• второе слово – Имя;
• 1 пробел;
• третье слово – Отчество;
• остальные слова (если есть) могут быть отнесены к отчеству, в зависимости от контекста обработки.

2.5.1.3. Каждое слово в тексте должно быть отделено одним пробелом.

2.5.1.4. Не разрешается использовать пробел в начале и в конце текста.

2.5.1.5. Разрешается использовать только один атрибут CN в DN субъекта.

2.5.2. Компонент «Должность» (T, Title), содержащий должность владельца сертификата для юридических лиц. Длина текста не более 64 символов.

2.5.3. Компонент «Подразделение» (OU, OrgUnit), содержащий подразделение организации владельца сертификата для юридических лиц. Длина текста не более 64 символов.

2.5.4. Компонент «Организация» (O, Organization), содержащий название организации владельца сертификата для юридических лиц. Длина текста не более 64 символов

2.5.5. Компонент «INN» (OID.1.2.643.3.131.1.1- обязательное заполнение для заявителей юридических лиц. Текст длиной 10 цифр для ЮЛ или 12 цифр для ИП и ФЛ. Должен быть записан один из вариантов:

• ИНН организации, сотрудником которой является владелец СКП.

2.5.6. Компонент «Неструктурированное имя» (UN) Для Кадастровых инженеров, содержащий номер аттестата кадастрового инженера.

2.5.7. Компонент «Город» (L, Locality), содержащий название населённого пункта, в котором расположена организация владельца сертификата. Длина текста не более 128 символов.

2.5.8. Компонент «Область/край» (S, State), содержащий название региона (при его наличии в почтовом адресе организации владельца сертификата). Длина текста не более 128 символов.

2.5.9. Компонент «Страна/регион» (С, Country), содержащее значение «RU».

2.5.10. Компонент «Электронная почта» (E, EMail), содержащее уникальный идентификатор владельца сертификата ключа подписи. Длина текста не более 255 символов.

3. Формат и правила формирования идентификатора владельца ключа подписи (E-Mail)

<А>@<B>.rosreestr.ru,

где:

- <B> - зарегистрированное доменное имя организации-владельца удостоверяющего центра, выдавшего сертификат ключа подписи;

- <А> - уникальный идентификатор владельца ключа подписи в границах данного удостоверяющего центра.

Уникальный идентификатор владельца заносится в поле Subject в атрибут «Электронная почта» (OID:1.2.840.113549.1.9.1) сертификата ключа подписи в виде записи:

E = <А>@<B>.rosreestr.ru

3.1. Поле «Действителен с» должно содержать дату начала срока действия сертификата в формате UTC.

3.2. Поле «Действителен по» должно содержать дату истечения срока действия сертификата в формате UTC.

3.3. Поле «Открытый ключ» должно содержать открытый ключ СКП, сформированный по алгоритму ГОСТ Р 34.11/34.10-2001 (OID 1.2.643.2.2.3).

3.4. Алгоритм подписи СКП должен соответствовать алгоритму формирования открытого ключа.

4. Требования к составу и содержанию расширений сертификата

В состав расширений предоставляемого СКП должны входить следующие расширения:

• расширение «Улучшенный ключ»;
• расширение «Идентификатор ключа субъекта»;
• расширение «Идентификатор ключа центра сертификатов»;
• расширение «Точки распространения списков отзыва»;
• расширение «Доступ к информации о центрах сертификации»;
• расширение «Использование ключа».

4.1. Расширение «Улучшенный ключ» (OID 2.5.29.37) должно содержать набор областей использования сертификата. Совокупность областей использования сертификата формируется согласно списку шаблонов запросов на сертификат (Приложение 6 к приказу).

4.2. Расширение «Точки распространения списков отзыва» (OID 2.5.29.31) должно содержать: URL адрес действительной точки распространения списка отозванных сертификатов по протоколу «http»

4.3. Расширение «Использование ключа» (OID 2.5.29.15) должно содержать следующие назначения ключа:

• цифровая подпись;
• неотрекаемость;
• шифрование ключей;
• шифрование данных.

5. Требования к СОС

Поля СОС должны заполняться в соответствии рекомендациям IETF RFC5280 и ITU-T x.509.