Разные СА не обязательно требуют различных сертификатов для подписи сертификатов и CRL. Поле KeyUsage может содержать:
В таблице 4.6.2.34 представлены обязательные расширения сертификата конечного пользователя (ЕЕ).
Таблица 4.6.2.34. Обязательные расширения сертификата ЕЕ.
Сертификат владельца карты | Сертификат продавца | Сертификат расчетного центра | |||
Расширение Х.509 | Подпись | Подпись | Шифрова-ние ключа | Подпись | Шифрова-ние ключа |
AuthorityKeyIdentifier | Х | Х | Х | Х | Х |
KeyUsage | Х | Х | Х | Х | Х |
PrivateKeyUsagePeriod | Х | Х | Х | ||
CertificatePolicies | Х | Х | Х | Х | Х |
SubjectAltName | O | O |
O |
O | O |
BasicConstraints | Х | Х | Х | Х | Х |
IssuerAltName | O | O | O | O | O |
Частное расширение | |||||
HashedRootKey | |||||
CertificateType | Х | Х | Х | Х | Х |
MerchantData | Х | Х | |||
CardCertRequired | Х | ||||
Tunneling | Х | ||||
SETExtensions | Х |
Х - обязательный
O - опционный
Таблица 4.6.2.35. Обязательные расширения сертификатов СА
СА | Корневой центр сертификации | ||||
Расширение Х.509 | Цифровая подпись |
Подпись серти-фиката |
Шифрова-ние ключа | Подпись CRL |
Подпись сертификата & CRL |
AuthorityKeyIdentifier | Х | Х | Х | Х | Х |
KeyUsage | Х | Х | Х | Х | Х |
PrivateKeyUsagePeriod | Х | Х | Х | ||
CertificatePolicies | Х | Х | Х | Х | Х |
SubjectAltName | O | O | O | O | O |
BasicConstraints | Х | Х | Х | Х | Х |
IssuerAltName | O | O | O | O | O |
Частное расширение | |||||
HashedRootKey | Х | ||||
CertificateType | Х | Х | Х | Х | Х |
MerchantData | |||||
CardCertRequired | |||||
Tunneling | Х | ||||
SETExtensions |
Каждый центр сертификации (за исключением MCA и CCA) поддерживает CRL и производит их рассылку.