rfc2459.txt

很多RFC的中文文档

    当主题公开密钥用于验证在证书上的签名使用的时候，keyCertSign位被断言。这位可
以仅在CA证书中被断言。

    当主题公开密钥用于验证有关撤销信息（例如一CRL）签名使用的时候，cRLSign位被
断言。

    encipherOnly位的意思是在没有keyAgreement位（缺席）时定义的。当encipherOnly
位被断言和keyAgreement位也被设定的时候，主题公开密钥可以仅用于将数据加密（加密）
被使用，同时履行密钥协议。

    decipherOnly位的意思是在没有keyAgreement位（缺席）时定义的。当decipherOnly
位被断言和keyAgreement位也被设定的时候，主题公开密钥可以仅用于译解出数据（解密）
被使用，同时履行密钥协议。

   	本文不限制在keyUsage扩展实例中那些位的结合。但是，在部分7.3中将指定适合值
作为为特定算法keyUsage扩展。

4.2.1.4私有密钥使用周期

   	本文推荐反对这扩展的使用。CAs遵从本文一定不（MUST NOT）要私有密钥使用周
期为关键扩展时产生证书。

   	私有密钥使用周期扩展允许证书发行者与证书相比，为私有密钥明确不同的有效性周
期。这扩展打算用于给数字的签名密钥的使用。这扩展由两个可选成分组成，notBefore和
notAfter。和证书联系起来的私有密钥不应该在两个成分指定的时间提前或者过后对对象签
名使用。CAs除非至少两个成分之一存在，遵从本文一定不（MUST NOT）要在私有密钥
使用周期扩展存在时产生证书。

  	使用的地方，如同在部分4.1.2.5.2中定义那样，描述为GeneralizedTime必须（MUST）
指定notBefore和notAfter。

   id-ce-privateKeyUsagePeriod OBJECT IDENTIFIER ::=  { id-ce 16 }

   PrivateKeyUsagePeriod ::= SEQUENCE {
        notBefore       [0]     GeneralizedTime OPTIONAL,
        notAfter        [1]     GeneralizedTime OPTIONAL }

4.2.1.5证书策略

   	证书策略扩展包含一连串的一个或多个策略信息条目，每一个由一对象标识符（OID）
和可选的限定语（组成）。这些策略信息条款指示在其之下证书被签发的策略和证书可以被
使用的目的。可以存在的可选的限定语不预期改变策略的定义。

   	预期随着特有策略需求的应用有那些他们将接受的策略的清单以及把在证书中策略
OIDs和那清单比较。如果这扩展是关键的，路径验证软件必须（MUST）是能理解这（包
含可选的限定语）扩展的，否则必须丢弃证书。

   	为促进双方的互操作性，本文推荐（RECOMMENDS）策略信息条目由仅一OID构成。
单独OID不足的地方，本文强烈建议在这部分中识别出那些限制使用限定语。

   	本文为经过证书策略书写者（writers）和证书发行者使用定义的两个策略限定语。限定
语类型是CPS  Pointer和User Notice 。

    CPS Pointer限定语含有一指向经过CA发布的（Certification Practice Statement）
证书实施声明（CPS）的指针。指针是URI的格式。

   	当证书被使用的时候，User notice将展示依靠部分。应用（软件）应该（SHOULD）在
所有的证书上展示所有的使用证书路径的用户注意（User notice），除了如果那个注意（notes）
被复制，仅一复制品需求被展示的情况下。为阻碍这样复制，这个限定语应该（SHOULD）
仅是存在于末端实体（end-entity）证书和签发给其它组织的CA证书中。

   	用户注意（user notice）有两个可选字段：noticeRef字段和explicitText字段。

    如果使用noticeRef字段通过数字（经过那组织准备的特殊原文的陈述）给一组织命名。
例如，它可以识别出组织"CertsRUs"和注意数字（notice number ）1。在一典型工具中，应
用（软件）将有一为含有当前一套注意（notices）CertsRUs文件：应用将从文件摘取注意文
本并且展示它。信息可以是用多种语言表达的允许软件为它的自己环境选择特定语言信息。

    explicitText字段在证书中直接包含原文的声明。explicitText字段是一个最大为200个字
符的字符串。

   	如果在noticeRef和explicitText两个可选项中包含在一个限定语内并且如果应用软件能
找到按照noticeRef可选项指示注意的文本，那么那文本应该被展示；除此之外，explicitText
字符应该被展示。

   id-ce-certificatePolicies OBJECT IDENTIFIER ::=  { id-ce 32 }

   certificatePolicies ::= SEQUENCE SIZE （1..MAX） OF PolicyInformation

   PolicyInformation ::= SEQUENCE {
        policyIdentifier   CertPolicyId,
        policyQualifiers   SEQUENCE SIZE （1..MAX） OF
                                PolicyQualifierInfo OPTIONAL }

