CMP (протокол управления сертификатами) | |||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
семья: | неизвестный | ||||||||||||||||||||||||||||
область применения: | управление сертификатами | ||||||||||||||||||||||||||||
последняя версия: | cmp2000 (2) | ||||||||||||||||||||||||||||
OID последней версии: | 1.3.6.1.5.5.7.0.16 | ||||||||||||||||||||||||||||
Порт TCP / UDP: | 80 (http), 443 (https), 829 (pkix-3-ca-ra) | ||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||
предлагаемый стандарт: | |||||||||||||||||||||||||||||
устаревший стандарт: |
Management Protocol Certificate (CMP) является интернет - протокол стандартизирован IETF , используемый для получения X.509 цифровых сертификатов в инфраструктуре открытых ключей (PKI).
CMP - это многофункциональный и гибкий протокол, поддерживающий любые типы криптографии. Сообщения CMP являются самодостаточными, что, в отличие от EST , делает протокол независимым от транспортного механизма и обеспечивает сквозную безопасность. Сообщения CMP кодируются в ASN.1 с использованием метода DER .
CMP описан в RFC 4210 . Сообщения запроса на регистрацию используют формат сообщения запроса сертификата (CRMF), описанный в RFC 4211 . Единственный другой протокол, использующий CRMF, - это управление сертификатами через CMS (CMC), описанный в RFC 5273 .
История
Устаревшая версия CMP описана в RFC 2510 , соответствующая версия CRMF в RFC 2511 . Готовится обновление CMP, а также облегченный профиль CMP, ориентированный на промышленное использование.
Объекты PKI
В инфраструктуре открытых ключей (PKI) так называемые конечные объекты (EE) действуют как клиент CMP, запрашивая для себя один или несколько сертификатов у центра сертификации (CA), который выдает юридические сертификаты и действует как сервер CMP. Ни один или любое количество органов регистрации (RA) может использоваться для посредничества между EE и CA, имея как нисходящий интерфейс сервера CMP, так и интерфейс клиента CMP восходящего потока. Используя «запрос перекрестной сертификации», ЦС может получить сертификат, подписанный другим ЦС.
Функции
- Полная поддержка жизненного цикла сертификата: конечный объект sn может использовать CMP для получения сертификатов от ЦС, запроса обновлений для них, а также их отзыва.
- Генерация пары ключей обычно выполняется на стороне клиента, но также может быть запрошена на стороне сервера.
- Подтверждение владения обычно осуществляется путем самоподписи запрошенного содержимого сертификата, но CMP поддерживает и другие методы.
- CMP поддерживает очень важный аспект подтверждения происхождения в двух форматах: на основе общего секрета (используется изначально) и на основе подписи (с использованием ранее существовавших сертификатов).
- В случае, если конечный объект потерял свой закрытый ключ и хранится в CA, он может быть восстановлен, запросив «восстановление пары ключей».
- Возможны различные дополнительные типы запросов, например, для получения сертификатов CA и для получения параметров PKI и предпочтений на стороне сервера.
Транспорт
Сообщения CMP обычно передаются с использованием HTTP, но можно использовать любые средства передачи.
- Инкапсулировано в HTTP- сообщении. [1]
- TCP или любой другой надежный транспортный протокол с установлением соединения.
- В виде файла, например, через FTP или SCP .
- По электронной почте , используя стандарт кодирования MIME .
Используемый Content-Type - application / pkixcmp ; более старые версии черновика использовали application / pkixcmp-poll , application / x-pkixcmp или application / x-pkixcmp-poll .
Реализации
- OpenSSL версии 3.0 будет включать расширенную поддержку CMP в C. [2]
- Bouncy Castle API предлагает низкоуровневую библиотеку CMP для Java и C #.
- RSA BSAFE Cert-J обеспечивает поддержку CMP.
- Библиотека cryptlib обеспечивает поддержку CMP.
- EJBCA , программное обеспечение CA , реализует подмножество [3] функций CMP.
- Диспетчер сертификатов Nexus поддерживает CMP.
- Entrust Authority Security Manager реализует поддержку CMP.
- Insta Certifier CA реализует поддержку CMPv2.
Смотрите также
- Простой протокол регистрации сертификатов (SCEP)
- Управление сертификатами через CMS (CMC)
- Регистрация через безопасный транспорт (EST)
- Автоматизированная среда управления сертификатами (ACME)
Рекомендации
- ^ RFC 6712 Internet X.509 Public Key Infrastructure - HTTP Transfer для протокола управления сертификатами (CMP)
- ^ CMPforOpenSSL, страница GitHub
- ^ «EJBCA - Центр сертификации Java EE» . Архивировано из оригинала на 2019-06-07 . Проверено 7 июня 2019 .