Читаем Инфраструктуры открытых ключей полностью

УЦ выпускает сертификаты обновления политики, чтобы изменить домен политики. Предположим, что УЦ выпускает сертификаты в соответствии с политиками I и II. В связи с изменениями внутри организации планируется выпускать новые сертификаты в соответствии с политиками III, IV и V. При переходе к новым политикам УЦ желает гарантировать непрерывность работы своих пользователей. Даже если бы УЦ мог моментально выпустить новые сертификаты для всех пользователей, в том числе и внешних, то пользователям пришлось бы заняться переконфигурированием своих приложений, что помешало бы их работе. Поэтому при изменении политик выпускается пара сертификатов обновления политики. В данном примере первый сертификат задает политики I и II, устанавливая их соответствие политикам III, IV и V, а второй сертификат задает политики III, IV и V, устанавливая их соответствие политикам I и II.

|Содержание сертификата | Старый сертификат, подписанный новым ключом | Новый сертификат, подписанный старым ключом |

|Срок действия ключа | Начинается с выпуска сертификата и заканчивается после того, как истечет срок действия сертификатов, подписанных ранее старым секретным ключом | Начинается с выпуска сертификата и заканчивается после того, как истечет срок действия сертификатов, подписанных ранее старым секретным ключом |

|Открытый ключ субъекта | Старый ключ подписи | Новый ключ подписи |

|Дополнение Basi Constraints | Задается как некритичное; параметр cA принимает значение TRUE, но значение длины пути не указывается | Задается как некритичное; параметр cA принимает значение TRUE, но значение длины пути не указывается |

|Дополнение Authority Key Identifier | Задается как некритичное и относится к новому открытому ключу | Задается как некритичное и относится к старому открытому ключу |

|Дополнение Subject Key Identifier | Задается как некритичное и соответствует дополнению Authority Key Identifier в сертификатах, подписанных старым секретным ключом | Задается как некритичное и соответствует дополнению Authority Key Identifier в сертификатах, подписанных новым секретным ключом |

|Цифровая подпись | Генерируется при помощи нового секретного ключа | Генерируется при помощи старого секретного ключа |

Таблица 7.1.Особенности профилей старого и нового сертификатов обновления ключа

Обновление политик часто происходит вместе с обновлением ключа. Профиль сертификата обновления политики в целом совпадает с профилем сертификата, но имеет некоторые особенности [70].

Старый сертификат, подписанный новым ключом, позволяет пользователям сертификатов, изданных в соответствии с новой политикой, строить валидный путь сертификации к сертификатам, изданным в соответствии со старой политикой. Поскольку обновление политики является очень важным изменением, то, вероятно, одновременно будет выполняться обновление ключа. Дополнительные рекомендации относительно содержания сертификата следующие:

* дополнение Certificate Policies (политики применения сертификатов) задается как некритичное; в нем указываются все новые политики, которые УЦ устанавливает в сертификатах, подписываемых новым секретным ключом; эти политики не имеют спецификаторов;

* дополнение Policy Mappings (соответствие политик) задается как некритичное; оно определяет новые политики как политики домена издателя и устанавливает их соответствие старым политикам, заданным как политики домена субъекта.

Новый сертификат, подписанный старым ключом, позволяет пользователям сертификатов, изданных в соответствии со старой политикой, строить валидный путь сертификации к сертификатам, изданным в соответствии с новой политикой. Поскольку обновление политики является очень важным изменением, то, вероятно, одновременно будет выполняться обновление ключа. Дополнительные рекомендации относительно содержания сертификата следующие:

* дополнение Certificate Policies (политики применения сертификатов) задается как некритичное; в нем указываются все старые политики, которые были установлены в сертификатах, подписанных старым секретным ключом; эти политики не имеют спецификаторов;

* дополнение Policy Mappings (соответствие политик) задается как некритичное; оно определяет старые политики как политики домена издателя и устанавливает их соответствие новым политикам, заданным как политики домена субъекта.