Разные СА не обязательно требуют различных сертификатов для подписи сертификатов и CRL. Поле KeyUsage может содержать:
В таблице 4.6.2.34 представлены обязательные расширения сертификата конечного пользователя (ЕЕ).
Таблица 4.6.2.34. Обязательные расширения сертификата ЕЕ.
| Сертификат владельца карты | Сертификат продавца | Сертификат расчетного центра | |||
| Расширение Х.509 | Подпись | Подпись | Шифрова-ние ключа | Подпись | Шифрова-ние ключа |
| AuthorityKeyIdentifier | Х | Х | Х | Х | Х |
| KeyUsage | Х | Х | Х | Х | Х |
| PrivateKeyUsagePeriod | Х | Х | Х | ||
| CertificatePolicies | Х | Х | Х | Х | Х |
| SubjectAltName | O | O |
O |
O | O |
| BasicConstraints | Х | Х | Х | Х | Х |
| IssuerAltName | O | O | O | O | O |
| Частное расширение | |||||
| HashedRootKey | |||||
| CertificateType | Х | Х | Х | Х | Х |
| MerchantData | Х | Х | |||
| CardCertRequired | Х | ||||
| Tunneling | Х | ||||
| SETExtensions | Х | ||||
Х - обязательный
O - опционный
Таблица 4.6.2.35. Обязательные расширения сертификатов СА
| СА | Корневой центр сертификации | ||||
| Расширение Х.509 | Цифровая подпись |
Подпись серти-фиката |
Шифрова-ние ключа | Подпись CRL |
Подпись сертификата & CRL |
| AuthorityKeyIdentifier | Х | Х | Х | Х | Х |
| KeyUsage | Х | Х | Х | Х | Х |
| PrivateKeyUsagePeriod | Х | Х | Х | ||
| CertificatePolicies | Х | Х | Х | Х | Х |
| SubjectAltName | O | O | O | O | O |
| BasicConstraints | Х | Х | Х | Х | Х |
| IssuerAltName | O | O | O | O | O |
| Частное расширение | |||||
| HashedRootKey | Х | ||||
| CertificateType | Х | Х | Х | Х | Х |
| MerchantData | |||||
| CardCertRequired | |||||
| Tunneling | Х | ||||
| SETExtensions | |||||
Каждый центр сертификации (за исключением MCA и CCA) поддерживает CRL и производит их рассылку.