Si se supone que la entidad debe firmar la CRL pero no los certificados, entonces no es una CA, es un emisor de CRL . A menudo se lo denomina emisor de CRL indirecto porque, por definición, es distinto de la CA que emitió los certificados cuyo estado de revocación está especificado por la CRL.
Un certificado se puede validar como CA solo si (entre otras cosas) tiene un Basic Constraints
extensión que contiene un indicador cA
de valor TRUE
. Si no desea que su certificado de emisor de CRL se confunda con un certificado de CA, simplemente asegúrese de que no contenga la extensión Basic Constraints
o, si contiene una extensión de este tipo, que el indicador cA
tenga el valor FALSE
.
Para que el certificado sea aceptable como emisor de CRL, es posible que tenga otras cosas que hacer:
-
Si hay una extensión Key Usage
, el indicador cRLSign
se establecerá.
-
La CRL debe incluir una extensión Issuing Distribution Point
con el indirectCRL
el indicador establecido en TRUE
.
-
El contenido del nombre del emisor de CRL y la extensión IDP deben coincidir con los de CRL Distribution Points
extensión en los certificados cuyo estado se debe confirmar a través de la CRL. Las reglas son intrincate .
Tenga en cuenta que las CRL indirectas no son compatibles. En particular, dado que los certificados del emisor de la CRL no son una CA, no forman parte de la cadena de certificados principal. Como tal, no se incluirá, por ejemplo, en los conjuntos de certificados enviados por los clientes y servidores SSL. Por lo tanto, la CRL indirecta solo podrá ser utilizada por los sistemas que estén listos para descargar certificados adicionales, o que dichos certificados estén disponibles a través de algún otro método.