Tabla de contenido
Forma del nombre del
sujeto
Uso previsto
Firmado por
Periodo de validez
Longitud del módulo
Extensiones
11.3.2.3 Validación de los certificados
La validación de los certificados supone la de la cadena de certificados vinculada desde los
certificados de la entidad final hasta la raíz válida. Por ejemplo, la firma del certificado del
elemento PS se verifica con el certificado CA del fabricante y a continuación la firma del
certificado CA del fabricante se verifica con el certificado CA raíz del fabricante. El certificado CA
raíz del fabricante es autofirmado y se recibe de una fuente de confianza mediante un procedimiento
seguro. La clave pública presente en el certificado CA raíz del fabricante se utiliza para validar la
signatura en este mismo certificado.
Las reglas exactas para la validación de la cadena de certificados DEBEN ajustarse totalmente a
RFC 3280, que la denomina "validación del trayecto de los certificados". En general, los
certificados X.509 soportan un generoso conjunto de reglas para determinar si el nombre del
expedidor de un certificado corresponde al nombre del sujeto de otro. Las reglas son tales que
puede declararse la concordancia de dos campos de nombres aunque la comparación binaria de
éstos no produzca una concordancia. RFC 3280 recomienda que las autoridades de los certificados
limiten la codificación de los campos de nombre de modo que una implementación pueda declarar
su concordancia o discordancia mediante una comparación binaria sencilla. La seguridad de
IPCable2Home se ajusta a la presente Recomendación. Por consiguiente, el campo
tbsCertificate.issuer codificado en DER de un certificado DEBE coincidir exactamente con el
campo tbsCertificate.subject codificado en DER del certificado expedidor. Una implementación
PUEDE comparar un nombre de expedidor con un nombre de sujeto efectuando una comparación
binaria de los campos tbsCertificate.issuer y tbsCertificate.subject codificados en DER.
La validación de los periodos de validez de jerarquización no se comprueba ni se prescribe, a
propósito, lo que es conforme con las normas actuales. En el momento de su expedición, la fecha de
comienzo de la validez de cualquier certificado de entidad final DEBE coincidir o ser posterior con
la fecha de comienzo del periodo de validez del certificado CA expedidor. Una vez renovado un
certificado CA, las fechas de comienzo de los certificados de la entidad final PUEDEN ser
anteriores a la fecha de comienzo del certificado CA expedidor. La fecha final de validez para las
entidades puede ser anterior, idéntica o posterior a la fecha final de validez para la CA expedidora
de acuerdo con lo especificado en los cuadros del certificado.
Cuadro 11-13/J.191 − Certificado KDC
C=<país>
O=<nombre de la empresa>
[OU=<nombre del sistema local>]
OU=centro de distribución de claves
CN=<nombre de DNS>
Este certificado se emite ya sea por la CA del proveedor de servicios o por la
CA del sistema local, y se utiliza para autenticar la identidad del KDC ante
los clientes Kerberos durante los intercambios PKINIT. Este certificado se
entrega al elemento PS dentro de la respuesta PKINIT.
CA del proveedor de servicios o CA del sistema local
20 años
1024, 1536, 2048
keyUsage[c,o](digitalSignature)
authorityKeyIdentifier[n,m](keyIdentifier=<subjectKeyIdentifier value
from CA certificate>)
subjectAltName[n,m] (see Annex C/J.170)
Rec. UIT-T J.191 (03/2004)
133
Tabla de contenido
