Уникальный порядковый номер, приписываемый СА,
Таблица 4.6.2.32. Поля формата сертификата Х.509
Имя |
Ограничения на формат и значения |
Описание |
Version (Версия) |
Целое |
Указывает на версию сертификата |
SerialNumber |
Целое |
Уникальный порядковый номер, приписываемый СА, сформировавшим сертификат |
Signature.AlgorithmIdentifier |
OID и тип |
Определяет алгоритм, используемый для генерации подписи сертификата |
Issuer (эмитент) |
Имя |
Содержит уникальное имя (Distinguished Name) CA, выдавшего сертификат |
Validity.notBefore |
Время UTC |
Специфицирует время, когда сертификат становится активным |
Validity.notAfter |
Время UTC |
Специфицирует время, когда сертификат перестает действовать. Если это относится к сертификату владельца карты, то его время действия не может быть дольше пригодности карты. |
Subject |
Имя |
Содержит уникальное имя объекта владельца ключа |
SubjectPublicKeyInfo.algorithm. AlgorithmIdentifier |
OID и тип |
Специфицирует алгоритм, который может использоваться с этим ключом. |
SubjectPublicKeyInfo. subjectPublicKey |
Строка битов |
Содержит общедоступный ключ, представленный в запросе сертификата |
IssuerUniqueID |
|
В SET не используется |
SubjectUniqueID |
|
В SET не используется |
Extensions.extnId |
Формат OID |
Содержит расширение OID, как это определено Х.509 или SET |
Extensions.critical |
Булево: 0=ложно
1=истинно | Каждое описание расширения определяет то, какое значение должно принимать это поле |
Extensions.extnValue |
|
Информация расширения |
Для определения позиций необходимы следующие идентификаторы объектов OID (указаны в скобках) в сертификатах SET:
countryName [2 5 4 6]
organizationName [2 5 4 10]
organizationUnitName [2 5 4 11]
commonName [2 5 4 3]
Ниже представлены формальные определения атрибутов (at), которые заключают в себе уникальные имена (Subject Distinguished Name) для каждого объекта SET, указанного в расширении типа сертификата (CertificateType).
OID имен (ASN.1)
id-at-countryNameOBJECT IDENTIFIER ::= { id-at 6 }
id-at-organizationNameOBJECT IDENTIFIER ::= { id-at 10 }
id-at-organizationalUnitNameOBJECT IDENTIFIER ::= { id-at 11 }
id-at- commonNameOBJECT IDENTIFIER ::= { id-at 3 }
Владелец карты
countryName=<Страна, где размещается финансовое учреждение, выпустившее карту>
organizationName=<BrandID> (идентификатор платежной системы)
organizationalUnitName=<Название финансового учреждения, выпустившее карту>
organizationalUnitName=<Опционно - название карты>
commonName=<Уникальный идентификатор владельца карты>
Если в перечне появляется два атрибута organizationalUnitName, первый из них представляет название финансового учреждения, выпустившее карту.
Продавец
countryName=< Страна, где размещается банк продавца – Acquirer>
organizationName=<BrandID>
organizationalUnitName=<Название банка продавца>
commonName=<Имя продавца, как написано в заявлении владельца карты>
Расчетный центр
countryName=<Страна, где размещается банк продавца – Acquirer>
organizationName=<BrandID>
organizationalUnitName=<Название банка продавца>
commonName=<Уникальный идентификатор расчетного центра>
Центр сертификации владельца карты
countryName=<Страна, где размещается финансовое учреждение, выпустившее карту>
organizationName=<BrandID>
organizationalUnitName=<Описательное имя>
commonName=<Опционный уникальный идентификатор>
Центр сертификации продавца
countryName=<Страна, где размещается банк продавца – Acquirer >
organizationName=<BrandID>
organizationalUnitName=<Описательное имя>
commonName=<Опционный уникальный идентификатор>
Центр сертификации расчетного центра
countryName=<Страна, где размещается банк продавца – Acquirer >
organizationName=<BrandID>
organizationalUnitName=<Описательное имя>
commonName=<Опционный уникальный идентификатор>
Геополитический центр сертификации
countryName=<Страна геополитической организации>
organizationName=<BrandID>
organizationalUnitName=<Описательное имя>
commonName=<Опционный уникальный идентификатор>
Центр сертификации платежной системы (Brand)
countryName=<Страна, где размещен центр сертификации платежной системы>
organizationName=<BrandID>
organizationalUnitName=<Описательное имя>
commonName=<Опционный уникальный идентификатор>
Корневой центр сертификации
countryName=<Страна, где размещен корневой центр сертификации – СА>
organizationName=<Корневой центр SET>
commonName=<Опционный – уникальный ID>
Поля имен в имени субъекта сертификата определены в таблице ниже:
Country |
2 символа кода страны (ISO 3166) |
BrandID |
<Brand Name>:<Product>, где название продукта является опционным. |
Brand Name |
Платежная система карты, которая определяется разработчиками платежной системы. |
Product Type |
Опционное поле, которое определяет тип продукта в рамках заданной платежной системы. |
Описательное имя |
Это описательное имя объекта, ответственного за выпуск сертификата в рамках данного СА. Например:
Название финансовой организации
Название организации, выполняющей функцию СА
Название платежной системы
Имя объекта, ответственного за одобрение сертификатов
|
Официальное название карты |
Это опционное поле содержит официальное название карты. Примерами могут служить, например: Frequent Flayer Program, Affinity Program и т.д. |
Название финансовой организации |
Имя финансовой организации, выпускающей расчетные карты |
Уникальный идентификатор владельца карты |
Уникальным идентификатором владельца карты в сертификате владельца является хэшированный номер его счета. |
Уникальный идентификатор расчетного центра |
Поле содержит BIN, за которым следует серийные номера банка продавца или расчетной системы. Поле форматировано как <BIN:SerialNumber>. Серийный номер позволяет однозначно идентифицировать каждый расчетный центр, ассоциированный с одним и тем же банком продавца (Acquirer). В пределах расчетной системы (Brand) может быть несколько сертификатов для одного BIN. |
<
Уникальный ID владельца карты в сертификате представляет собой хэшированный номер его счета. PAN маскируется с использованием общего секретного ключа (PANSecret), который состоит из комбинации CardSecret владельца карты и Nonce-CCA сертификационного центра. Вычисление хэша производится с привлечением алгоритма HMAC-SHA1 (RFC-2105). Функция HMAC-SHA1 определяется в терминах ключа K и текста, который кэшируется следующим образом:
Hash(KA
opad|hash((KAipad)|text)),
где A
- оператор исключающее ИЛИ, а оператор | - обозначает объединение кодов. K, text, ipad и opad определяются в SET следующим образом:
K |
Равно PANSecret и представляет собой 20-байтовую строку, полученную в результате операции исключающее ИЛИ, выполненной над DER-кодированными значениями CardSecret и Nonce-CCA. |
Text |
Представляет собой DER-кодированную копию исходного текста, содержащего PAN и CardExpiry.
Text ::= SEQUENCE {
pan PAN
cardExpiry CardExpiry
}
PAN ::= NumberString (SIZE(1..19))
CardExpiry ::= NumericString (SIZE(6)) --YYYMM
Время истечения действия карты |
ipad |
64 байта, содержащих код 0x36 |
opad |
64 байта, содержащих код 0x5C |
K дополняется нулями до 64 байт.
Результат вычисления HMAC кодируется в представлении base64, после чего производится в поле сертификата commonName.
Содержание раздела