проверяющий должен получить доступ
В случае 2 проверяющий должен получить доступ к старому открытому ключу СА. Проверяющий делает следующее:
- Смотрит атрибут caCertificate в директории и получает OldWithNew- сертификат (определяемый на основе периода действительности);
- Проверяет, все ли в порядке, используя новый ключ СА (который он имеет локально);
- Если все нормально, проверяет сертификат подписавшего, используя старый открытый ключ СА.
Случай 2 встречается, когда оператор СА выпустил сертификат подписывающего, затем изменил ключ и выпустил сертификат проверяющего; таким образом, это вполне типичный случай.
В случае 3 проверяющий должен получить доступ к новому открытому ключу СА. Проверяющий делает следующее:
- Смотрит атрибут саCertificate в директории и получает NewWithOld- сертификат (определяемый на основе периода действительности);
- Проверяет, корректен ли он, используя старый открытый ключ СА (который хранится локально);
- В случае корректности проверяет сертификат подписавшего, используя новый открытый ключ СА.
Случай 3 имеет место, когда оператор СА выпускает сертификат проверяющего, затем изменяет ключ и выпускает сертификат подписавшего; таким образом, это вполне типичный случай.
