Минимальный сертификат состоит из Имени и Ключа Publi c. CA, который подписывает этот сертификат, утверждает, что названная сущность владеет закрытым ключом, который соответствует этому ключу Publi c.
В дополнение к этому сертификат может (и чаще всего должен) содержать дополнительную информацию , Примерами являются поля «Эмитент» и «Версия», а также «Использование ключа», «Расширенное использование ключа» и «Расширение альтернативного имени субъекта».
Профиль сертификата является определением дополнительной информации. Например, раздел 5.1.3.2 Использование ключа RF C 4945 говорит:
Ниже приводится сводка потока logi c для проверки сертификата равноправного узла:
Если расширение KU отсутствует, продолжайте.
Если присутствует KU и не упоминается digitalSignature или nonRepudiation (оба, в дополнение к другим KU, также штраф), отклонить сертификат.
В разделе 5.1.3.6 описывается дополнительное имя субъекта, ожидаемое для сертификатов IPSe c.
По сути, Профиль - это определение того, как сертификат должен быть сгенерирован для определенного варианта использования.
Вы можете определить свои собственные профили сертификата, но у вас должна быть очень веская причина для этого. Большинство вариантов использования были охвачены существующими профилями, поэтому вы можете в итоге заново изобрести колесо.
RF C 5280 определяет профили для сертификатов X.509 и CRL для использовать на Inte rnet. В нем указано, что ожидается от сертификата службами, работающими на Inte rnet (в отличие от других сетей, таких как X.25). Поля являются фиксированными (раздел 4.1), и он также определяет стандартные расширения. В дополнение к ним, вы также можете определить свои собственные расширения. Однако вам понадобятся центры сертификации, которые могут создавать сертификаты, и клиенты, которые понимают, что с ними делать.