Операции управления PKI
Множество операций, для которых определены управляющие сообщения, могут быть сгруппированы следующим образом.
- Инициализация СА: при инициализации нового СА должны выполняться определенные шаги, такие как создание начальных CRLs, экспорт открытого ключа СА и т.п.
- Инициализация конечного участника; данная операция включает импорт открытого ключа корневого СА и запрошенной информации об опциях, поддерживаемых управляющим участником PKI.
-
Сертификация: множество операций, в результате которых создается новый сертификат.
- Начальная регистрация/сертификация – это процесс, в результате которого конечный участник впервые сообщает о себе СА или RA, до того как СА выпустит сертификат или сертификаты для данного конечного участника. Конечным результатом данного процесса (если он успешен) является выпуск сертификата для открытого ключа участника и возврат этого сертификата конечному участнику и/или помещение его в открытый репозиторий. Данный процесс может включать (и обычно включает) несколько "шагов", таких как инициализация оборудования конечного участника. Например, оборудование конечного участника может быть безопасно инициализировано открытым ключом СА, который будет использоваться для проверки действительности сертификационных путей. Более того, конечному участнику обычно бывает необходима инициализация собственной пары ключей.
- Изменение пары ключей: каждая пара ключей должна регулярно изменяться (замещаться новой парой), и должен выпускаться новый сертификат.
- Изменение сертификата: после того, как срок действительности сертификата истек, он может быть обновлен, если было соответствующее уведомление.
- Изменение пары ключей СА: как и в случае конечных участников пара ключей СА должна регулярно изменяться; при этом требуются различные механизмы, позволяющие в течение некоторого времени использовать как новый, так и старый открытые ключи СА.
- Запрос кросс-сертификации: один СА запрашивает выпуск кросс-сертификата у другого СА. В данном стандарте определены следующие термины.
Кросс-сертификат – это сертификат, в котором subject CA и issuer CA различны, и SubjectPublicKeyInfo содержит ключ проверки (например, сертификат выпущен для пары ключей подписывания subject CA). Когда необходимо более тонкое различие, могут использоваться следующие термины: кросс-сертификат называется междоменным кросс-сертификатом, если subject и issuer CA принадлежат различным административным доменам; в противном случае он называется внутридоменным кросс-сертификатом.
Замечание 1. Во многих окружениях термин "кросс-сертификат", если не будет дальнейшего уточнения, обычно считается синонимом "междоменного кросс-сертификата".
Замечание 2. Выпуск кросс-сертификатов может быть взаимным; это означает, что два СА могут выпустить кросс-сертификаты друг для друга, но также возможна ситуация, когда только один СА выпускает кросс-сертификат для другого СА.
- Изменение кросс-сертификата: происходит аналогично обычному изменению сертификата, но операция относится к кросс-сертификату.
- Операции опубликования сертификата и/или CRL: результатом некоторых операций управления PKI является опубликование сертификатов или CRLs:
- Опубликование сертификата: способы включают использование определенных сообщений или применение конкретного протокола (LDAP, например).
- Опубликование CRL аналогично опубликованию сертификата.
- Операции восстановления: определенные операции управления PKI используются при потере конечным участником своего PSE.
- Восстановление пары ключей: в качестве дополнительной возможности материал ключа пользователя (например, закрытый ключ пользователя, применяемый для шифрования) может быть сохранен СА, RA или системой архивирования, связанной с СА или RA. Если данный материал ключа необходимо восстановить (например, был забыт пароль или потерян файл ключей), может потребоваться протокол для поддержки такого восстановления.
- Операции отмены: результатом определенных операций PKI является создание новых записей CRL и/или новых CRLs.
- Запрос отмены: авторизованная личность оповещает СА об исключительной ситуации, требующей отмены сертификата.
- PSE операции: хотя определение операций PSE (например, пересылка PSE, цепочка PIN и т.д.) находится вне данной предметной области, определено специальное сообщение, которое может служить основой для таких операций.
Заметим, что on-line протоколы являются не единственным способом реализации перечисленных выше операций. Для всех операций существуют off-line методы, с помощью которых можно добиться того же самого результата, и в принципе никто не требует задействовать исключительно on-line протоколы. Например, если используется аппаратный токен, многие операции могут быть получены как часть физической доставки токена.
Далее определим множество стандартных сообщений, поддерживающих перечисленные выше операции. Также определим протоколы для доставки этих сообщений в различных окружениях (на основе различных протоколов).
Содержание раздела