Инфраструктура Открытого Ключа (часть 5)

Точка распространения CRL

Точка распространения CRL является критичным расширением CRL, которое определяет точку распространения CRL и область для конкретного CRL ; она также указывает, охватывает ли CRL отмену только сертификатов конечных участников, только сертификатов СА или ограниченное множество кодов причин. Хотя расширение и является критичным, не требуется, чтобы все приложения поддерживали данное расширение.

CRL подписан с использованием закрытого ключа выпускающего CRL. Точки распространения CRL не имеют собственной пары ключей.

Коды причин, связанные с точкой распространения, должны быть указаны в onlySomeReasons. Если onlySomeReasons не присутствует, точка распространения должна содержать отмены для всех кодов причин. САs могут использовать точки распространения CRL для разбиения CRL в соответствии с причиной отмены. В этом случае отмены с кодом причины keyCompromise (1), cACompromise (2) и aACompromise (8) появляются в одной точке распространения, а отмены с другими кодами причины появляются в другой точке распространения.

Если поле distributionPoint присутствует и содержит URI, должна предполагаться следующая семантика: объект является указателем на самый последний CRL, выпущенный данным выпускающим CRL. Для этой цели определены схемы URI FTP, HTTP, MAILTO и LDAP. URI должен быть абсолютным, а не относительным путем, и должен указывать хост.

Если поле distributionPoint отсутствует, CRL должен содержать записи для всех отмененных и неистекших сертификатов, выпущенных конкретным выпускающим CRL в данной области CRL.

Выпускающий CRL должен установить булевское indirectCRL, если область CRL включает сертификаты, выпущенные другими уполномоченными органами, отличными от данного. Уполномоченный орган ответственен за каждую запись, определяемую расширением записи CRL.

id-ce-issuingDistributionPoint
  OBJECT IDENTIFIER ::= { id-ce 28 }

issuingDistributionPoint ::= SEQUENCE {
  distributionPoint [0]
    DistributionPointName OPTIONAL,
  onlyContainsUserCerts [1]
    BOOLEAN DEFAULT FALSE,
  onlyContainsCACerts [2] BOOLEAN
    DEFAULT FALSE,
  onlySomeReasons [3] ReasonFlags OPTIONAL,
  indirectCRL     [4] BOOLEAN DEFAULT FALSE,
  onlyContainsAttributeCerts [5] BOOLEAN
    DEFAULT FALSE 
}

Наиболее свежий CRL (точка распространения дельта CRL)

Расширение наиболее свежий CRL определяет, как получена информация дельта CRL для данного полного CRL. Расширение должно быть некритичным. Данное расширение не должно появляться в дельта CRLs.

Для данного расширения и для расширения сертификата cRLDistributionPoints используется один и тот же описанный выше синтаксис. Поля причины и CRLIssuer в данном расширении CRL должны быть опущены.

Каждое имя точки распространения указывает местоположение дельта CRL для данного полного CRL. Содержимое данного расширения CRL используется только для размещения дельта CRL ; содержимое не используется для проверки действительности CRL или указываемых дельта CRLs. Соглашения по представлению, определенные для точек распространения, применимы и к данному расширению.

Расширения записи CRL

Расширения записи CRL, определенные ISO/IEC, ITU-T и ANSI Х9 для Х.509 v2 CRLs, предоставляют методы для связывания дополнительных атрибутов с записями CRL. Формат Х.509 v2 CRL также позволяет определять частные расширения записей CRL для хранения информации, используемой конкретным сообществом. Каждое расширение в записи CRL может быть определено как критичное и некритичное. CRL не должен проходить проверку на действительность, если встретилось критичное расширение записи, которое неизвестно как обработать. Однако нераспознанное некритичное расширение записи CRL можно проигнорировать. Рассмотрим рекомендуемые расширения, используемые в записях CRL Internet, а также стандартное размещение информации.

Все расширения записи CRL, используемые в текущей спецификации стандарта, являются некритичными. Поддержка этих расширений является необязательной для выпускающих CRL и приложений. Однако рекомендуется, чтобы выпускающие включали коды причин и даты недействительности всякий раз, когда эта информация доступна.

Код причины

Расширение reasonCode является некритичным расширением записи CRL, которое указывает причину отмены сертификата. Выпускающие CRL должны включать важные коды причин в записи CRL ; однако расширение записи CRL кода причины должно быть опущено вместо использования неспецифицированного значения (0) reasonCode.

id-ce-cRLReason OBJECT IDENTIFIER ::=
  { id-ce 21 }
  -- reasonCode ::= { CRLReason }
CRLReason ::= ENUMERATED {
    unspecified            (0),
    keyCompromise          (1),
    cACompromise           (2),
    affiliationChanged     (3),
    superseded             (4),
    cessationOfOperation   (5),
    certificateHold        (6),
    removeFromCRL          (8),
    privilegeWithdrawn     (9),
    aACompromise           (10) 
}

Код инструкции приостановки

Код инструкции приостановки является некритичным расширением записи CRL, которое предоставляет зарегистрированный идентификатор инструкции, указывающий действие, которое будет выполнено после того, как встретится сертификат, который следует приостановить.

Дата недействительности

Дата недействительности является некритическим расширением записи CRL, которое указывает дату, когда известно или предполагается, что произошла компрометация закрытого ключа или сертификат по другой причине стал недействительным. Данная дата может быть более ранней, чем дата отмены в записи CRL, которой он датирован.