Читаем Инфраструктуры открытых ключей полностью

2) дата аннулирования;

3)дополненияточки входа в САС

|

|cRLExtensions | Дополнительная информация, характеризующая САС в целом |

|signatureAlgorithm | Идентификатор алгоритма цифровой подписи |

|signatureValue | Значение цифровой подписи (строка битов) |

Таблица 8.1.Структура списка аннулированных сертификатов X.509 v2

Необязательное поле Version при помощи номера версии задает синтаксис САС, это поле заполняется только в списке второй версии, поскольку в формате САС первой версии оно не представлено.

Поле Signature идентифицирует алгоритм цифровой подписи, который используется издателем САС при подписании списка. Это поле должно содержать тот же самый идентификатор алгоритма, задаваемый идентификатором объекта (OID), что и соответствующее поле Signature Algorithm в структуре, располагающейся в верхней части списка (см. выше).

Обязательное поле Issuer содержит отличительное имя издателя САС (в соответствии со стандартом X.500). Документ RFC 3280 [167] требует, чтобы это поле не было пустым, в нем указываются идентификационные признаки УЦ. Если УЦ делегирует некоторые или все функции по поддержке САС другому центру, то включает в выпускаемые сертификаты дополнение CRL Distribution Point. Issuer.

Поле This Update указывает дату выпуска текущего САС. Дата может быть представлена в одном из двух возможных форматов: в обобщенном формате времени или в формате скоординированного универсального времени UTC (Universal Coordinated Time). Издатель САС должен использовать формат UTC для дат до 2049 года включительно и обобщенный формат времени для дат после 2050 года.

Поле Next Update отображает дату выпуска следующего САС. Здесь также поддерживаются два формата времени. Следующий САС необходимо выпустить не позднее указанной даты. Издатель САС должен включать это поле в состав содержания САС, хотя формально оно не является обязательным.

Поле Revoked Certificates содержит перечень аннулированных сертификатов. Эта структура необязательна, но может отсутствовать только тогда, когда отсутствуют аннулированные сертификаты, срок действия которых не истек. В поле указываются:

* серийные номера аннулированных сертификатов user Certificate ;

* их даты аннулирования Revocation Date (в одном из двух форматов времени);

* необязательные дополнения точек входа в САС CRL Entry Extensions.

Каждый аннулированный сертификат является отдельным входом в САС. Сертификаты уникально идентифицируются комбинацией имени и серийного номера. Чаще всего издатель сертификата и издатель САС - это один и тот же УЦ, поэтому имя издателя указывается один раз и применяется ко всему списку серийных номеров. Если издатель САС и издатель сертификата - разные лица, то имя издателя указывается в паре с серийным номером каждого сертификата.

Поле CRL Extensions используется для включения дополнительной информации, характеризующей САС в целом.

Стандарт X.509 версии 1997 года [77] ввел в САС несколько дополнений - CRL Extensions. Каждое дополнение САС может быть помечено как критичное или некритичное. Валидация САС становится невозможной, если обнаруживается нераспознанное критичное дополнение. Однако такое дополнение может быть проигнорировано. Формат САС X.509 v2 допускает задание частных дополнений, позволяющих указывать специфическую для данного PKI-сообщества информацию. Версия 2000 года стандарта X.509 ввела важные изменения в формат САС по сравнению с версией 1997 года [78]. Стандартные дополнения САС приведены в табл. 8.2.

|Поле | Содержание |

|

authorityKeyIdentifier

.

keyIdentifier

.

authorityCertIssuer

.

authorityCertSerialNumber

|

Идентификатор открытого ключа

издателяСАС

значение дополненияSubject Key Identifier

из сертификата издателяСАС

основное или альтернативное имя

издателяСАС

серийный номер сертификата издателяСАС

|

|issuerAlternativeName | Альтернативные имена издателя САС |

|cRLNumber | Последовательность номеров всех списков САС, выпущенных данным издателем |

|cRLScope | Тип САС по признаку разбиения или области охвата |