Подпись BCI производится с привлечением секретного ключа, соответствующего сертификату CRLSign. BCI пересылаются владельцам карт и продавцам в виде сообщений-откликов.
Запросы и отклики сертификатов
Запрос сертификата посылается клиентом вышестоящему центру сертификации (СА). Последний формирует сертификат и отсылает его отправителю запроса в подписанном сообщении отклике. Различные объекты ответственны за подпись разных сертификатов, как это показано ниже.
| Сертификат для: | Формируется и подписывается: |
| СА платежной системы | Корневой СА |
| Геополитический СА | СА платежной системы |
| ССА, МСА или РСА | Геополитический СА, если таковой имеется, в противном случае СА платежной системы |
Сообщения запросы от СA форматируются согласно CertificationRequest, специфицированному в PKCS#4 версии 1.0. CertificationRequest содержит общедоступный ключ, DN субъекта и атрибуты, которые должен сертифицировать подписывающий СА.
Сообщение-запрос сертификата включает в себя информацию, которая должна присутствовать в расширениях сертификата. Эта информация содержится в атрибутах запроса PKCS#10. В таблице 4.6.2.37 показаны атрибуты, которые необходимы или опционны в CertificationRequest.
Таблица 4.6.2.37. Атрибуты CertificationRequest
| ССА, МСА или РСА | Геополитический центр сертификации или СА платежной системы | ||||
| Атрибут SET | Цифровая подпись | Сертификат подписи | Шифрова-ние ключа | Подпись CRL | Сертификат и подпись CRL |
| KeyUsage | X | X | X | X | X |
| PrivateKeyUsagePeriod | X | X | X | X | |
| AdditionalPolicy | O | O | O | O | O |
| SubjectAltName | O | O | O | O | O |
| CertificateType | X | X | X | X | X |
| Tunneling | X | ||||
Х - обязательный
O - опционный
При получении CertificationRequest СА должен проверить запрос и сформировать отклик в соответствии со следующей процедурой:
| Шаг | Действие |
| 1 | Используя процедуру, определенную платежной системой, проверить аутентичность CertificationRequest |
| 2 | Используя общедоступный ключ, присланный в запросе, проверить подпись |
| 3 | Проверить, что уникальное имя субъекта (Distinguished Name) согласуется с форматом Certificate Subject Name |
| 4 | Используя тип сертификата и атрибуты использования ключа, проверить, что имеются необходимые атрибуты (см. таблицу 4.6.2.37) |
| 5 | Для сертификатов подписи проверить, что запрошенный PrivateKeyUsagePeriod находится в пределах допустимого диапазона пригодности по времени для подписывающего СА, и что дата notBefore в запрошенном PrivateKeyUsagePeriod находится в пределах допустимого для подписывающего СА. |
| 6 | Если какая-либо из вышеперечисленных проверок не прошла, сертификат не будет сформирован. |
| 7 | Если верификация прошла успешно, сертификат формируется с применением атрибутов, включенных в запрос. Сформированный сертификат помещается в соответствующую секцию SignedData. |
| 8 | SignedData помещается в цифровой конверт и посылается отправителю запроса. Транспортные механизмы находятся вне зоны ответственности SET. |