Dal RFC X.509 :
DistributionPoint ::= SEQUENCE {
distributionPoint [0] DistributionPointName OPTIONAL,
reasons [1] ReasonFlags OPTIONAL,
cRLIssuer [2] GeneralNames OPTIONAL }
DistributionPointName ::= CHOICE {
fullName [0] GeneralNames,
nameRelativeToCRLIssuer [1] RelativeDistinguishedName }
GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName
GeneralName ::= CHOICE {
otherName [0] AnotherName,
rfc822Name [1] IA5String,
dNSName [2] IA5String,
x400Address [3] ORAddress,
directoryName [4] Name,
ediPartyName [5] EDIPartyName,
uniformResourceIdentifier [6] IA5String,
iPAddress [7] OCTET STRING,
registeredID [8] OBJECT IDENTIFIER }
Anche ....
If the DistributionPointName contains multiple values, each name
describes a different mechanism to obtain the same CRL. For example,
the same CRL could be available for retrieval through both LDAP and
HTTP.
La mia domanda è ... come funzionano i meccanismi di distribuzione per ognuno di essi? rfc822Name è e-mail, penso, quindi cosa dovresti fare? Spara all'indirizzo e-mail specificato da quell'email e ti aspetti di rispondere automaticamente con il CRL?
dNSName è per i nomi di dominio, quindi cosa fai lì? Richiedi il record TXT per www.domain.tld? E che dire di ipAddress? Dovrei usare un particolare protocollo per ottenere il CRL?
Non ho idea di cosa debbano essere x400Address, ediPartyName o ID registrati ..
Suppongo che DirectoryName debba essere un altro DN, ma non sono sicuro di come questo indichi come ottenere il CRL. Forse dovresti trovare una CA il cui soggetto corrisponda al nome della directory del punto di distribuzione CRL dei certificati e vedere se contiene un URI (o indirizzo email o altro)?