Интегрированные сети ISDN

         

Рассылка CRL


Рассылка CRL



CRL представляет собой механизм, определенный Х.509, и предназначенный для публикации и рассылки списков выведенных из употребления сертификатов, срок действия которых еще не истек. Когда корневой СА актуализует свой CRL, он посылает его каждому центру сертификации платежной системы. Когда нижерасположенный центр сертификации актуализует свой CRL, он рассылает его своим СА платежных систем. CRL рассылаются в секции SignedData сообщений CRLNotification согласно следующему алгоритму.



Шаг Действие
1 Сформировать CRLNotificationTBS:

  • Занести в поле данные текущую дату
  • Занести в CRLThumbprint оттиск, несущий в себе CRL

2 Подписать содержимое, используя сертификат подписи СА. Установить тип содержимого равным id-set-content-CRLNotificationTBS
3 Внести новый CRL в CRL-секцию SignedData. Вложить CRL в сертификационную секцию сообщения.
4 Закодировать и вложить в цифровой конверт подписанное сообщение CRLNotification. Следует заметить, что это не SET-сообщение. SignedData подвергается DER-кодированию и вкладывается в цифровой конверт MIME.

CRL-Notification-сообщение содержит следующие поля:

Название поля Описание
CRL-Notification

S(CA, CRLNotificationTBS)

CRL-NotificationTBS

{Date, CRLThumbprint}

Дата Дата, когда сформировано сообщение
CRLThumbprint Оттиск CRL, заключенный в CRL-секцию SignedData

При получении сообщения CRL Notification СА платежной системы проверяет и анализирует его следующим образом:

Шаг Действие
1 Если дата раньше, чем для любого предыдущего CRL, полученного от этого СА, сообщение проигнорировать и откликнуться отправившему СА сообщением Error c кодом ошибки badDate.
2 Если CRL-оттиск не согласуется с тем, который записан в CRL-секции SignedData, сообщение проигнорировать и откликнуться отправившему СА сообщением Error c кодом thumbMismatch.
3 Запомнить модифицированный CRL и послать СА платежной системы для добавления в последующее сообщение рассылки BCI.

CA платежной системы формирует отклик CRL Notification согласно следующему алгоритму:


Шаг Действие
1 Заполнить NotificationResTBS:

  • Вставить дату из сообщения CRLNotification


  • Вставить оттиск полученного CRL


2 Подписать содержимое, используя сертификат подписи центра сертификации платежной системы. Установить contenttype

равным id-set-content-CRLNotificationResTBS
3 Закодировать и вложить в цифровой конверт подписанное сообщение CRLNotificationRes в форме согласованной с транспортным механизмом. Послать сообщение отклика CRLNotification запросившему СА.
Сообщение-отклик CRLNotification содержит следующие поля.

Название поля Описание
CRL-NotificationRes S(CA, CRLNotificationTBS)
CRL-NotificationResTBS {Date, CRLThumbprint}
Дата Копируется из сообщения CRLNotification
CRLThumbprint Оттиск CRL, копируется из сообщения CRLNotification
При получении отклика CRLNotification СА проверяет то, что дата и оттиск соответствуют значениям из запроса. Если соответствия нет, посылается сообщение об ошибке, а запрос CRLNotification посылается повторно.




Содержание раздела