Интегрированные сети ISDN


Таблица Формат полей CRL и ограничения для их значений



Таблица 4.6.2.36. Формат полей CRL и ограничения для их значений

Имя поля

Формат и ограничения на значение

Описание

CRL.version (версия)

Целое; V2

Определяет версию CRL. В настоящее время =2.

CRL.signature

.algorithmIdentifier

OID и тип

Определяет алгоритм, использованный для подписи CRL

CRL.Issuer

Имя

Содержит DN субъекта для СА, который выпустил устаревший сертификат. Должен совпадать с именем субъекта в сертификате СА

CRL.thisUpdate

Время UTC

Определяет время, когда был сформирован CRL

CRL.nextUpdate

Время UTC

Определяет время, когда CRL устареет

CRL.revokedCertificate

.certSerialNumber

Целое

Номер по порядку устаревшего сертификата

CRL. RevokedCertificate

.revocationDate

Время UTC

Дата признания сертификата устаревшим

CRL. RevokedCertificate

.extensions

Расширения

Не используется в SET

CRL.extensions

Расширения

В этом поле используются два расширения: CRLNumber и AuthorityKeyIdentifier

Следующие СA должны поддерживать CRL в рамках SET:

  • корневой СА – для поддержки незапланированной замены корневых сертификатов или сертификатов СА платежных систем.
  • СА платежных систем – для поддержки незапланированной замены или прекращения действия сертификата, выданного центром сертификации платежной системы.
  • геополитические СА – для поддержки незапланированной замены сертификатов CCA, MCA или PCA.
  • CA расчетного центра - для поддержки незапланированной замены сертификатов ключевого обмена расчетного центра.

Расширение CRLNumber содержит одно целое число. Центр СА, подписывающий CRL, должен инкрементировать это число каждый раз при выпуске нового CRL.

При получении нового CRL должны проводиться следующие проверки:

1. Сначала проверяется подпись:

    • Используется AuthorityKeyIdentifier расширения CRL для контроля корректности сертификата подписи.
    • Расширение KeyUsage в сертификате подписи указывает на CRLsign(6)

2. IssuerDN рассматриваемого сертификата должен соответствовать полю IssuerDN в CRL.

3. IssuerDN и устаревший certSerialNumber сравниваются с проверяемым сертификатом

Следующие проверки производятся для того, чтобы выяснить, не входит ли данный сертификат в список CRL:

      1. IssuerDN рассматриваемого сертификата должен соответствовать содержимому поля IssuerDN CRL
      2. certSerialNumber должно соответствовать значению поля revokedCertificates.certSerialNumber списка CRL.

Существующие CRL от одного и того же IssuerDN могут быть удалены, когда успешно прошел проверку CRL с более высоким значением CRLNumber.




Начало  Назад  Вперед