WikiDer > Политика сертификатов
А политика сертификатов (CP) - это документ, цель которого состоит в том, чтобы указать, каковы различные сущности инфраструктура открытого ключа (PKI), их роли и их обязанности. Этот документ публикуется в периметре PKI.
При использовании с X.509 сертификаты, можно настроить конкретное поле для включения ссылки на связанную политику сертификатов. Таким образом, во время обмена любая полагающаяся сторона имеет доступ к уровню доверия, связанному с сертификатом, и может принять решение о уровень доверия поставить сертификат.
RFC 3647
Справочный документ для написания политики сертификатов по состоянию на декабрь 2010 г.[Обновить], RFC 3647. RFC предлагает структуру для написания политик сертификатов и Положения о практике сертификации (CPS). Описанные ниже моменты основаны на структуре, представленной в RFC.
Основные положения
Архитектура
Документ должен описывать общую архитектуру соответствующей PKI, представлять различные объекты PKI и любой обмен, основанный на сертификатах, выданных этой самой PKI.
Сертификат использует
Важным пунктом политики сертификатов является описание разрешенного и запрещенного использования сертификатов. Когда сертификат выдается, в его атрибутах можно указать, для каких сценариев использования он предназначен. Например, сертификат может быть выдан на цифровой подписи из электронное письмо (он же S / MIME), шифрование данных, аутентификация (например, из веб сервер, как при использовании HTTPS) или дальнейшая выдача сертификатов (делегирование полномочий). Запрещенное использование указано таким же образом.
Именование, идентификация и аутентификация
В документе также описывается, как следует выбирать имена сертификатов, и, кроме того, связанные с этим потребности в идентификация и аутентификация. При заполнении заявки на сертификацию Центр сертификации (или, по делегированию, регистрирующий орган) отвечает за проверку информации, предоставленной заявителем, такой как его личность. Это необходимо для того, чтобы убедиться, что центр сертификации не участвует в кража личных данных.
Генерация ключей
В поколение из ключи также упоминается в политике сертификатов. Пользователям может быть разрешено генерировать свои собственные ключи и отправлять их в CA для создания соответствующего сертификата. PKI также может запретить генерируемые пользователем ключи и предоставить отдельный и, вероятно, более безопасный способ генерации ключей (например, с помощью аппаратный модуль безопасности).
Процедуры
Различные процедуры подачи заявки на сертификат, выдачи, принятия, обновления, смены ключей, модификации и отзыва составляют большую часть документа. Эти процедуры описывают, как должен действовать каждый субъект PKI, чтобы был принят весь уровень доверия.
Операционный контроль
Затем находится глава, посвященная физическому и процедурному контролю, аудит и процедуры регистрации, задействованные в PKI, чтобы гарантировать целостность данных, доступность и конфиденциальность.
Технический контроль
В этой части описываются технические требования к размерам ключей, защите приватные ключи (с использованием условное депонирование ключей) и различные типы контроля технической среды (компьютеры, сеть).
Списки отзыва сертификатов
Те списки являются жизненно важной частью любой инфраструктуры открытого ключа, и поэтому отдельная глава посвящена описанию управления, связанного с этими списками, для обеспечения согласованности между статусом сертификата и содержанием списка.
Аудит и оценка
PKI необходимо проверить, чтобы убедиться, что она соответствует правилам, изложенным в ее документах, например политике сертификатов. Процедуры, используемые для оценки таких согласие описаны здесь.
Другой
В этой последней главе рассматриваются все оставшиеся вопросы, на примере всех юридических вопросов, связанных с PKI.