Интегрированные сети ISDN
Атрибуты CertificationRequest
Таблица 4.6.2.37. Атрибуты CertificationRequest
|
ССА, МСА или РСА |
Геополитический центр сертификации или СА платежной системы |
||||
Атрибут SET |
Сертификат подписи |
Подпись CRL |
Сертификат и подпись CRL |
||
KeyUsage |
X |
X |
X |
X |
X |
PrivateKeyUsagePeriod |
X |
X |
X |
X |
|
AdditionalPolicy |
O |
O |
O |
O |
O |
SubjectAltName |
O |
O |
O |
O |
O |
CertificateType |
X |
X |
X |
X |
X |
Tunneling |
X |
||||
Х – обязательный
O - опционный
При получении CertificationRequest СА должен проверить запрос и сформировать отклик в соответствии со следующей процедурой:
|
Шаг |
Действие |
|
1 |
Используя процедуру, определенную платежной системой, проверить аутентичность CertificationRequest |
|
2 |
Используя общедоступный ключ, присланный в запросе, проверить подпись |
|
3 |
Проверить, что уникальное имя субъекта (Distinguished Name) согласуется с форматом Certificate Subject Name |
|
4 |
Используя тип сертификата и атрибуты использования ключа, проверить, что имеются необходимые атрибуты (см. таблицу 4.6.2.37) |
|
5 |
Для сертификатов подписи проверить, что запрошенный PrivateKeyUsagePeriod находится в пределах допустимого диапазона пригодности по времени для подписывающего СА, и что дата notBefore в запрошенном PrivateKeyUsagePeriod находится в пределах допустимого для подписывающего СА. |
|
6 |
Если какая-либо из вышеперечисленных проверок не прошла, сертификат не будет сформирован. |
|
7 |
Если верификация прошла успешно, сертификат формируется с применением атрибутов, включенных в запрос. Сформированный сертификат помещается в соответствующую секцию SignedData. |
|
8 |
SignedData помещается в цифровой конверт и посылается отправителю запроса. Транспортные механизмы находятся вне зоны ответственности SET. |
