Иерархические сертификаты
Иерархические сертификаты удостоверяют иерархические имена. В ID-файле пользователя с иерархическим именем может присутствовать только один иерархический сертификат. Однако внутренне иерархический сертификат представляет собой последовательность сертификатов-компонент, выданных сертификаторами верхних уровней организации для подчиненных им уровней. В результате полное иерархическое имя пользователя "согласовано" с имеющейся в ID-файле последовательностью сертификатов-компонент.
Например, иерархическому имени Mary Jones/Sales/Software Products/Lotus/US соответствует такая последовательность сертификатов-компонент:
· Mary Jones/Sales/Software Products/Lotus/US сертифицирована /Sales/Software Products/Lotus/US
· /Sales/Software Products/Lotus/US сертифицирован /Software Products/Lotus/US
· /Software Products/Lotus/US сертифицирован /Lotus/US
· /Lotus/US сертифицирован "самим же" /Lotus/US (это верхний уровень в дереве имен).
Каждый сертификат-компонента устанавливает ассоциацию между соответствующим именем и публичным ключом "за подписью" соответствующего уровня (см. Рис. 8.4). Например, первый сертификат-компонента устанавливает ассоциацию между именем Mary Jones/Sales/Software Products/Lotus/US и ее публичным ключом "за подписью" сертификатора /Sales/Software Products/Lotus/US. /US не имя сертификатора, а обозначение страны, применяемое для того, чтобы гарантировать всемирную уникальность имени.
Рассмотрев сертификаты-компоненты, имеющиеся в ID-файле (см. Рис. 8.2), вы можете обнаружить, что их на самом деле больше, чем следует из приведенных выше соображений. Дело в том, что некоторые сертификаты-компоненты могут присутствовать в двух экземплярах - для лицензий видов International и North American. Однако в поставляемых за пределы Северной Америки версиях Notes International эти оба экземпляра "отображают" одно и то же.
Когда ID-файл пользователя с иерархическим именем сертифицируется, в нем заменяется сразу вся последовательность сертификатов-компонент. Поэтому сертификацию ID-файла с иерархическим именем более точно называют ресертификацией.
