Обязательные расширения сертификатов СА

Таблица 4.6.2.35. Обязательные расширения сертификатов СА

	СА				Корневой центр сертификации
Расширение Х.509	Цифровая подпись	Подпись серти-фиката	Шифрова-ние ключа	Подпись CRL	Подпись сертификата & CRL
AuthorityKeyIdentifier	Х	Х	Х	Х	Х
KeyUsage	Х	Х	Х	Х	Х
PrivateKeyUsagePeriod	Х	Х		Х
CertificatePolicies	Х	Х	Х	Х	Х
SubjectAltName	O	O	O	O	O
BasicConstraints	Х	Х	Х	Х	Х
IssuerAltName	O	O	O	O	O
Частное расширение
HashedRootKey					Х
CertificateType	Х	Х	Х	Х	Х
MerchantData
CardCertRequired
Tunneling			Х
SETExtensions

Каждый центр сертификации (за исключением MCA и CCA) поддерживает CRL и производит их рассылку. BCI (BrandCRLIdentifier), определенный SET, содержит список всех CRL в пределах данной платежной системы (Brand). Как только СА выпустит новый список CRL, соответствующий BCI актуализируется. Получение конечным пользователем BCI гарантирует, что устаревшие или скомпрометированные сертификаты не будут использованы. В CRL записываются серийные номера устаревших сертификатов. СА идентифицируется в CRL по своему уникальному имени, CRL подписывается рассылающим СА. Длина списка CRL со временем растет. Каждый СА CRL содержит в себе следующую информацию:

Номер CRL. Номера монотонно возрастают.

Список серийных номеров устаревших сертификатов.

Даты, когда конкретные сертификаты были признаны устаревшими.

Даты, когда был сформирован CRL и когда завершается срок его действия (замещается новым CRL).

Уникальное имя СА, который поддерживает данный CRL.

Эмитент и серийный номер сертификата СА, который используется для подписи данного CRL.

В таблице 4.6.2.36 определен формат полей CRL и ограничения для их значений (X.509).

Содержание раздела