Entorno empresarial
El entorno empresarial se caracteriza por contar con organizaciones que buscan proporcionar seguridad transparente y sistemática en todas las aplicaciones de usuario final. La organización tiene la mayor cantidad de control en este entorno, lo que le permite aprovechar la inversión en soluciones de PKI interoperables tanto para la infraestructura como para los usuarios finales.

Generación de certificados: El certificado X.509, el Perfil PKIX X.509 define el formato de un certificado digital de clave pública, así como una lista de revocación de certificados (CRL). El certificado RFC 3280 del grupo de trabajo IETF PKIX proporciona perfiles para cada uno de estos dos formatos.

Distribución de certificados: Protocolo ligero de acceso a directorios (LDAP)
El LDAP define el protocolo utilizado para publicar y acceder a certificados digitales y a las CRL desde un repositorio.

Gestión de certificados: Protocolo de gestión de certificados PKIX (PKIX-CMP)
Los certificados RFC 2510 y 2511 del grupo de trabajo IETF PKI definen el protocolo para administrar claves y certificados. Se extiende más allá de la simple solicitud de certificados para admitir las funciones del ciclo de vida de las PKI requeridas en la empresa.

Entorno interempresarial
El entorno entre empresas está tipificado por organizaciones que buscan proporcionar medios confiables y seguros para el comercio electrónico de empresa a empresa. La organización tiene el control sobre sus propios recursos, tanto la infraestructura como el usuario final, que deben interoperar con las PKI de otros.

Generación de certificados: el certificado X.509, y el perfil PKIX Estos estándares también se aplican a los certificados cruzados y a las CRL que se utilizan para establecer una confianza jerárquica o de uno a uno entre empresas.

Distribución de certificados: LDAP, S/MIME
El protocolo LDAP proporciona el protocolo de acceso para empresas que deseen compartir repositorios de certificados de forma total o parcial. S/MIME (certificados RFC 2632 a 2634) define un protocolo que se utiliza para el intercambio directo de certificados digitales entre usuarios finales.

Gestión de certificados: PKIX CMP, PKCS# 7/#10
PKIX-CMP proporciona protocolos para la solicitud y gestión de certificados cruzados, así como claves y certificados como en el modelo Enterprise. El formato PKCS#7/#10 (Certificados RFC 2315 y 2986) proporciona protocolos para solicitar y recibir certificados sin ninguna administración una vez creados y distribuidos.

Entorno del consumidor
El entorno del consumidor se caracteriza por contar con organizaciones que buscan desarrollar el comercio electrónico con los consumidores a través de Internet. Mientras la organización controla su infraestructura, debe interactuar con los consumidores mediante una amplia variedad de aplicaciones, que por lo general son los navegadores web y el correo electrónico asociado.

Generación de certificados - Certificado X.509 v3 y perfil PKIX
Estos estándares proporcionan la definición de perfil de un certificado digital de clave pública. Si bien no se han adoptado universalmente estándares para la verificación de las revocaciones en este entorno, los esquemas como OCSP (certificado RFC 2560) están recibiendo cada vez más atención.

Distribución de certificados: S/MIME
La distribución de certificados en este entorno se limita, actualmente, a la comunicación directa de usuario a usuario con S/MIME.

Gestión de certificados: PKCS#7/#10
Los grupos de estándares PKCS#7/#10 admiten la solicitud y la recepción de certificados, pero no proporciona ninguna clave o gestión de certificados. Si bien no se han adoptado universalmente estándares para la gestión de claves y certificados en este entorno, se están analizando los esquemas como PKIX-CMC (RFC 2797).

¿Entrust ha demostrado su interoperabilidad con todos estos protocolos aprobados?

Elementos de la interoperabilidad de las PKI
Independientemente del entorno en el que opere, una PKI gestionada está conformada por varios componentes que deben interactuar. Como muestra el siguiente diagrama, estos componentes incluyen interfaces para una sola PKI y para entornos externos.

Diagrama de PKI gestionadas

Se proporciona a continuación un breve resumen del propósito de cada componente:

  • Autoridades de Certificación. Las Autoridades de Certificación (CA) representan al tercero de confianza que emite claves y certificados a los usuarios finales y gestiona su período de validez, que incluye la generación, revocación, caducidad y actualización.
  • Repositorio de certificados. El repositorio de certificados proporciona un mecanismo escalable para almacenar y distribuir certificados, certificados cruzados y listas de revocación de certificados (CRL) a los usuarios finales de la PKI.
  • Aplicación del cliente. La aplicación del cliente es el software del usuario final que solicita, recibe y utiliza credenciales de clave pública para realizar operaciones seguras de comercio electrónico.
  • Servicios adicionales. Una PKI administrada requiere servicios adicionales que interoperen con los otros tres componentes enumerados. Estos proporcionan servicios específicos que permiten muchas aplicaciones de comercio electrónico. Los servicios típicos comprenden marcas de tiempo, gestión de privilegios, autoridades de registro automatizado, etc.

Debido a su papel central en una infraestructura de clave pública, independientemente del entorno, estos componentes deben interactuar e interoperar. Se pueden resumir estas operaciones de la siguiente manera:

  • Generación de certificados. Esto incluye la generación de certificados digitales de clave pública y listas de revocación de certificados con un formato y una sintaxis definidos para permitir la interoperabilidad con otras aplicaciones del cliente y otras PKI. También, se incluye la generación de certificados cruzados utilizados para interoperar entre las Autoridades de Certificación.
  • Distribución de certificados. Si un usuario quiere realizar operaciones de clave pública, debe acceder a los certificados de otro, así como a las CRL asociadas. En consecuencia; debe haber un protocolo común para permitir el acceso a los certificados de otros usuarios y a la información de revocación relacionada.
  • Gestión de certificados. La gestión de claves y certificados son las operaciones con PKI más comunes. Los protocolos para solicitar, renovar, hacer copias de seguridad, restaurar y revocar claves y certificados requieren de características de interoperabilidad entre las aplicaciones cliente y la Autoridad de Certificación.