Unternehmensumgebung
Die Unternehmensumgebung ist typisch für Organisationen, die bei allen Endbenutzeranwendungen für konsistente, transparente Sicherheit sorgen wollen. Das Unternehmen hat in dieser Umgebung die größte Kontrolle und kann so die Investitionen in interoperable PKI-Lösungen sowohl für die Infrastruktur als auch für die Endbenutzer nutzen.

Zertifikaterstellung – X.509, PKIX-Profil. X.509 definiert das Format eines digitalen Zertifikats mit öffentlichem Schlüssel sowie einer Zertifikatsperrliste (Certificate Revocation List, CRL). RFC 3280, von der IETF PKIX Working Group, bietet Profile für jedes dieser beiden Formate.

Zertifikatverteilung – Lightweight Directory Access Protocol (LDAP)
LDAP definiert das Protokoll, das zur Veröffentlichung und zum Zugriff auf digitale Zertifikate und CRLs aus einem Repository verwendet wird.

Zertifikatverwaltung – PKIX Certificate Management Protocol (PKIX-CMP)
Die RFCs 2510 und 2511 der IETF PKI Working Group definieren das Protokoll zur Verwaltung von Schlüsseln und Zertifikaten. Geht über die einfache Zertifikatanforderung hinaus und unterstützt die im Unternehmen benötigten PKI-Lebenszyklusfunktionen.

Inter-Enterprise-Umgebung
Die Inter-Enterprise-Umgebung ist typisch für Unternehmen, die vertrauenswürdige und sichere Mittel für den elektronischen Geschäftsverkehr zwischen Unternehmen bereitstellen wollen. Das Unternehmen hat die Kontrolle über seine eigenen Ressourcen, sowohl über die Infrastruktur als auch über die Endbenutzer, die mit den PKIs anderer Unternehmen zusammenarbeiten müssen.

Zertifikaterstellung – X.509, PKIX-Profil. Diese Standards gelten auch für übergreifende Zertifikate und CRLs, die beim Aufbau von Eins-zu-Eins- oder hierarchischem Vertrauen zwischen Unternehmen verwendet werden.

Zertifikatverteilung – LDAP, S/MIME
LDAP bietet das Zugangsprotokoll für Unternehmen, die ganze oder teilweise Zertifikat-Repositories gemeinsam nutzen möchten. S/MIME (RFCs 2632-2634) definiert ein Protokoll, das für den direkten Austausch von digitalen Zertifikaten zwischen Endbenutzern verwendet wird.

Zertifikatverwaltung – PKIX CMP, PKCS #7/#10
PKIX-CMP stellt Protokolle für die Anforderung und Verwaltung von Cross-Zertifikaten sowie von Schlüsseln und Zertifikaten wie im Enterprise-Modell zur Verfügung. PKCS #7/#10 (RFCs 2315, 2986) bieten Protokolle zum Anfordern und Empfangen von Zertifikaten ohne jegliche Verwaltung, sobald diese erstellt und verteilt wurden.

Consumer-Umgebung
Die Consumer-Umgebung zeichnet sich durch Unternehmen aus, die elektronischen Handel mit Verbrauchern über das Internet ermöglichen wollen. Während das Unternehmen seine Infrastruktur kontrolliert, muss es mit den Verbrauchern interagieren, die eine Vielzahl von Anwendungen verwenden, typischerweise Webbrowser und damit verbundene E-Mails.

Zertifikaterstellung – X.509 v3, PKIX-Profil
Diese Standards bieten die Profildefinition eines digitalen Zertifikats mit öffentlichem Schlüssel. Obwohl sich noch keine Standards für die Überprüfung von Widerrufen in dieser Umgebung durchgesetzt haben, finden Verfahren wie OCSP (RFC 2560) zunehmend Beachtung.

Zertifikatverteilung – S/MIME
Die Verteilung von Zertifikaten in dieser Umgebung ist derzeit auf die direkte Kommunikation von Benutzer zu Benutzer mit S/MIME beschränkt.

