RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич

3. Обзор модели Х.509/PKI-инфраструктуры

Далее рассматривается иерархическая модель PKI-инфраструктуры, представленная в Рекомендации ITU-T X.509.

Компонентами этой модели являются:

  • Конечный PKI-пользователь
  • Пользователь PKI-сертификатов и/или система, обслуживающая конечных пользователей, который(ая) является владельцем СЕРТ.
  • УЦ
  • Удостоверяющий центр (орган сертификации).
  • РЦ
  • Центр регистрации (т.е. дополнительная система, которой УЦ делегировал некоторые функции обеспечения СЕРТ).
  • Издатель СОС
  • Система, которая формирует и подписывает СОС.
  • Репозитарий
  • Система или совокупность распределённых систем, которая хранит СЕРТ и СОС, а также служит средством распространения этих СЕРТ и СОС среди конечных PKI-пользователей.

УЦ несут ответственность за указание состояния аннулирования СЕРТ, которые они выпустили. Информация о состоянии отзыва (аннулирования) может распространяться с помощью интерактивного протокола определения состояния сертификата (Online Certificate Status Protocol — OCSP, RFC-6960), списков отозванных СЕРТ или иным способом. В общем, когда информация о состоянии отзыва (аннулирования) распространяется с использованием СОС, тогда УЦ также является издателем СОС. Тем не менее, УЦ может делегировать свои полномочия по изданию СОС другому субъекту.

Замечание. УЦ, издающий атрибутные СЕРТ (СЕРТ|АТ), также может делегировать свои полномочия по опубликованию СОС издателю СОС.

Компоненты PKI-инфраструктуры

Рис.1. Компоненты PKI-инфраструктуры

2007 - 2017 © Русские переводы RFC, IETF, ISOC.