Интегрированные сети ISDN


Рассылка CRL



Рассылка CRL



CRL представляет собой механизм, определенный Х.509, и предназначенный для публикации и рассылки списков выведенных из употребления сертификатов, срок действия которых еще не истек. Когда корневой СА актуализует свой CRL, он посылает его каждому центру сертификации платежной системы. Когда нижерасположенный центр сертификации актуализует свой CRL, он рассылает его своим СА платежных систем. CRL рассылаются в секции SignedData сообщений CRLNotification согласно следующему алгоритму.

Шаг

Действие

1

Сформировать CRLNotificationTBS:

  • Занести в поле данные текущую дату
  • Занести в CRLThumbprint оттиск, несущий в себе CRL

2

Подписать содержимое, используя сертификат подписи СА. Установить тип содержимого равным id-set-content-CRLNotificationTBS

3

Внести новый CRL в CRL-секцию SignedData. Вложить CRL в сертификационную секцию сообщения.

4

Закодировать и вложить в цифровой конверт подписанное сообщение CRLNotification. Следует заметить, что это не SET-сообщение. SignedData подвергается DER-кодированию и вкладывается в цифровой конверт MIME.

CRL-Notification-сообщение содержит следующие поля:

Название поля

Описание

CRL-Notification

S(CA, CRLNotificationTBS)

CRL-NotificationTBS

{Date, CRLThumbprint}

Дата

Дата, когда сформировано сообщение

CRLThumbprint

Оттиск CRL, заключенный в CRL-секцию SignedData

При получении сообщения CRL Notification СА платежной системы проверяет и анализирует его следующим образом:

Шаг

Действие

1

Если дата раньше, чем для любого предыдущего CRL, полученного от этого СА, сообщение проигнорировать и откликнуться отправившему СА сообщением Error c кодом ошибки badDate.

2

Если CRL-оттиск не согласуется с тем, который записан в CRL-секции SignedData, сообщение проигнорировать и откликнуться отправившему СА сообщением Error c кодом thumbMismatch.

3

Запомнить модифицированный CRL и послать СА платежной системы для добавления в последующее сообщение рассылки BCI.

CA платежной системы формирует отклик CRL Notification согласно следующему алгоритму:




Начало  Назад  Вперед