Политика сертификатов - Certificate policy
А политика сертификатов (CP) - это документ, цель которого состоит в том, чтобы указать, каковы различные сущности инфраструктура открытого ключа (PKI), их роли и их обязанности. Этот документ публикуется в периметре PKI.
При использовании с X.509 сертификаты, можно настроить конкретное поле для включения ссылки на связанную политику сертификатов. Таким образом, во время обмена любая полагающаяся сторона имеет доступ к уровню доверия, связанному с сертификатом, и может принять решение о уровень доверия поставить сертификат.
RFC 3647
Справочный документ для написания политики сертификатов по состоянию на декабрь 2010 г.[Обновить], RFC 3647. RFC предлагает структуру для написания политик сертификатов и Положения о практике сертификации (CPS). Описанные ниже моменты основаны на структуре, представленной в RFC.
Основные положения
Архитектура
Документ должен описывать общую архитектуру соответствующей PKI, представлять различные объекты PKI и любой обмен, основанный на сертификатах, выданных этой самой PKI.
Сертификат использует
Важным пунктом политики сертификатов является описание разрешенного и запрещенного использования сертификатов. Когда сертификат выдается, в его атрибутах можно указать, для каких сценариев использования он предназначен. Например, сертификат может быть выдан на цифровой подписи из электронное письмо (он же S / MIME ), шифрование данных, аутентификация (например, из веб сервер, как при использовании HTTPS ) или дальнейшая выдача сертификатов (делегирование полномочий). Запрещенное использование указано таким же образом.
Именование, идентификация и аутентификация
В документе также описывается, как следует выбирать имена сертификатов, и, кроме того, связанные с этим потребности в идентификация и аутентификация. При заполнении заявки на сертификацию Центр сертификации (или, по делегированию, регистрирующий орган ) отвечает за проверку информации, предоставленной заявителем, такой как его личность. Это необходимо для того, чтобы убедиться, что центр сертификации не участвует в кража личных данных.
Генерация ключей
В поколение из ключи также упоминается в политике сертификатов. Пользователям может быть разрешено генерировать свои собственные ключи и отправлять их в CA для создания соответствующего сертификата. PKI также может запретить генерируемые пользователем ключи и предоставить отдельный и, вероятно, более безопасный способ генерации ключей (например, с помощью аппаратный модуль безопасности ).
Процедуры
Различные процедуры подачи заявки на сертификат, выдачи, принятия, обновления, смены ключей, модификации и отзыва составляют большую часть документа. Эти процедуры описывают, как должен действовать каждый субъект PKI, чтобы был принят весь уровень доверия.
Операционный контроль
Затем находится глава, посвященная физическому и процедурному контролю, аудит и процедуры регистрации, задействованные в PKI, чтобы гарантировать целостность данных, доступность и конфиденциальность.
Технический контроль
В этой части описываются технические требования к размерам ключей, защите приватные ключи (с использованием условное депонирование ключей ) и различные типы контроля технической среды (компьютеры, сеть).
Списки отзыва сертификатов
Те списки являются жизненно важной частью любой инфраструктуры открытого ключа, и поэтому отдельная глава посвящена описанию управления, связанного с этими списками, для обеспечения согласованности между статусом сертификата и содержанием списка.
Аудит и оценка
PKI необходимо проверить, чтобы убедиться, что она соответствует правилам, изложенным в ее документах, например политике сертификатов. Процедуры, используемые для оценки таких согласие описаны здесь.
Другой
В этой последней главе рассматриваются все оставшиеся вопросы, на примере всех юридических вопросов, связанных с PKI.