Таблица 4.6.2.36. Формат полей CRL и ограничения для их значений
Имя поля |
Формат и ограничения на значение |
Описание |
CRL.version (версия) |
Целое; V2 |
Определяет версию CRL. В настоящее время =2. |
CRL.signature .algorithmIdentifier |
OID и тип |
Определяет алгоритм, использованный для подписи CRL |
CRL.Issuer |
Имя |
Содержит DN субъекта для СА, который выпустил устаревший сертификат. Должен совпадать с именем субъекта в сертификате СА |
CRL.thisUpdate |
Время UTC |
Определяет время, когда был сформирован CRL |
CRL.nextUpdate |
Время UTC |
Определяет время, когда CRL устареет |
CRL.revokedCertificate .certSerialNumber |
Целое |
Номер по порядку устаревшего сертификата |
CRL. RevokedCertificate .revocationDate |
Время UTC |
Дата признания сертификата устаревшим |
CRL. RevokedCertificate .extensions |
Расширения |
Не используется в SET |
CRL.extensions |
Расширения |
В этом поле используются два расширения: CRLNumber и AuthorityKeyIdentifier |
Следующие СA должны поддерживать CRL в рамках SET:
Расширение CRLNumber содержит одно целое число. Центр СА, подписывающий CRL, должен инкрементировать это число каждый раз при выпуске нового CRL.
При получении нового CRL должны проводиться следующие проверки:
1. Сначала проверяется подпись:
2. IssuerDN рассматриваемого сертификата должен соответствовать полю IssuerDN в CRL.
3. IssuerDN и устаревший certSerialNumber сравниваются с проверяемым сертификатом
Следующие проверки производятся для того, чтобы выяснить, не входит ли данный сертификат в список CRL:
Существующие CRL от одного и того же IssuerDN могут быть удалены, когда успешно прошел проверку CRL с более высоким значением CRLNumber.