Zertifikatverwaltung – PKCS #7/#10
PKCS #7/#10 unterstützt die Anforderung und den Empfang von Zertifikaten, sieht aber keine Schlüssel- oder Zertifikatverwaltung vor. Obwohl sich noch keine Standards für die Schlüssel- und Zertifikatverwaltung in dieser Umgebung durchgesetzt haben, werden Schemata wie PKIX-CMC (RFC 2797) in Betracht gezogen.

Hat Entrust die Interoperabilität mit all diesen zugelassenen Protokollen nachgewiesen?

Elemente der PKI-Interoperabilität
Unabhängig von der Umgebung, in der sie betrieben wird, besteht eine Managed PKI aus mehreren Komponenten, die interoperabel sein müssen. Wie in der Abbildung unten dargestellt, gehören dazu sowohl Schnittstellen innerhalb einer einzelnen PKI als auch zu externen Umgebungen.

Managed PKI-Diagramm

Im Folgenden finden Sie eine kurze Übersicht über den jeweiligen Zweck der einzelnen Komponenten:

  • Zertifizierungsstelle. Die Zertifizierungsstelle (CA) stellt die vertrauenswürdige dritte Partei dar, die Schlüssel und Zertifikate für Endbenutzer ausstellt und deren Lebenszyklus einschließlich Erstellung, Widerruf, Ablauf und Aktualisierung verwaltet.
  • Zertifikat-Repository. Das Zertifikat-Repository bietet einen skalierbaren Mechanismus zum Speichern und Verteilen von Zertifikaten, Cross-Zertifikaten und Zertifikatsperrlisten (CRLs) an Endbenutzer der PKI.
  • Client-Anwendung. Die Client-Anwendung ist die Endbenutzersoftware, die Anmeldeinformationen mit öffentlichem Schlüssel anfordert, empfängt und verwendet, um sicheren elektronischen Geschäftsverkehr durchzuführen.
  • Zusätzliche Dienstleistungen. Von einer Managed PKI werden zusätzliche Dienste benötigt, die mit den anderen drei aufgeführten Komponenten interagieren. Diese stellen bestimmte Dienste zur Verfügung, die viele E-Commerce-Anwendungen ermöglichen. Typische Dienste sind z. B. Zeitstempelung, Berechtigungsverwaltung, automatisierte Registrierstellen usw.

Aufgrund ihrer zentralen Rolle in einer Public-Key-Infrastruktur müssen diese Komponenten, unabhängig von der Umgebung, interagieren und zusammenarbeiten. Diese Vorgänge lassen sich wie folgt zusammenfassen:

  • Zertifikaterstellung. Dies beinhaltet das Generieren von digitalen Public-Key-Zertifikaten und Zertifikatsperrlisten (CRL) mit einem definierten Format und einer bestimmten Syntax, um die Interoperabilität mit anderen Client-Anwendungen und anderen PKIs zu ermöglichen. Dazu gehört auch das Generieren von Cross-Zertifikaten, die für die Interoperabilität zwischen Zertifizierungsstellen verwendet werden.
  • Zertifikatverteilung. Um Vorgänge mit öffentlichen Schlüsseln durchführen zu können, muss ein Benutzer auf die Zertifikate eines anderen Benutzers sowie auf die zugehörigen Zertifikatsperrlisten zugreifen. Dementsprechend muss es ein gemeinsames Protokoll geben, das den Zugriff auf die Zertifikate anderer Benutzer und die zugehörigen Sperrinformationen ermöglicht.
  • Zertifikatverwaltung. Die Verwaltung von Schlüsseln und Zertifikaten stellt die häufigsten PKI-Vorgänge dar. Protokolle zum Anfordern, Erneuern, Sichern, Wiederherstellen und Widerrufen von Schlüsseln und Zertifikaten erfordern Interoperabilität zwischen Client-Anwendungen und der Zertifizierungsstelle.