Политика сертификатов (CP) представляет собой документ , который направлен на состояние какова различные субъекты в инфраструктуре открытых ключей (PKI), их роли и их обязанности. Этот документ опубликован в периметре PKI.
При использовании с Х.509 сертификатами , поле конкретного может быть установлено , чтобы включить ссылку на соответствующие политик сертификата. Таким образом, во время обмена любая полагающаяся сторона имеет доступ к уровню доверия, связанному с сертификатом, и может принять решение об уровне доверия, который следует поставить в сертификат.
RFC 3647 [ править ]
Справочным документом для написания политики сертификатов по состоянию на декабрь 2010 [Обновить]г. является RFC 3647 . RFC предлагает основу для написания политик сертификатов и положений о практике сертификации (CPS). Описанные ниже моменты основаны на структуре, представленной в RFC.
Основные моменты [ править ]
Архитектура [ править ]
Документ должен описывать общую архитектуру соответствующей PKI, представлять различные объекты PKI и любой обмен, основанный на сертификатах, выданных этой самой PKI.
Сертификат использует [ править ]
Важным моментом политики сертификатов является описание разрешенного и запрещенного использования сертификатов. Когда сертификат выдается, в его атрибутах можно указать, для каких сценариев использования он предназначен. Например, сертификат может быть выдан цифровой подписи по электронной почте ( так называемый S / MIME ), шифрования данных, аутентификации (например , из веб - сервера , так как при одном использовании HTTPS ) или последующей выдачей сертификатов (делегирование полномочий) . Запрещенное использование указано таким же образом.
Именование, идентификация и аутентификация [ править ]
В документе также описывается, как следует выбирать имена сертификатов, и, кроме того, связанные с этим потребности для идентификации и аутентификации . Когда заявка на сертификацию заполнена, сертификационный орган (или, по делегированию, регистрирующий орган ) отвечает за проверку информации, предоставленной заявителем, такой как его личность. Это необходимо для того, чтобы удостовериться, что CA не участвует в краже личных данных .
Генерация ключей [ править ]
Поколение из ключей также упоминается в политике сертификатов. Пользователям может быть разрешено создавать свои собственные ключи и отправлять их в ЦС для создания соответствующего сертификата. PKI также может запретить генерируемые пользователем ключи и предоставить отдельный и, вероятно, более безопасный способ генерации ключей (например, с помощью аппаратного модуля безопасности ).
Процедуры [ править ]
Различные процедуры подачи заявки на сертификат, выдачи, принятия, обновления, смены ключей, модификации и отзыва составляют большую часть документа. Эти процедуры описывают, как должен действовать каждый субъект PKI, чтобы был принят весь уровень доверия.
Оперативный контроль [ править ]
Затем находится глава, посвященная физическому и процедурному контролю, процедурам аудита и регистрации, задействованным в PKI для обеспечения целостности , доступности и конфиденциальности данных .
Технический контроль [ править ]
В этой части описываются технические требования в отношении размеров ключей, защиты закрытых ключей (с помощью условного депонирования ключей ) и различных типов контроля, касающихся технической среды (компьютеры, сеть).
Списки отозванных сертификатов [ править ]
Эти списки являются жизненно важной частью любой инфраструктуры открытых ключей, и поэтому отдельная глава посвящена описанию управления, связанного с этими списками, для обеспечения согласованности между статусом сертификата и содержимым списка.
Аудит и оценка [ править ]
PKI необходимо проверить, чтобы убедиться, что она соответствует правилам, изложенным в ее документах, например политике сертификатов. Здесь описаны процедуры, используемые для оценки такого соответствия .
Другое [ править ]
В этой последней главе рассматриваются все оставшиеся вопросы, на примере всех юридических вопросов, связанных с PKI.
Ссылки [ править ]
- RFC 3647