   CertPolicyId ::= OBJECT IDENTIFIER

   PolicyQualifierInfo ::= SEQUENCE {
        policyQualifierId  PolicyQualifierId,
        qualifier          ANY DEFINED BY policyQualifierId }

   -- policyQualifierIds for Internet policy qualifiers

   id-qt          OBJECT IDENTIFIER ::=  { id-pkix 2 }
   id-qt-cps      OBJECT IDENTIFIER ::=  { id-qt 1 }
   id-qt-unotice  OBJECT IDENTIFIER ::=  { id-qt 2 }

   PolicyQualifierId ::=
        OBJECT IDENTIFIER （ id-qt-cps | id-qt-unotice ）

   Qualifier ::= CHOICE {
        cPSuri           CPSuri,
        userNotice       UserNotice }

   CPSuri ::= IA5String

   UserNotice ::= SEQUENCE {
        noticeRef        NoticeReference OPTIONAL,
        explicitText     DisplayText OPTIONAL}

   NoticeReference ::= SEQUENCE {
        organization     DisplayText,
        noticeNumbers    SEQUENCE OF INTEGER }

   DisplayText ::= CHOICE {
        visibleString    VisibleString  （SIZE （1..200））,
        bmpString        BMPString      （SIZE （1..200））,
        utf8String       UTF8String     （SIZE （1..200）） }

4.2.1.6策略映射

   	这扩展使用在CA证书中。它列出一对或多对OIDs；每一对包含issuerDomainPolicy和
subjectDomainPolicy。配对指示签发CA认为它的issuerDomainPolicy等于主题CA的
subjectDomainPolicy。

   	为特定应用签发CA的用户可以接受一issuerDomainPolicy。策略映射对发行与主题CA
相联系的策略的CA用户是可以与他们接受的策略相比较起作用。

   	这扩展可以被CAs和/或应用支持，并且它必须（MUST）是非关键的。

   id-ce-policyMappings OBJECT IDENTIFIER ::=  { id-ce 33 }

   PolicyMappings ::= SEQUENCE SIZE （1..MAX） OF SEQUENCE {
        issuerDomainPolicy      CertPolicyId,
        subjectDomainPolicy     CertPolicyId }

4.2.1.7主题可替换名字

   	主题可替换名字扩展允许附加与证书的主题相同的标识符。定义可选项包含Internet电
子邮件地址、DNS名字、IP地址和uniform resource identifier （URI）。其它可选项存在，
并且包含完全的本地定义。每一名字形式的多重名字形式和多重事例可以被包含。每当这样
相同的标识符是要被绑定成一张证书，主题可选名字（或者发行者可替换名字）扩展必须
（MUST）被使用。

   	因为主题可替换名字被认为是与公开密钥结合，主题可选名字所有的部分必须（MUST）
被CA验证。

   	进一步，如果在证书中仅包含有主题身份是一可替换名字形式（例如一电子邮件地址），
那么主题可识别名字必须（MUST）为空（一空序列）以及subjectAltName扩展必须（MUST）
存在。如果主题字段包含一空序列，subjectAltName扩展必须（MUST）是标记为关键。

   当subjectAltName扩展含有一Internet邮递地址的时候，地址必须（MUST）是作为一
rfc822Name包含。rfc822Name的格式是一" addr-spec "，如同在RFC 822[RFC 822]中定
义那样。addr-spec格式为" local-part@domain "。注意在addr-spec之前没有（例如一
通用名字）短语，在它之后没有comment （text surrounded in parentheses）并且没有
"<"和">"包围。注意在RFC 822 addr-spec中大写和小写体字符是允许的，这种情况不区分
大小写。

