Ambiente aziendale
L’ambiente aziendale è caratterizzato da organizzazioni che cercano di fornire una sicurezza coerente e trasparente in tutte le applicazioni degli utenti finali. L’organizzazione detiene il massimo controllo in questo ambiente, che le consente di sfruttare gli investimenti in soluzioni PKI interoperabili sia per l'infrastruttura che per gli utenti finali.

Generazione di certificati - X.509, il profilo PKIX X.509 definisce il formato di un certificato digitale a chiave pubblica e dell’elenco di revoche di certificati (CRL). RFC 3280, dal gruppo di lavoro IETF PKIX, fornisce i profili per ciascuno di questi due formati.

Distribuzione dei certificati - Lightweight Directory Access Protocol (LDAP)
LDAP definisce il protocollo utilizzato per pubblicare e accedere a certificati digitali e CRL da un repository.

Gestione dei certificati - Protocollo di gestione dei certificati PKIX (PKIX-CMP)
Le RFC 2510 e 2511 del gruppo di lavoro PKI IETF definiscono il protocollo per la gestione di chiavi e certificati. Va oltre la semplice richiesta di certificato per supportare le funzioni del ciclo di vita PKI richieste nell'azienda.

Ambiente interaziendale
L’ambiente interaziendale è caratterizzato da organizzazioni che cercano di fornire mezzi affidabili e sicuri per l’e-commerce business-to-business. L’organizzazione ha il controllo sulle proprie risorse, sia sull’infrastruttura che sull’utente finale, i quali devono interagire con le PKI di terzi.

Generazione di certificati - X.509, profilo PKIX Questi standard si applicano anche ai certificati incrociati e ai CRL utilizzati per stabilire un rapporto di fiducia uno a uno o gerarchico tra le aziende.

Distribuzione dei certificati - LDAP, S/MIME
LDAP fornisce il protocollo di accesso per le aziende che desiderano condividere repository di certificati completi o parziali. S/MIME (RFC 2632-2634) definisce un protocollo utilizzato per lo scambio diretto di certificati digitali tra utenti finali.

Gestione dei certificati - PKIX CMP, PKCS#7/#10
PKIX-CMP fornisce protocolli per la richiesta e la gestione di certificati incrociati, oltre a chiavi e certificati come nel modello aziendale. PKCS#7/#10 (RFC 2315, 2986) fornisce protocolli per la richiesta e la ricezione di certificati che non richiedono gestione una volta creati e distribuiti.

Ambiente dei consumatori
L’ambiente dei consumatori è caratterizzato da organizzazioni che cercano di consentire l’e-commerce con i consumatori tramite Internet. Mentre gestisce la propria infrastruttura, l’organizzazione deve interagire con i consumatori utilizzando un’ampia varietà di applicazioni, in genere browser web e la posta elettronica associata.

Generazione dei certificati - X.509 v3, profilo PKIX
Questi standard forniscono la definizione del profilo di un certificato digitale a chiave pubblica. Sebbene nessuno standard sia stato universalmente adottato per il controllo delle revoche in questo ambiente, schemi come OCSP (RFC 2560) cominciano a ricevere un’attenzione sempre maggiore.

Distribuzione dei certificati - S/MIME
La distribuzione dei certificati in questo ambiente è attualmente limitata alla comunicazione da utente a utente con S/MIME.

Gestione dei certificati - PKCS#7/#10
PKCS #7/#10 supporta la richiesta e la ricezione del certificato ma non fornisce alcuna chiave o gestione dei certificati. Sebbene nessuno standard sia stato universalmente adottato per la gestione di chiavi e certificati in questo ambiente, vengono presi in considerazione schemi come PKIX-CMC (RFC 2797).

Entrust ha dimostrato l'interoperabilità con tutti questi protocolli approvati?

Elementi di interoperabilità PKI
Indipendentemente dall’ambiente in cui opera, una PKI gestita è composta da diversi componenti che devono interagire tra loro. Come mostrato nella figura seguente, questi includono interfacce all’interno di una singola PKI così come verso ambienti esterni.

Diagramma PKI gestita

Di seguito trovi un breve riassunto dello scopo di ogni componente:

  • Autorità di certificazione. L’autorità di certificazione (CA) rappresenta la terza parte affidabile che rilascia chiavi e certificati agli utenti finali e ne gestisce il ciclo di vita, inclusi generazione, revoca, scadenza e aggiornamento.
  • Repository di certificati. La repository di certificati fornisce un meccanismo scalabile per archiviare e distribuire certificati, certificati incrociati ed elenchi di revoche di certificati (CRL) agli utenti finali della PKI.
  • Applicazione client. L’Applicazione client è il software dell’utente finale che richiede, riceve e utilizza le credenziali della chiave pubblica per condurre un’e-commerce sicura.
  • Servizi aggiuntivi. I servizi aggiuntivi sono richiesti da una PKI gestita che interagirà con gli altri tre componenti elencati. Questi forniscono servizi particolari che abilitano molte applicazioni di e-commerce. I servizi tipici includono timestamp, gestione privilegi, autorità di registrazione automatizzate, ecc.?

A causa del loro ruolo centrale in un’infrastruttura a chiave pubblica, indipendentemente dall’ambiente, questi componenti devono interagire tra loro. Queste operazioni possono essere riassunte come segue:

  • Generazione di certificati. Ciò include la generazione di certificati digitali a chiave pubblica ed elenchi di revoche di certificati secondo un formato e una sintassi definiti per consentire l'interoperabilità con altre applicazioni client e altre PKI. È inclusa anche la generazione di certificati incrociati utilizzati per l'interoperabilità tra le autorità di certificazione.
  • Distribuzione dei certificati. Per eseguire operazioni con la chiave pubblica, un utente deve poter accedere ai certificati di terzi e ai CRL associati. Di conseguenza, ci deve essere un protocollo comune per consentire l'accesso ai certificati di altri utenti e alle informazioni di revoca associate.
  • Gestione dei certificati. La gestione di chiavi e certificati rappresenta una delle operazioni di PKI più comuni. I protocolli per la richiesta, il rinnovo, il backup, il ripristino e la revoca di chiavi e certificati richiedono l'interoperabilità tra le applicazioni client e l'Autorità di certificazione.