Подпись BCI производится с привлечением секретного ключа, соответствующего сертификату CRLSign. BCI пересылаются владельцам карт и продавцам в виде сообщений-откликов.
Запросы и отклики сертификатов
Запрос сертификата посылается клиентом вышестоящему центру сертификации (СА). Последний формирует сертификат и отсылает его отправителю запроса в подписанном сообщении отклике. Различные объекты ответственны за подпись разных сертификатов, как это показано ниже.
Сертификат для: | Формируется и подписывается: |
СА платежной системы | Корневой СА |
Геополитический СА | СА платежной системы |
ССА, МСА или РСА | Геополитический СА, если таковой имеется, в противном случае СА платежной системы |
Сообщения запросы от СA форматируются согласно CertificationRequest, специфицированному в PKCS#4 версии 1.0. CertificationRequest содержит общедоступный ключ, DN субъекта и атрибуты, которые должен сертифицировать подписывающий СА.
Сообщение-запрос сертификата включает в себя информацию, которая должна присутствовать в расширениях сертификата. Эта информация содержится в атрибутах запроса PKCS#10. В таблице 4.6.2.37 показаны атрибуты, которые необходимы или опционны в CertificationRequest.
Таблица 4.6.2.37. Атрибуты CertificationRequest
ССА, МСА или РСА | Геополитический центр сертификации или СА платежной системы | ||||
Атрибут SET | Цифровая подпись | Сертификат подписи | Шифрова-ние ключа | Подпись CRL | Сертификат и подпись CRL |
KeyUsage | X | X | X | X | X |
PrivateKeyUsagePeriod | X | X | X | X | |
AdditionalPolicy | O | O | O | O | O |
SubjectAltName | O | O | O | O | O |
CertificateType | X | X | X | X | X |
Tunneling | X |
Х - обязательный
O - опционный
При получении CertificationRequest СА должен проверить запрос и сформировать отклик в соответствии со следующей процедурой:
Шаг | Действие |
1 | Используя процедуру, определенную платежной системой, проверить аутентичность CertificationRequest |
2 | Используя общедоступный ключ, присланный в запросе, проверить подпись |
3 | Проверить, что уникальное имя субъекта (Distinguished Name) согласуется с форматом Certificate Subject Name |
4 | Используя тип сертификата и атрибуты использования ключа, проверить, что имеются необходимые атрибуты (см. таблицу 4.6.2.37) |
5 | Для сертификатов подписи проверить, что запрошенный PrivateKeyUsagePeriod находится в пределах допустимого диапазона пригодности по времени для подписывающего СА, и что дата notBefore в запрошенном PrivateKeyUsagePeriod находится в пределах допустимого для подписывающего СА. |
6 | Если какая-либо из вышеперечисленных проверок не прошла, сертификат не будет сформирован. |
7 | Если верификация прошла успешно, сертификат формируется с применением атрибутов, включенных в запрос. Сформированный сертификат помещается в соответствующую секцию SignedData. |
8 | SignedData помещается в цифровой конверт и посылается отправителю запроса. Транспортные механизмы находятся вне зоны ответственности SET. |