[devel] X509v3: CRL Distribution Points: help is needed
Paul Wolneykien
manowar на altlinux.org
Ср Авг 8 19:52:36 MSK 2018
08.08.2018 19:33, Alexey V. Vissarionov пишет:
> On 2018-08-08 18:43:25 +0300, manowar на altlinux.org wrote:
> > Вот как выглядит в разобранном виде та часть файла подписи,
> > которая отвечает за CRL: [...]
> > Теперь, собственно, сам вопрос: структура выше соответствует
> > двум разным CRL?
>
> Нет - это один CRL, для которого предусмотрена возможность взять
> его как с локального зеркала (pki-lan), так и снаружи у ГРЧЦ.
>
> > или же это всё-таки два варианта получения одного и того же CRL?
>
> Да.
>
> > Иными словами, что перед нами: два объекта типа DistributionPoint
> > или же две строки, относящиеся к одному такому объекту?
>
> Это два места, откуда можно взять один и тот же CRL.
Ммм. А ты можешь всё-таки как-то это аргументировать? Я вижу две ветки
SEQUENCE в каждой из которых по три поля: [0](1 elem), [0](1 elem)
(кажется, это те самые "reasons" и "cRLIssuer") и [6]строка. Собственно,
ты сам пишешь:
> ...
> Список из двух списков, в каждом из которых по одному элементу.
По одному. Следовательно, это не похоже на случай: "If the
DistributionPointName contains multiple values,...". Или всё-таки похоже?
>> В пользу последнего как будто бы говорит его официальный статус
> > УЦ.
>
> Главное - в их пользу явно гласит стандарт.
Вот какой стандарт: RFC 3280? или сложившаяся практика обработки CRL?
Мне пока что интересно только одно: как результат ASN.1 разбора данного
файла соотносится с данным RFC, п. 4.2.1.14. Дальше видно будет.
Подробная информация о списке рассылки Devel