Рассылка CRL
CRL представляет собой механизм, определенный Х.509, и предназначенный для публикации и рассылки списков выведенных из употребления сертификатов, срок действия которых еще не истек. Когда корневой СА актуализует свой CRL, он посылает его каждому центру сертификации платежной системы. Когда нижерасположенный центр сертификации актуализует свой CRL, он рассылает его своим СА платежных систем. CRL рассылаются в секции SignedData сообщений CRLNotification согласно следующему алгоритму.
Шаг | Действие | |
1 | Сформировать CRLNotificationTBS:
| |
2 | Подписать содержимое, используя сертификат подписи СА. Установить тип содержимого равным id-set-content-CRLNotificationTBS | |
3 | Внести новый CRL в CRL-секцию SignedData. Вложить CRL в сертификационную секцию сообщения. | |
4 | Закодировать и вложить в цифровой конверт подписанное сообщение CRLNotification. Следует заметить, что это не SET-сообщение. SignedData подвергается DER-кодированию и вкладывается в цифровой конверт MIME. |
CRL-Notification-сообщение содержит следующие поля:
Название поля | Описание |
CRL-Notification | S(CA, CRLNotificationTBS) |
CRL-NotificationTBS | {Date, CRLThumbprint} |
Дата | Дата, когда сформировано сообщение |
CRLThumbprint | Оттиск CRL, заключенный в CRL-секцию SignedData |
При получении сообщения CRL Notification СА платежной системы проверяет и анализирует его следующим образом:
Шаг | Действие |
1 | Если дата раньше, чем для любого предыдущего CRL, полученного от этого СА, сообщение проигнорировать и откликнуться отправившему СА сообщением Error c кодом ошибки badDate. |
2 | Если CRL-оттиск не согласуется с тем, который записан в CRL-секции SignedData, сообщение проигнорировать и откликнуться отправившему СА сообщением Error c кодом thumbMismatch. |
3 | Запомнить модифицированный CRL и послать СА платежной системы для добавления в последующее сообщение рассылки BCI. |
CA платежной системы формирует отклик CRL Notification согласно следующему алгоритму:
Шаг | Действие |
1 | Заполнить NotificationResTBS:
|
2 | Подписать содержимое, используя сертификат подписи центра сертификации платежной системы. Установить contenttype равным id-set-content-CRLNotificationResTBS |
3 | Закодировать и вложить в цифровой конверт подписанное сообщение CRLNotificationRes в форме согласованной с транспортным механизмом. Послать сообщение отклика CRLNotification запросившему СА. |
Название поля | Описание |
CRL-NotificationRes | S(CA, CRLNotificationTBS) |
CRL-NotificationResTBS | {Date, CRLThumbprint} |
Дата | Копируется из сообщения CRLNotification |
CRLThumbprint | Оттиск CRL, копируется из сообщения CRLNotification |