Расширения сертификата
Имеются некоторые ограничения при работе с расширениями сертификата (Extensions), которые помечены как критичные. В Таблица 1 приведен список расширений сертификата, которые будут распознаваться и обрабатываться Продуктом, если у них установлен признак критичности TRUE. Если в сертификате присутствуют другие расширения, имеющие признак криптичности TRUE и не указанные в таблице, такой сертификат не используется. Если же расширение отсутствует в таблице, но является некритичным, то оно игнорируется, а сертификат используется для аутентификации.
Таблица 1
|
Name |
OID value |
|
Subject Key Identifier |
2.5.29.14 |
|
Key Usage |
2.5.29.15 |
|
Subject Alternative Name |
2.5.29.17 |
|
Issuer Alternative Name |
2.5.29.18 |
|
Basic Constraints |
2.5.29.19 |
|
Name Constraints |
2.5.29.30 |
|
CRL Distribution Points |
2.5.29.31 |
|
Authority Key Identifier |
2.5.29.35 |
Описания значений и полный список Certificate Extensions можно посмотреть в документе RFC 5280 (http://tools.ietf.org/html/rfc5280#section-4.2).
Можно изменить реакцию Продукта на отдельные расширения сертификата, помеченные как критичные и отсутствующие в вышеприведенной таблице. Администратор может настроить список расширений сертификата, который будут игнорироваться Продуктом, как если бы эти расширения являлись некритичными. Эти расширения надо описать в файле x509opts.ini, который расположен в корневой папке установленного административного пакета. Расширения описываются в секции IgnoringUnsupportedCriticalExtentions.
Игнорируемое Critical Extention задается в формате <KEY>=<OID>, где:
<KEY> – имя расширения, состоящее из букв и цифр и не содержащее разделителей, должно быть уникальным в передах секции;
<OID> – OID игнорируемого расширения, состоящий из десятичных чисел, разделенных точками. Распознавание расширения происходит по OID.
Пример файла x509opts.ini:
[IgnoringUnsupportedCriticalExtentions]
!!
! Key name is any Alpha-Numerical well-known name of OID
! Key names of different OIDs cannot match
!!
subjectDirectoryAttributes=2.5.29.9
CertificatePolicies=2.5.29.32
QcStatements=1.3.6.1.5.5.7.1.3
HcRole=1.0.21091.2.0.5
Примечание 1: следует подчеркнуть, что таким образом нельзя проигнорировать распознаваемые Продуктом Critical Extentions, например BasicConstraints.
Примечание 2: секция IgnoringUnsupportedCriticalExtentions, даже пустая, обязательно должна присутствовать в файле x509opts.ini.