Интегрированные сети ISDN


Таблица Обязательные расширения сертификатов СА



Таблица 4.6.2.35. Обязательные расширения сертификатов СА

СА

Корневой центр сертификации

Расширение Х.509

Цифровая

подпись

Подпись

серти-фиката

Шифрова-ние ключа

Подпись

CRL

Подпись сертификата & CRL

AuthorityKeyIdentifier

Х

Х

Х

Х

Х

KeyUsage

Х

Х

Х

Х

Х

PrivateKeyUsagePeriod

Х

Х

 

Х

 

CertificatePolicies

Х

Х

Х

Х

Х

SubjectAltName

O

O

O

O

O

BasicConstraints

Х

Х

Х

Х

Х

IssuerAltName

O

O

O

O

O

Частное расширение

HashedRootKey

       

Х

CertificateType

Х

Х

Х

Х

Х

MerchantData

         

CardCertRequired

         

Tunneling

   

Х

   

SETExtensions

         

Каждый центр сертификации (за исключением MCA и CCA) поддерживает CRL и производит их рассылку. BCI (BrandCRLIdentifier), определенный SET, содержит список всех CRL в пределах данной платежной системы (Brand). Как только СА выпустит новый список CRL, соответствующий BCI актуализируется. Получение конечным пользователем BCI гарантирует, что устаревшие или скомпрометированные сертификаты не будут использованы. В CRL записываются серийные номера устаревших сертификатов. СА идентифицируется в CRL по своему уникальному имени, CRL подписывается рассылающим СА. Длина списка CRL со временем растет. Каждый СА CRL содержит в себе следующую информацию:

  • Номер CRL. Номера монотонно возрастают.
  • Список серийных номеров устаревших сертификатов.
  • Даты, когда конкретные сертификаты были признаны устаревшими.
  • Даты, когда был сформирован CRL и когда завершается срок его действия (замещается новым CRL).
  • Уникальное имя СА, который поддерживает данный CRL.
  • Эмитент и серийный номер сертификата СА, который используется для подписи данного CRL.

В таблице 4.6.2.36 определен формат полей CRL и ограничения для их значений (X.509).




Начало  Назад  Вперед