Телекоммуникационные технологии



         

SET и другие системы осуществления платежей - часть 73


Подпись BCI производится с привлечением секретного ключа, соответствующего сертификату CRLSign. BCI пересылаются владельцам карт и продавцам в виде сообщений-откликов.

Запросы и отклики сертификатов

Запрос сертификата посылается клиентом вышестоящему центру сертификации (СА). Последний формирует сертификат и отсылает его отправителю запроса в подписанном сообщении отклике. Различные объекты ответственны за подпись разных сертификатов, как это показано ниже.

Сертификат для: Формируется и подписывается:
СА платежной системы Корневой СА
Геополитический СА СА платежной системы
ССА, МСА или РСА Геополитический СА, если таковой имеется, в противном случае СА платежной системы

Сообщения запросы от СA форматируются согласно CertificationRequest, специфицированному в PKCS#4 версии 1.0. CertificationRequest содержит общедоступный ключ, DN субъекта и атрибуты, которые должен сертифицировать подписывающий СА.

Сообщение-запрос сертификата включает в себя информацию, которая должна присутствовать в расширениях сертификата. Эта информация содержится в атрибутах запроса PKCS#10. В таблице 4.6.2.37 показаны атрибуты, которые необходимы или опционны в CertificationRequest.

Таблица 4.6.2.37. Атрибуты CertificationRequest

ССА, МСА или РСА Геополитический центр сертификации или СА платежной системы
Атрибут SET Цифровая подпись Сертификат подписи Шифрова-ние ключа Подпись CRL Сертификат и подпись CRL
KeyUsage X X X X X
PrivateKeyUsagePeriod X X   X X
AdditionalPolicy O O O O O
SubjectAltName O O O O O
CertificateType X X X X X
Tunneling     X    

Х - обязательный

O - опционный

При получении CertificationRequest СА должен проверить запрос и сформировать отклик в соответствии со следующей процедурой:

Шаг Действие
1 Используя процедуру, определенную платежной системой, проверить аутентичность CertificationRequest
2 Используя общедоступный ключ, присланный в запросе, проверить подпись
3 Проверить, что уникальное имя субъекта (Distinguished Name) согласуется с форматом Certificate Subject Name
4 Используя тип сертификата и атрибуты использования ключа, проверить, что имеются необходимые атрибуты (см. таблицу 4.6.2.37)
5 Для сертификатов подписи проверить, что запрошенный PrivateKeyUsagePeriod находится в пределах допустимого диапазона пригодности по времени для подписывающего СА, и что дата notBefore в запрошенном PrivateKeyUsagePeriod находится в пределах допустимого для подписывающего СА.
6 Если какая-либо из вышеперечисленных проверок не прошла, сертификат не будет сформирован.
7 Если верификация прошла успешно, сертификат формируется с применением атрибутов, включенных в запрос. Сформированный сертификат помещается в соответствующую секцию SignedData.
8 SignedData помещается в цифровой конверт и посылается отправителю запроса. Транспортные механизмы находятся вне зоны ответственности SET.
<


Содержание  Назад  Вперед