Таблица 4.6.2.35. Обязательные расширения сертификатов СА
СА |
Корневой центр сертификации |
||||
Расширение Х.509 |
Цифровая подпись |
Подпись серти-фиката |
Шифрова-ние ключа |
Подпись CRL |
Подпись сертификата & CRL |
AuthorityKeyIdentifier |
Х |
Х |
Х |
Х |
Х |
KeyUsage |
Х |
Х |
Х |
Х |
Х |
PrivateKeyUsagePeriod |
Х |
Х |
Х |
||
CertificatePolicies |
Х |
Х |
Х |
Х |
Х |
SubjectAltName |
O |
O |
O |
O |
O |
BasicConstraints |
Х |
Х |
Х |
Х |
Х |
IssuerAltName |
O |
O |
O |
O |
O |
Частное расширение |
|||||
HashedRootKey |
Х |
||||
CertificateType |
Х |
Х |
Х |
Х |
Х |
MerchantData |
|||||
CardCertRequired |
|||||
Tunneling |
Х |
||||
SETExtensions |
Каждый центр сертификации (за исключением MCA и CCA) поддерживает CRL и производит их рассылку. BCI (BrandCRLIdentifier), определенный SET, содержит список всех CRL в пределах данной платежной системы (Brand). Как только СА выпустит новый список CRL, соответствующий BCI актуализируется. Получение конечным пользователем BCI гарантирует, что устаревшие или скомпрометированные сертификаты не будут использованы. В CRL записываются серийные номера устаревших сертификатов. СА идентифицируется в CRL по своему уникальному имени, CRL подписывается рассылающим СА. Длина списка CRL со временем растет. Каждый СА CRL содержит в себе следующую информацию:
В таблице 4.6.2.36 определен формат полей CRL и ограничения для их значений (X.509).