Мне тут присылали на посмотреть сертификат, думаю что не открою большой тайны - вот мой ответ:
_______________________________________
Приношу извинения за паузу.
Чтобы завершить обсуждение о возможности уже сейчас работать с издателями аккредитованных УЦ без существования сертификата головного УЦ с надеждой потом переиздав только сертификат подчинённого издателя получится не трогать понавыпущенные пользовательские сертификаты. Так вот так не получиться, потому что:
+++++++++++++++++++++++++++++++++
В высланном ранее примере, в сертификате подчиненного УЦ (тестовом кросс-сертификате), присутствуют расширения SubjectKeyIdentifier и AuthorityKeyIdentifier, и имеют соответственно значения:
Extension:
ExtensionType: 2.5.29.14
Critical: {FALSE}
extValue:
SubjectKeyIdentifier: C8:7D:BA:0A:7F:59:B0:98 9B:26:79:68:22:67:98:28
62:3D:39:C5
Extension:
ExtensionType: 2.5.29.35
Critical: {FALSE}
extValue:
AuthorityKeyIdentifier:
KeyIdentifier:
1A:CD:2C:FE:2D:08:A0:CE D0:16:AF:C1:E0:A6:66:EB
F0:E2:13:D3
AuthorityCertIssuer:
GeneralName:
DirectoryName:
OGRN: 1234567890123
INN: 001234567890
StreetAddress: Сущевский вал д.26
EmailAddress:
ca@rt.ru CountryName: RU
StateOrProvinceName: Москва
LocalityName: Москва
OrganizationName: ОАО Ростелеком
OrganizationalUnitName: Удостоверяющий центр
CommonName: Тестовый УЦ РТК 2
AuthorityCertSerial:
1F:58:03:2C:21:CD:B6:A0 4B:A5:BC:F1:3C:41:4C:79
Кроме того, этот кросс-сертификат, имеет поле Serial со сделующим значением:
CertificateSerialNumber: 61:06:0B:0E:00:00:00:00 00:0C
При выпуске кросс-сертификата, от реального доверенного корневого издателя который будет создан несколько потом, в части, выделенной жирным:
1) для расширения SubjectKeyIdentifier новый кросс-сертификат может содержать значения отличное от указанного, т.к. издатель имеет полное право заполнять это поле по собственному усмотрению. Результатом могут быть затруднения при построении цепочки сертификации через новый кросс.
2) для расширения AuthorityKeyIdentifier, новый кросс-сертификат будет содержать значение, отличное от указанного. т.к. фактический доверенный корневой издатель имеет другое имя субъекта и другой серийный номер. Результатом, до полного перехода на использование только нового кросс-сертификата, будет неоднозначный юридический статус сертификатов конечных пользователей, выпущенных таким издателем, ввиду явного противоречия наполнения сертификата издателя требованиям законодательства.
3) для значения поля CertificateSerialNumber: новый кросс-сертификат будет содержать значение, отличное от указанного, т.к. издатель всегда заполняет это поле по собственной логике. Результатом будут затруднения при построении цепочки через новый кросс, т.к. сертификаты конечных пользователей будут содержать в расширении AuthorityKeyIdentifier::AuthorityCertSerial серийный номер "старого" кросса.
+++++++++++++++++++++++++++++++++++++
Кстати другие поля-атрибуты сертификата кроме указанных мы даже тут не обсуждаем, хотя в представленных сертификатах можно ещё что по обсуждать.
С уважением,