   	当subjectAltName扩展含有一iPAddress的时候，地址必须（MUST）是如同在RFC 
791[RFC 791]中指定那样，在"network byte order"八位字符中储藏。每一八位的最低有效位
（LSB）是在网络地址中相应字节的LSB。如同在RFC 791中指定的IP版本4那样，八位
字符必须（MUST）含有正好四个八位。如同在RFC 1883中指定的IP版本6那样，八位字
符必须（MUST）含有正好十六个八位[RFC 1883]。

   	当subjectAltName扩展含有一个域名服务标签的时候，域名必须（MUST）是在dNSName
（IA5String）中储藏。名字一定是如同经过RFC 1034[RFC 1034]指定那样，在" preferred name 
syntax "中。注意在域名中允许大写和小写体字符，并且在这种情况下不分大小写。另外“ ”
（空格）在域名中是一个合法的字符的同时，dNSName的subjectAltName扩展“ ” （空
格）是不允许的。最后，DNS代表Internet邮递地址 （以wpolk.nist.gov代替wpolk@nist.gov）
的使用是不允许的；这样的标识符是要作为rfc822Name被编码。

   	当subjectAltName扩展含有一URI的时候，名字必须（MUST）存储在
uniformResourceIdentifier（IA5String）中。名字必须（MUST）是无关的（non-relative） URL
并且必须（MUST）按照[RFC 1738] 定义的URL句法和编码规则。名字必须包含两种模式
（例如"http"或者"ftp"）和scheme-specific-part。scheme-specific-part必须包含作为主机完全
合格域名或者IP地址。

   	如同在[RFC 1738]定义的那样，模式（scheme）名字不是大小写敏感的（case-sensitive ）
（例如，"http"是等于"HTTP"）。主机部分也不是大小写敏感的，但是scheme-specific-part
的其它成分可以是大小写敏感的。当比较URIs的时候，保证工具必须（MUST）比较scheme
和主机而不管大小写，但是认为scheme-specific-part的剩下的部分是大小写敏感的。

   	主题可替换名字如同在部分4.2.1.11中描绘那样主题识别名字使用名字约束扩展同样的
方式被约束。

   	如果subjectAltName扩展存在，序列必须（MUST）含有至少一入口。不像主题字段，
使CAs遵照必须不（MUST NOT）颁发subjectAltNames含有空GeneralName字段的证书。
例如，把rfc822Name描述为IA5String。在一个空字符串是有效IA5String的同时，这样的
rfc822Name在本文不被允许。当客户（软件）加工一证书路径的时候，不由本文定义客户
（软件）的行为。

   	最后，包括通配符（例如，是为一套名字的占位符号）的主题替换名字语义学不在本文
说明。随着具体需求应用可以使用这样的名字，但是要定义语义学。

      id-ce-subjectAltName OBJECT IDENTIFIER ::=  { id-ce 17 }

      SubjectAltName ::= GeneralNames

      GeneralNames ::= SEQUENCE SIZE （1..MAX） OF GeneralName

      GeneralName ::= CHOICE {
           otherName                       [0]     OtherName,
           rfc822Name                      [1]     IA5String,
           dNSName                         [2]     IA5String,
           x400Address                     [3]     ORAddress,
           directoryName                   [4]     Name,
           ediPartyName                    [5]     EDIPartyName,
           uniformResourceIdentifier       [6]     IA5String,
           iPAddress                       [7]     OCTET STRING,
           registeredID                    [8]     OBJECT IDENTIFIER}

      OtherName ::= SEQUENCE {
           type-id    OBJECT IDENTIFIER,
           value      [0] EXPLICIT ANY DEFINED BY type-id }

      EDIPartyName ::= SEQUENCE {
           nameAssigner            [0]     DirectoryString OPTIONAL,
           partyName               [1]     DirectoryString }

4.2.1.8发行者可替换名字

   	和4.2.1.7一样，使用这扩展把Internet类型标识符和证书发行者联系起来。发行者可替
换名字必须（MUST）是4.2.1.7中描述的方式编码。

   	目前的情况，这扩展不应该（SHOULD NOT）被标记为关键。

      id-ce-issuerAltName OBJECT IDENTIFIER ::=  { id-ce 18 }

      IssuerAltName ::= GeneralNames

4.2.1.9主题目录服务系统属性

   	主题目录服务系统属性扩展不推荐