Читаем Инфраструктуры открытых ключей полностью

|statusReferrals | Используется для динамического разбиения списков САС |

|cRLStreamIdentifier | Используется для идентификации контекста, внутри которого номер САС является уникальным |

|orderedList | Характеризует упорядоченность САС по возрастанию серийных номеров или дат аннулирования |

|deltaInformation | Информация о местонахождении дельта-списка САС и времени выпуска следующего дельта-списка |

|

issuingDistributionPoi

.

distributionPoint

onlyContainsUserCerts

.

onlyContainsCACerts

onlySomeResons

.

indirectCRL

|

Атрибуты выпускающего пункта

распространенияСАС

названия пунктов распространенияСАС

тип сертификатов (только сертификаты

конечных пользователей)

тип сертификатов (только сертификаты УЦ)

информация об аннулировании

сертификатов по заданным причинам

информация о косвенномСАС

|

|deltaCRLIndicator | Индикатор САС как дельта-списка |

|baseUpdate | Дата/время обновления информации об аннулировании при помощи дельта-списка САС |

|freshest CRL | Указатель на самый последний, "свежий" дельта-список САС |

Таблица 8.2.Дополнения списка аннулированных сертификатов X.509 v2

Дополнение Authority Key Identifier (идентификатор ключа издателя САС ) идентифицирует открытый ключ, необходимый для валидации цифровой подписи, которой заверен САС. Идентификация может базироваться либо на идентификаторе ключа (из дополнения Subject Key Identifier сертификата издателя САС ), либо на имени издателя САС и серийном номере его сертификата. В этом дополнении используются следующие поля:

* необязательное поле key Identifier, которое содержит значение дополнения Subject Key Identifier из сертификата издателя САС ; его рекомендуется включать;

* необязательное поле authority Cert Issuer, в котором указывается основное или альтернативное имя издателя САС ; в нем могут указываться несколько имен. Если это поле присутствует, то должно быть заполнено и следующее поле authority Cert Serial Number ;

* необязательное поле authority Cert Serial Number, которое задает серийный номер сертификата издателя САС. Если это поле присутствует, то должно быть заполнено и предыдущее поле authority Cert Issuer.

Дополнение Authority Key Identifier помогает пользователям выбрать правильный открытый ключ для верификации подписи на данном САС в том случае, когда издатель САС имеет несколько ключей подписи и соответственно несколько сертификатов. При смене ключа подписи издателя САС происходит некоторое перекрытие периодов действия двух ключей, в этот интервал времени валидными считаются оба сертификата с одним и тем же именем издателя и разными открытыми ключами подписи. В соответствии с рекомендациями X.509 это дополнение всегда помечается как некритичное, его использование регламентируется документом RFC 3280 [167].

Дополнение Issuer Alternative Name позволяет указывать альтернативные имена издателя САС: адрес электронной почты, DNS-имя (имя Интернет-хоста), IP-адрес и унифицированный идентификатор ресурса URI (обычно уникальный адрес ресурса WWW URL). Включение этих имен не обязательно. Формально это дополнение может быть как критичным, так и некритичным. Но поскольку документ RFC 3280 требует, чтобы поле с именем издателя САС не было пустым, необходимо, чтобы это дополнение было помечено как некритичное.

Дополнение CRL Number выполняет функцию счетчика и содержит упорядоченную по возрастанию последовательность номеров всех списков САС, выпущенных данным издателем. Дополнение позволяет пользователям определять, когда происходит смена одного списка данного издателя другим, более свежим САС. В соответствии с рекомендациями X.509 это дополнение всегда помечается как некритичное. Документ RFC 3280 требует от издателей включения этого дополнения во все списки САС.