Cuadro 11-10/J.191 − Certificado CA raíz del proveedor de servicios
Forma del nombre del
sujeto
Uso previsto
Firmado por
Periodo de validez
Longitud del módulo
Extensiones
11.3.2.2.3.2
Certificado CA del proveedor de servicios
El certificado CA del proveedor de servicios DEBE verificarse como parte de la cadena de
certificados que contiene el certificado CA raíz del proveedor de servicios, el certificado CA del
proveedor de servicios, el certificado CA opcional del sistema local y los certificados auxiliares.
Cuadro 11-11/J.191 − Certificado CA del proveedor de servicios
Forma del nombre del
sujeto
Uso previsto
Firmado por
Periodo de validez
Longitud del módulo
Extensiones
C=<país>
O=
CN=CA raíz del proveedor de servicios
Este certificado se utiliza para expedir certificados CA del proveedor de
servicios.
Autofirmado
Superior a 20 años
2048
KeyUsage [c,m] (keyCertSign, cRL Sign),
subjectKeyIdentifier [n,m],
basicConstraints [c,m](cA=true)
C=<país>
O=<nombre de la empresa>
CN=<nombre de la empresa>CA proveedor de servicios
La CA raíz del proveedor de servicios emite este certificado a cada uno de los
proveedores de servicios. Para facilitar la actualización de este certificado,
cada uno de los elementos de red se configura con el atributo
OrganizationName del SubjectName del certificado CA del proveedor de
servicios. Éste es el único atributo del certificado que debe mantenerse
inalterado.
Este certificado aparece como un parámetro de sólo lectura en el objeto de la
MIB que identifica el atributo OrganizationName para el sector Kerberos.
Este elemento no acepta certificados de proveedor de servicios que no
concuerden con este valor del atributo OrganizationName en el SubjectName.
Si la cabecera contiene un KDC que soporta esta Recomendación, el
elemento PS necesita ejecutar el primer intercambio PKINIT con el KDC
justo tras un arranque, momento en el que los cuadros de la MIB aún no están
configurados. En dicho momento, el cliente Kerberos DEBE aceptar
cualquier atributo OrganizationalName del proveedor de servicios, pero
DEBE comprobar más adelante que el valor añadido a la MIB para este
sector es el mismo que el de la respuesta inicial PKINIT.
Esta CA expide certificados CA del sistema local y certificados auxiliares.
CA raíz del proveedor de servicios
20 años
2048
keyUsage[c,m](keyCertSign, cRLSign),
subjectKeyIdentifier [n,m],
authorityKeyIdentifier [n,m],
basicConstraints[c,m](cA=true, pathLenConstraint=1)
Rec. UIT-T J.191 (03/2004)
131