Политика сертификатов
Политика сертификатов (CP) — это документ, целью которого является определение различных объектов инфраструктуры открытых ключей (PKI), их ролей и обязанностей. Этот документ опубликован в периметре PKI.
При использовании X.509 сертификатов в специальном поле можно указать ссылку на соответствующую политику сертификатов. Таким образом, во время обмена любая доверяющая сторона имеет доступ к уровню доверия, связанному с сертификатом, и может принять решение об уровне доверия к сертификату.
RFC 3647
[ редактировать ]Справочным документом для написания политики сертификатов по состоянию на декабрь 2010 г. [update], РФК 3647 . RFC предлагает структуру для написания политик сертификации и положений о практике сертификации (CPS). Описанные ниже моменты основаны на структуре, представленной в RFC.
Основные моменты
[ редактировать ]Архитектура
[ редактировать ]В документе должна быть описана общая архитектура соответствующей PKI, представлены различные объекты PKI и любой обмен на основе сертификатов, выданных этой самой PKI.
Сертификат использует
[ редактировать ]Важным моментом политики сертификатов является описание разрешенных и запрещенных видов использования сертификатов. При выдаче сертификата в его атрибутах можно указать, для каких случаев использования он предназначен. Например, сертификат может быть выдан для цифровой подписи электронной почты (он же S/MIME ), шифрования данных, аутентификации (например, веб-сервера , как при использовании HTTPS ) или дальнейшей выдачи сертификатов (делегирования полномочий). . Запрещенные виды использования определяются таким же образом.
Именование, идентификация и аутентификация
[ редактировать ]В документе также описывается, как следует выбирать имена сертификатов, а также связанные с этим потребности в идентификации и аутентификации . При заполнении заявки на сертификацию орган по сертификации (или, в случае делегирования, орган регистрации ) отвечает за проверку информации, предоставленной заявителем, например, его личности. Это делается для того, чтобы гарантировать, что центр сертификации не примет участия в краже личных данных .
Генерация ключей
[ редактировать ]Поколение
Процедуры
[ редактировать ]Различные процедуры применения, выдачи, принятия, продления, повторного ключа, изменения и отзыва сертификата составляют значительную часть документа. Эти процедуры описывают, как должен действовать каждый участник PKI, чтобы весь уровень доверия был принят.
Оперативный контроль
[ редактировать ]Затем находится глава, посвященная физическому и процедурному контролю, процедурам аудита и регистрации, задействованным в PKI, для обеспечения данных целостности , доступности и конфиденциальности .
Технический контроль
[ редактировать ]В этой части описываются технические требования к размерам ключей, защите закрытых ключей (с использованием депонирования ключей ) и различным типам контроля в отношении технической среды (компьютеры, сеть).
Списки отзыва сертификатов
[ редактировать ]Эти списки являются жизненно важной частью любой инфраструктуры открытых ключей, и поэтому отдельная глава посвящена описанию управления, связанного с этими списками, чтобы обеспечить согласованность между статусом сертификата и содержимым списка.
Аудит и оценки
[ редактировать ]PKI необходимо проверять, чтобы убедиться, что она соответствует правилам, изложенным в ее документах, например, политике сертификатов. процедуры, используемые для оценки такого соответствия Здесь описаны .
Другой
[ редактировать ]В последней главе рассматриваются все оставшиеся вопросы, например, все юридические вопросы, связанные с PKI.