Протоколы безопасного сетевого взаимодействия


Операции управления PKI - часть 2


Кросс-сертификат – это сертификат, в котором subject CA и issuer CA различны, и SubjectPublicKeyInfo содержит ключ проверки (например, сертификат выпущен для пары ключей подписывания subject CA). Когда необходимо более тонкое различие, могут использоваться следующие термины: кросс-сертификат называется междоменным кросс-сертификатом, если subject и issuer CA принадлежат различным административным доменам; в противном случае он называется внутридоменным кросс-сертификатом.

Замечание 1. Во многих окружениях термин "кросс-сертификат", если не будет дальнейшего уточнения, обычно считается синонимом "междоменного кросс-сертификата".

Замечание 2. Выпуск кросс-сертификатов может быть взаимным; это означает, что два СА могут выпустить кросс-сертификаты друг для друга, но также возможна ситуация, когда только один СА выпускает кросс-сертификат для другого СА.

  • Изменение кросс-сертификата: происходит аналогично обычному изменению сертификата, но операция относится к кросс-сертификату.
  • Операции опубликования сертификата и/или CRL: результатом некоторых операций управления PKI является опубликование сертификатов или CRLs:
    1. Опубликование сертификата: способы включают использование определенных сообщений или применение конкретного протокола (LDAP, например).
    2. Опубликование CRL аналогично опубликованию сертификата.
  • Операции восстановления: определенные операции управления PKI используются при потере конечным участником своего PSE.
    1. Восстановление пары ключей: в качестве дополнительной возможности материал ключа пользователя (например, закрытый ключ пользователя, применяемый для шифрования) может быть сохранен СА, RA или системой архивирования, связанной с СА или RA. Если данный материал ключа необходимо восстановить (например, был забыт пароль или потерян файл ключей), может потребоваться протокол для поддержки такого восстановления.
  • Операции отмены: результатом определенных операций PKI является создание новых записей CRL и/или новых CRLs.
    1. Запрос отмены: авторизованная личность оповещает СА об исключительной ситуации, требующей отмены сертификата.
  • PSE операции: хотя определение операций PSE (например, пересылка PSE, цепочка PIN и т.д.) находится вне данной предметной области, определено специальное сообщение, которое может служить основой для таких операций.
  • Заметим, что on-line протоколы являются не единственным способом реализации перечисленных выше операций. Для всех операций существуют off-line методы, с помощью которых можно добиться того же самого результата, и в принципе никто не требует задействовать исключительно on-line протоколы. Например, если используется аппаратный токен, многие операции могут быть получены как часть физической доставки токена.

    Далее определим множество стандартных сообщений, поддерживающих перечисленные выше операции. Также определим протоколы для доставки этих сообщений в различных окружениях (на основе различных протоколов).




    - Начало -  - Назад -  - Вперед -



    Книжный магазин