Saltar a la página principal de contenidos

Entorno empresarial
Las organizaciones del entorno empresarial buscan proporcionar seguridad transparente y sistemática en todas las aplicaciones para usuario final. En este entorno, la organización tiene mayor control para aprovechar su inversión en soluciones PKI interoperables con la infraestructura y los usuarios finales.

Generación de certificados: El Perfil PKIX X.509 define el formato de los certificados de clave pública y las listas de revocación de certificado (CRL). La RFC 3280 del grupo de trabajo IETF PKIX proporciona perfiles para ambos formatos.

Distribución de certificados: Lightweight Directory Access Protocol (LDAP)
LDAP define el protocolo para publicar y acceder a certificados digitales y CRL en un repositorio.

Gestión de certificados: PKIX Certificate Management Protocol (PKIX-CMP)
RFC 2510 y 2511 de IETF PKI definen el protocolo para administrar claves y certificados. Va más allá de la petición de certificados para soportar funciones PKI requeridas en la empresa.

Entorno interempresarial
Las organizaciones del entorno intraempresarial buscan medios fiables y seguros para el comercio electrónico de empresa a empresa. La organización controla los recursos (infraestructura y usuario final) que deben interoperar con otras PKI.

Generación de certificados: el perfil PKIX también se aplica a certificados cruzados y CRL que garantizan confianza entre empresas.

Distribución de certificados: LDAP, S/MIME
Con el protocolo LDAP, las empresas comparten acceso total o parcial a repositorios de certificados. S/MIME (RFC 2632-2634) define un protocolo para intercambio directo de certificados entre usuarios finales.

Gestión de certificados: PKIX CMP, PKCS# 7/#10
PKIX-CMP proporciona protocolos para solicitar y gestionar certificados cruzados, claves y certificados como los del modelo Enterprise. PKCS#7/#10 (RFC 2315 y 2986) proporciona protocolos para solicitar y recibir certificados sin administración alguna.

Entorno del consumidor
En el entorno del consumidor, las organizaciones buscan desarrollar comercio electrónico en Internet. Aunque la organización controla su infraestructura, debe interactuar con consumidores mediante aplicaciones como navegadores web y correo electrónico.

Generación de certificados - Certificado X.509 v3 y perfil PKIX
Estos estándares definen el perfil de los certificados digitales de clave pública. Aunque en este entorno no se han adoptado estándares para verificar revocaciones, esquemas como OCSP (RFC 2560) reciben cada vez más atención.

Distribución de certificados: S/MIME
En este entorno, La distribución de certificados se limita a la comunicación directa de usuario a usuario con S/MIME.

Gestión de certificados: PKCS#7/#10
PKCS#7/#10 soporta petición y recepción de certificados pero no proporciona claves o gestión de certificados. Aunque no se han adoptado estándares para gestionar claves y certificados en este entorno, se están analizando esquemas como PKIX-CMC (RFC 2797).

¿Es Entrust interoperable con todos los protocolos aprobados?

Elementos de interoperabilidad PKI
En cualquier entorno, una PKI comprende varios componentes que deben interactuar. Como muestra el siguiente diagrama, dichos componentes incluyen interfaces para la PKI y para entornos externos.

Diagrama de PKI

Vea a continuación un resumen del propósito de cada componente:

  • Autoridades de certificación. Las autoridades de certificación (Certificate authority, CA) son el tercero de confianza que emite claves y certificados para usuarios finales y gestiona su período de validez (generación, revocación, caducidad y actualización).
  • Repositorio de certificados. El repositorio de certificados es un mecanismo escalable para almacenar y distribuir certificados, certificados cruzados y listas de revocación de certificados (CRL) a usuarios finales de la PKI.
  • Aplicación cliente. La aplicación cliente es el software del usuario final que solicita, recibe y utiliza credenciales de clave pública para operaciones seguras de comercio electrónico.
  • Servicios adicionales. Las PKI requieren servicios adicionales que interoperen con los tres componentes mencionados. Estos servicios facilitan muchas operaciones de comercio electrónico. Entre los servicios típicos encontramos sellado de tiempo, gestión de permisos, autoridades de registro automatizadas, etc.

Debido a su papel centran en cualquier PKI, estos componentes deben interactuar e interoperar. Las operaciones se resumen de la siguiente manera:

  • Generación de certificados. Generación de certificados de clave pública y listas de revocación de certificados con un formato interoperable con otras aplicaciones cliente y otras PKI. También incluye la generación de certificados cruzados para interoperabilidad de autoridades de certificación.
  • Distribución de certificados. Para realizar operaciones de clave pública, el usuario debe acceder a certificados de otra persona y las CRL asociadas. Por tanto, se requiere un protocolo común para acceder a certificados de otros usuarios y la información de revocación relacionada.
  • Gestión de certificados. Las operaciones PKI más comunes son la gestión de claves y certificados. Los protocolos para gestionar claves y certificados (solicitar, renovar, hacer copias de seguridad, restaurar y revocar) requieren interoperabilidad entre aplicaciones cliente y la autoridad de certificación.