Протокол управления сертификатами
| CMP (протокол управления сертификатами) | ||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| семья: | неизвестный | |||||||||||||||||||||||||||||
| область применения: | управление сертификатами | |||||||||||||||||||||||||||||
| новейшая версия: | cmp2021(3) | |||||||||||||||||||||||||||||
| OID последней версии: | 1.3.6.1.5.5.7.0.16 | |||||||||||||||||||||||||||||
| TCP/UDP-порт: | 80 (http), 443 (https), 829 (pkix-3-ca-ra) | |||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||
| предлагаемый стандарт: | ||||||||||||||||||||||||||||||
| устаревший стандарт: | ||||||||||||||||||||||||||||||
Протокол управления сертификатами (CMP) — это интернет-протокол, стандартизированный IETF , используемый для получения цифровых сертификатов X.509 в инфраструктуре открытых ключей (PKI).
CMP — это очень многофункциональный и гибкий протокол, поддерживающий множество типов криптографии. Сообщения CMP являются автономными, что, в отличие от EST , делает протокол независимым от транспортного механизма и обеспечивает сквозную безопасность. Сообщения CMP кодируются в ASN.1 с использованием метода DER .
CMP описан в РФК 4210 . В сообщениях запроса на регистрацию используется формат сообщения запроса сертификата (CRMF), описанный в разделе РФК 4211 . Единственным другим протоколом, использующим CRMF, является Управление сертификатами через CMS (CMC), описанное в разделе РФК 5273 .
История
[ редактировать ]Устаревшая версия CMP описана в RFC 2510 , соответствующая версия CRMF в РФК 2511 .
В ноябре 2023 года были опубликованы обновления CMP , алгоритмы CMP и передача CoAP для CMP , а также упрощенный профиль CMP, ориентированный на промышленное использование.
Объекты PKI
[ редактировать ]В инфраструктуре открытых ключей (PKI) так называемые конечные объекты (EE) действуют как клиент CMP, запрашивая для себя один или несколько сертификатов у центра сертификации (CA), который выдает юридические сертификаты и действует как сервер CMP. (RA) или любое его количество Ни один центр регистрации не могут использоваться для посредничества между EE и CA, имеющими как нисходящий интерфейс сервера CMP, так и восходящий клиентский интерфейс CMP. Используя «запрос на перекрестную сертификацию», центр сертификации может получить сертификат, подписанный другим центром сертификации.
Функции
[ редактировать ]- Автономные сообщения с защитой, независимой от механизма передачи – в отличие от связанных протоколов EST и SCEP , это поддерживает сквозную безопасность.
- Полная поддержка жизненного цикла сертификатов: конечный объект может использовать CMP для получения сертификатов от центра сертификации, запроса обновлений для них, а также их отзыва.
- Генерация пары ключей обычно выполняется на стороне клиента, но ее также можно запросить со стороны сервера.
- Подтверждение владения обычно осуществляется путем самоподписи содержимого запрошенного сертификата, но CMP поддерживает и другие методы.
- CMP поддерживает очень важный аспект подтверждения происхождения в двух форматах: на основе общего секрета (используется изначально) и на основе подписи (с использованием уже существующих сертификатов).
- В случае, если конечный объект потерял свой закрытый ключ и он хранится в центре сертификации, его можно восстановить, запросив «восстановление пары ключей».
- Возможны различные дополнительные типы запросов, например, для получения сертификатов CA и для получения параметров PKI и предпочтений на стороне сервера.
Транспорт
[ редактировать ]Сообщения CMP обычно передаются с помощью HTTP, но можно использовать любой надежный способ передачи.
- Инкапсулированный в HTTP- сообщениях, [1] опционально использование TLS ( HTTPS ) для дополнительной защиты.
- Инкапсулируется в CoAP сообщения , опционально с использованием DTLS для дополнительной защиты. [2]
- TCP или любой другой надежный транспортный протокол, ориентированный на соединение.
- В виде файла , например, по FTP или SCP .
- По электронной почте , используя стандарт кодирования MIME .
— тип контента Используемый application/pkixcmp ; более старые версии черновика использовали application/pkixcmp-poll , application/x-pkixcmp или application/x-pkixcmp-poll .
Реализации
[ редактировать ] | В этом разделе приведены самостоятельные примеры популярной культуры . ( Октябрь 2021 г. ) |
- OpenSSL версии 3.0 включает расширенную поддержку CMP в C. [3]
- Bouncy Castle API предлагает низкоуровневую поддержку CMP на Java и C#. [4]
- RSA BSAFE Cert-J обеспечивает поддержку CMP.
- cryptlib обеспечивает поддержку CMP.
- EJBCA , программное обеспечение CA , реализует подмножество [4] [5] функций CMP.
- Менеджер сертификатов Nexus поддерживает CMP.
- Менеджер безопасности доверенного органа реализует поддержку CMP.
- Центр сертификации Insta реализует поддержку CMPv2.
См. также
[ редактировать ]- Простой протокол регистрации сертификатов (SCEP)
- Управление сертификатами через CMS (CMC)
- Регистрация через Secure Transport (EST)
- Автоматизированная среда управления сертификатами (ACME)
Ссылки
[ редактировать ]- ^ RFC 6712 Internet X.509 Инфраструктура открытых ключей - передача HTTP для протокола управления сертификатами (CMP)
- ^ «Передача протокола ограниченного приложения (CoAP) для протокола управления сертификатами» .
- ^ CMPforOpenSSL, страница GitHub
- ^ Jump up to: а б «Техническое обновление — CMP в EJBCA и Bouncy Castle» . Проверено 21 июня 2022 г.
- ^ «EJBCA — Центр сертификации Java EE» . Архивировано из оригинала 7 июня 2019 г. Проверено 7 июня 2019 г.