Протоколы Internet


SET и другие системы осуществления платежей - часть 70


Подпись BCI производится с привлечением секретного ключа, соответствующего сертификату CRLSign. BCI пересылаются владельцам карт и продавцам в виде сообщений-откликов.

Запросы и отклики сертификатов

Запрос сертификата посылается клиентом вышестоящему центру сертификации (СА). Последний формирует сертификат и отсылает его отправителю запроса в подписанном сообщении отклике. Различные объекты ответственны за подпись разных сертификатов, как это показано ниже.

Сертификат для:

Формируется и подписывается:

СА платежной системы

Корневой СА

Геополитический СА

СА платежной системы

ССА, МСА или РСА

Геополитический СА, если таковой имеется, в противном случае СА платежной системы

Сообщения запросы от СA форматируются согласно CertificationRequest, специфицированному в PKCS#4 версии 1.0. CertificationRequest содержит общедоступный ключ, DN субъекта и атрибуты, которые должен сертифицировать подписывающий СА.

Сообщение-запрос сертификата включает в себя информацию, которая должна присутствовать в расширениях сертификата. Эта информация содержится в атрибутах запроса PKCS#10. В таблице 4.6.2.37 показаны атрибуты, которые необходимы или опционны в CertificationRequest.

Таблица 4.6.2.37

. Атрибуты CertificationRequest

 

ССА, МСА или РСА

Геополитический центр сертификации или СА платежной системы

Атрибут SET

Сертификат подписи

Подпись CRL

Сертификат и подпись CRL

KeyUsage

X

X

X

X

X

PrivateKeyUsagePeriod

X

X

 

X

X

AdditionalPolicy

O

O

O

O

O

SubjectAltName

O

O

O

O

O

CertificateType

X

X

X

X

X

Tunneling

   

X

   

Х –

обязательный

O - опционный

При получении CertificationRequest СА должен проверить запрос и сформировать отклик в соответствии со следующей процедурой:

Шаг

Действие

1

Используя процедуру, определенную платежной системой, проверить аутентичность CertificationRequest

2

Используя общедоступный ключ, присланный в запросе, проверить подпись

3

Проверить, что уникальное имя субъекта (Distinguished Name) согласуется с форматом Certificate Subject Name

4

Используя тип сертификата и атрибуты использования ключа, проверить, что имеются необходимые атрибуты (см. таблицу 4.6.2.37)

5

Для сертификатов подписи проверить, что запрошенный PrivateKeyUsagePeriod находится в пределах допустимого диапазона пригодности по времени для подписывающего СА, и что дата notBefore в запрошенном PrivateKeyUsagePeriod находится в пределах допустимого для подписывающего СА.

6

Если какая-либо из вышеперечисленных проверок не прошла, сертификат не будет сформирован.

7

Если верификация прошла успешно, сертификат формируется с применением атрибутов, включенных в запрос. Сформированный сертификат помещается в соответствующую секцию SignedData.

8

SignedData помещается в цифровой конверт и посылается отправителю запроса. Транспортные механизмы находятся вне зоны ответственности SET.

<


Начало  Назад  Вперед



Книжный магазин