Объекты репозитория PKI
Объектами, представленными в репозитории, являются:
- Конечные участники.
- СА.
Следующий вспомогательный класс объекта может использоваться для представления субъектов сертификата:
pkiUser OBJECT-CLASS ::= { SUBCLASS OF { top} KIND auxiliary MAY CONTAIN {userCertificate} ID joint-iso-ccitt(2) ds(5) objectClass(6) pkiUser(21) } userCertificate ATTRIBUTE ::= { WITH SYNTAX Certificate EQUALITY MATCHING RULE certificateExactMatch ID joint-iso-ccitt(2) ds(5) attributeType(4) userCertificate(36) }
Конечный участник может получить один или более сертификатов от одного или более СAs. Атрибут userCertificate должен использоваться для представления этих сертификатов в записи каталога , относящейся к данному пользователю.
Следующий вспомогательный класс объекта может применяться для представления CAs:
pkiCA OBJECT-CLASS ::= { SUBCLASS OF { top} KIND auxiliary MAY CONTAIN {cACertificate | certificateRevocationList | authorityRevocationList | crossCertificatePair } ID joint-iso-ccitt(2) ds(5) objectClass(6) pkiCA(22) } cACertificate ATTRIBUTE ::= { WITH SYNTAX Certificate EQUALITY MATCHING RULE certificateExactMatch ID joint-iso-ccitt(2) ds(5) attributeType(4) cACertificate(37) } crossCertificatePairATTRIBUTE::={ WITH SYNTAX CertificatePair EQUALITY MATCHING RULE certificatePairExactMatch ID joint-iso-ccitt(2) ds(5) attributeType(4) crossCertificatePair(40) }
Атрибут cACertificate записи каталога СА должен использоваться для хранения самоподписанных сертификатов (если они есть) и сертификатов, выпущенных для данного СА САs из той же области, что и данный СА.
Forward-элементы crossCertificatePair-атрибута записи каталога СА должны использоваться для хранения всех сертификатов, выпущенных данным СА за исключением самоподписанных сертификатов. Дополнительно reverse элементы crossCertificatePair-атрибута записи каталога СА могут содержать подмножество сертификатов, выпущенных данным СА для других CAs. Когда присутствуют оба элемента, forward и reverse, в значении одного атрибута, имя выпускающего в одном сертификате должно соответствовать имени субъекта в другом и наоборот, и открытый ключ субъекта в одном сертификате должен иметь возможность проверять подпись в другом сертификате и наоборот.
Если присутствует элемент reverse, значение forward-элемента и значение reverse-элемента не обязательно должны являться значениями одного о того же атрибута; другими словами они могут являться значениями как одного атрибута, так и значениями двух атрибутов.
В случае v3 сертификатов ни один из перечисленных выше сертификатов не должен включать расширение basicConstraints со значением сА, установленным в FALSE.
Определение области относится исключительно к локальной политике.
certificateRevocationListATTRIBUTE::={ WITH SYNTAX CertificateList EQUALITY MATCHING RULE certificateListExactMatch ID joint-iso-ccitt(2) ds(5) attributeType(4) certificateRevocationList(39) }
Атрибут certificateRevocationList, если присутствует в конкретной записи СА, содержит CRL(s).
authorityRevocationListATTRIBUTE::={ WITH SYNTAX CertificateList EQUALITY MATCHING RULE certificateListExactMatch ID joint-iso-ccitt(2) ds(5) attributeType(4) authorityRevocationList(38) }
Атрибут authorityRevocationList, если присутствует в конкретной записи СА, содержит информацию об отмене, относящуюся к сертификатам, выпущенным для других САs.
Точки распространения CRL являются дополнительным механизмом, который может использоваться для распространения информации об отмене.
Если СА решает задействовать точки распространения CRL, для этого используется следующий класс объектов.
cRLDistributionPoint OBJECT-CLASS::= { SUBCLASS OF { top } KIND structural MUST CONTAIN { commonName } MAY CONTAIN { certificateRevocationList | authorityRevocationList | deltaRevocationList } ID joint-iso-ccitt(2) ds(5) objectClass(6) cRLDistributionPoint(19) }
Атрибуты certificateRevocationList и authorityRevocationList определены выше.
Атрибут commonName и атрибуты deltaRevocationList, определенные в Х.509, продублированы ниже.
commonName ATTRIBUTE::={ SUBTYPE OF name WITH SYNTAX DirectoryString ID joint-iso-ccitt(2) ds(5) attributeType(4) commonName(3) } deltaRevocationList ATTRIBUTE ::= { WITH SYNTAX CertificateList EQUALITY MATCHING RULE certificateListExactMatch ID joint-iso-ccitt(2) ds(5) attributeType(4) deltaRevocationList(53) }
Дельта CRLs является дополнительным механизмом, который может применяться для осуществления распределения информации об отмене.
Если СА выбирает использование дельта CRLs, применяется представленный здесь класс объекта.
deltaCRL OBJECT-CLASS ::= { SUBCLASS OF { top } KIND auxiliary MAY CONTAIN { deltaRevocationList } ID joint-iso-ccitt(2) ds(5) objectClass(6) deltaCRL(23) }