Интегрированные сети ISDN


Таблица Верификация сертификатов



Таблица 4.6.2.6. Верификация сертификатов

Шаг

Действие

1

Верифицировать каждый сертификат в цепи согласно правилам X.509

2

Проверить то, что расширения KeyUsage, CertificatePolicies, PriviteKeyUsage и AuthorityKeyIdentifier находятся в согласии c Х.509.

3

Если получено новое значение BCI:

а. Проверить его подпись, используя сертификат CRL центра сертификации платежной системы

б. Проверить, что BrandName в BCI соответствует тому, что проверено в цепочке сертификации

в. Проверить, что дата NotAfter меньше текущей даты

г. Проверить SequenceNum. Если оно больше чем SequenceNum из кэша BCI запомнить BCI и проверить, что все CRL, содержащиеся в BCI находятся в кэше CRL. Запомнить любой CRL, который пока нет в кэше

4

Провести верификацию для каждого нового полученного CRL,

5

Проверить каждый сертификат

4.6.2.1.1. Оттиски (Thumbprints)

Оттиски определяются путем вычисления хэш функции SHA-1, следуя кодировке DER ASN.1 структур:

  • UnsignedCertificate
  • UnsignedCertificateRevocationList
  • UnsignedBrandCRLIdentifier

Оттиск является тем же самым хэшем, который используется для подписи, верификации, CRL или BCI. Оттиски посылаются в сообщениях-запросах SET и могут игнорироваться получателем. Отправитель не обязан посылать все оттиски для всех сертификатов, CRL и BCI, имеющимся в его кэше, а только те, которые имеют отношение к конкретной паре сообщений запрос/отклик. Например, программа продавца не обязана посылать оттиски для всех держателей карт или всем платежным системам. Процедура отправки оттиска представлена в таблице 4.6.2.7.




Начало  Назад  Вперед