Установление сервером доверия к публичному ключу клиента с применением простых сертификатов
При применении простых сертификатов используются следующие правила доверия публичным ключам.
1. Доверять любому публичному ключу, полученному из сертификата, сохраненного в своем ID-файле.
2. Доверять любому публичному ключу, полученному из имеющего силу (т.е. уже прошедшего проверку) сертификата.
Использование этих правил в ходе установления подлинности клиента можно проиллюстрировать на следующем примере.
· Клиент Doe сообщает свое имя и публичный ключ серверу SALES. SALES пока не доверяет публичному ключу Doe.
· SALES сообщает Doe имя сертификатора, создавшего простой сертификат, имеющийся в его ID-файле.
· Doe просматривает простые сертификаты в своем ID-файле. Находит среди них сертификат, созданный сертификатором, имя которого сообщил ему SALES. Посылает этот сертификат SALES.
· SALES читает публичный ключ своего сертификатора из сертификата в своем ID-файле. Согласно правилу 1 SALES доверяет этому публичному ключу.
· SALES проверяет сертификат, полученный от Doe, используя при этом публичный ключ своего сертификатора. Эта проверка включает вычисление "контрольной суммы" по информации из сертификата и сравнение её с "контрольной суммой", хранящейся в самом сертификате. Однако хранящаяся в сертификате "контрольная сумма" зашифрована личным ключом сертификатора, и для того, чтобы её расшифровать, как раз и необходим публичный ключ этого сертификатора. Если проверка успешна ("контрольные суммы" совпали), полученный от Doe сертификат имеет силу. Тогда согласно правилу 2 SALES доверяет публичному ключу Doe.
