RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич

3.4. Функциональные протоколы

Функциональные протоколы необходимы для доставки СЕРТ и СОС (или информации об их состоянии) прикладным пользовательским системам, предусматривающим применение СЕРТ. Необходимы и дополнительные меры по обеспечению всего многообразия средств доставки СЕРТ и СОС, включая процедуры распространения, основанные на LDAP-, HTTP- и FTP-протоколах, а также на Рекомендации ITU-T X.509. Функциональные протоколы, реализующие такие функции представлены в других стандартах в интересах глобальной PKI-инфраструктуры. В таких стандартах могут быть представлены описания форматов сообщений и процедуры для поддержки всех указанных выше функциональных прикладных систем, включая описания или ссылки на соответствующие типы MIME-сообщений (Multipurpose Internet Mail Extensions — RFC-2045...2049).

3.5. Протоколы обеспечения

Протоколы обеспечения (или обеспечивающие протоколы) необходимы для обеспечения интерактивного взаимодействия между PKI-пользователем и обеспечивающими субъектами. Например, обеспечивающий протокол может использоваться при взаимодействии УЦ и клиентской системой, с которой связаны пара ключей, либо — между двумя УЦ, которые кросс-сертифицированы друг с другом. К функциям, которые потенциально необходимы и которые реализуются с помощью обеспечивающих протоколов, относятся:

  • Регистрация:

  • Это процесс, с помощью которого пользователь первым оповещает УЦ о себе (напрямую или через РЦ), ещё до того, как УЦ выпустит сертификат или сертификаты для этого пользователя.

  • Инициализация:

    Прежде чем клиентская система сможет функционировать в защищённом режиме, необходимо инсталлировать ключевую информацию, которая соответствующим образом связана с криптоключами, хранящимися в другом месте инфраструктуры. Например, клиенту необходимо начать работу с открытым ключом и другой достоверной информацией надёжного УЦ (или нескольких УЦ) в защищённом режиме, которая будет использоваться при проверке подлинности МС.

Более того, как правило, клиенту необходимо инициализироваться для работы со своими собственными ключами (парами ключей).

  1. Сертификация:

    Это процесс, в котором УЦ выпускает СЕРТ открытого ключа пользователя, направляет этот СЕРТ|ОК клиентскую систему, обслуживающую пользователя, и/или передаёт этот СЕРТ|ОК в репозитарий.

  2. Восстановление пары ключей:

    Это дополнительная (не обязательная) функция. Информация о клиентском ключе пользователя (например, закрытый ключ пользователя, используемый для шифрования) может быть заархивирована УЦ или системой архивирования ключей. Если пользователю необходимо восстановить эту заархивированную информацию о ключе (например, в результате забывания пароля или потери файла с последовательностью ключей), то для обеспечения такого восстановления может понадобиться интерактивный протокол информационного обмена.

  3. Обновление пары ключей:

    Все пары ключей необходимо регулярно обновлять (т.е. заменять на новую пару ключей), а также необходимо выпускать новые сертификаты.

  4. Запрос аннулирования:

    Правомочная персона оповещает УЦ о нештатной ситуации, требующей аннулирования сертификата.

  5. Кросс-сертификация:

    Два УЦ обмениваются информацией, используемой при формировании кросс-сертификата. Кросс-сертификат представляет собой сертификат, выпущенный одним УЦ для другого УЦ, и который содержит ключ подписи УЦ, используемый при выпуске сертификатов.

Примечание. Интерактивные протоколы являются не единственным способом реализации рассмотренных выше функций. Для реализации всех функций существуют автономные методы, которые обеспечивают получение аналогичных результатов, а данный стандарт не предписывает использование интерактивных протоколов. Например, если используются съёмные носители информации (СНИ, hardware tokens), то многие функции могут быть реализованы путём физической доставки таких СНИ. Более того, некоторые из функций могут быть включены в один протокол информационного обмена. Соответственно, две или более функций регистрации, инициализации и сертификации могут быть объединены в одном протоколе информационного обмена.

Ряд стандартов в интересах глобальной PKI-инфраструктуры определяют набор стандартных форматов сообщений, предназначенных для реализации указанный выше функций. Кроме того, в этих стандартах представлены протоколы, предназначенные для доставки таких сообщений в различные прикладные системы (например, протоколы доставки сообщений электронной почты, файлов и гипертекстовых сообщений).

2007 - 2017 © Русские переводы RFC, IETF, ISOC.