Протоколы безопасного сетевого взаимодействия

Объекты репозитория PKI


Объектами, представленными в репозитории, являются:

  • Конечные участники.
  • СА.

Следующий вспомогательный класс объекта может использоваться для представления субъектов сертификата:

pkiUser OBJECT-CLASS ::= { SUBCLASS OF { top} KIND auxiliary MAY CONTAIN {userCertificate} ID joint-iso-ccitt(2) ds(5) objectClass(6) pkiUser(21) } userCertificate ATTRIBUTE ::= { WITH SYNTAX Certificate EQUALITY MATCHING RULE certificateExactMatch ID joint-iso-ccitt(2) ds(5) attributeType(4) userCertificate(36) }

Конечный участник может получить один или более сертификатов от одного или более СAs. Атрибут userCertificate должен использоваться для представления этих сертификатов в записи каталога , относящейся к данному пользователю.

Следующий вспомогательный класс объекта может применяться для представления CAs:

pkiCA OBJECT-CLASS ::= { SUBCLASS OF { top} KIND auxiliary MAY CONTAIN {cACertificate | certificateRevocationList | authorityRevocationList | crossCertificatePair } ID joint-iso-ccitt(2) ds(5) objectClass(6) pkiCA(22) } cACertificate ATTRIBUTE ::= { WITH SYNTAX Certificate EQUALITY MATCHING RULE certificateExactMatch ID joint-iso-ccitt(2) ds(5) attributeType(4) cACertificate(37) } crossCertificatePairATTRIBUTE::={ WITH SYNTAX CertificatePair EQUALITY MATCHING RULE certificatePairExactMatch ID joint-iso-ccitt(2) ds(5) attributeType(4) crossCertificatePair(40) }

Атрибут cACertificate записи каталога СА должен использоваться для хранения самоподписанных сертификатов (если они есть) и сертификатов, выпущенных для данного СА САs из той же области, что и данный СА.

Forward-элементы crossCertificatePair-атрибута записи каталога СА должны использоваться для хранения всех сертификатов, выпущенных данным СА за исключением самоподписанных сертификатов. Дополнительно reverse элементы crossCertificatePair-атрибута записи каталога СА могут содержать подмножество сертификатов, выпущенных данным СА для других CAs. Когда присутствуют оба элемента, forward и reverse, в значении одного атрибута, имя выпускающего в одном сертификате должно соответствовать имени субъекта в другом и наоборот, и открытый ключ субъекта в одном сертификате должен иметь возможность проверять подпись в другом сертификате и наоборот.




Содержание  Назад  Вперед