RFC 3280 (rfc3280) - Page 3 of 129
Internet X
Alternative Format: Original Text Document
RFC 3280 Internet X.509 Public Key Infrastructure April 2002
5.1.1.2 signatureAlgorithm . . . . . . . . . . . . . . . . 50
5.1.1.3 signatureValue . . . . . . . . . . . . . . . . . . 51
5.1.2 Certificate List "To Be Signed" . . . . . . . . . . . 51
5.1.2.1 Version . . . . . . . . . . . . . . . . . . . . . . 52
5.1.2.2 Signature . . . . . . . . . . . . . . . . . . . . . 52
5.1.2.3 Issuer Name . . . . . . . . . . . . . . . . . . . . 52
5.1.2.4 This Update . . . . . . . . . . . . . . . . . . . . 52
5.1.2.5 Next Update . . . . . . . . . . . . . . . . . . . . 53
5.1.2.6 Revoked Certificates . . . . . . . . . . . . . . . 53
5.1.2.7 Extensions . . . . . . . . . . . . . . . . . . . . 53
5.2 CRL Extensions . . . . . . . . . . . . . . . . . . . . 53
5.2.1 Authority Key Identifier . . . . . . . . . . . . . . 54
5.2.2 Issuer Alternative Name . . . . . . . . . . . . . . . 54
5.2.3 CRL Number . . . . . . . . . . . . . . . . . . . . . 55
5.2.4 Delta CRL Indicator . . . . . . . . . . . . . . . . . 55
5.2.5 Issuing Distribution Point . . . . . . . . . . . . . 58
5.2.6 Freshest CRL . . . . . . . . . . . . . . . . . . . . 59
5.3 CRL Entry Extensions . . . . . . . . . . . . . . . . . 60
5.3.1 Reason Code . . . . . . . . . . . . . . . . . . . . . 60
5.3.2 Hold Instruction Code . . . . . . . . . . . . . . . . 61
5.3.3 Invalidity Date . . . . . . . . . . . . . . . . . . . 62
5.3.4 Certificate Issuer . . . . . . . . . . . . . . . . . 62
6 Certificate Path Validation . . . . . . . . . . . . . . . 62
6.1 Basic Path Validation . . . . . . . . . . . . . . . . . 63
6.1.1 Inputs . . . . . . . . . . . . . . . . . . . . . . . 66
6.1.2 Initialization . . . . . . . . . . . . . . . . . . . 67
6.1.3 Basic Certificate Processing . . . . . . . . . . . . 70
6.1.4 Preparation for Certificate i+1 . . . . . . . . . . . 75
6.1.5 Wrap-up procedure . . . . . . . . . . . . . . . . . . 78
6.1.6 Outputs . . . . . . . . . . . . . . . . . . . . . . . 80
6.2 Extending Path Validation . . . . . . . . . . . . . . . 80
6.3 CRL Validation . . . . . . . . . . . . . . . . . . . . 81
6.3.1 Revocation Inputs . . . . . . . . . . . . . . . . . . 82
6.3.2 Initialization and Revocation State Variables . . . . 82
6.3.3 CRL Processing . . . . . . . . . . . . . . . . . . . 83
7 References . . . . . . . . . . . . . . . . . . . . . . . 86
8 Intellectual Property Rights . . . . . . . . . . . . . . 88
9 Security Considerations . . . . . . . . . . . . . . . . . 89
Appendix A. ASN.1 Structures and OIDs . . . . . . . . . . . 92
A.1 Explicitly Tagged Module, 1988 Syntax . . . . . . . . . 92
A.2 Implicitly Tagged Module, 1988 Syntax . . . . . . . . . 105
Appendix B. ASN.1 Notes . . . . . . . . . . . . . . . . . . 112
Appendix C. Examples . . . . . . . . . . . . . . . . . . . 115
C.1 DSA Self-Signed Certificate . . . . . . . . . . . . . . 115
C.2 End Entity Certificate Using DSA . . . . . . . . . . . 119
C.3 End Entity Certificate Using RSA . . . . . . . . . . . 122
C.4 Certificate Revocation List . . . . . . . . . . . . . . 126
Author Addresses . . . . . . . . . . . . . . . . . . . . . . 128
Housley, et. al. Standards Track