Ambiente corporativo
O ambiente corporativo é caracterizado por organizações que buscam fornecer segurança consistente e transparente em todos os aplicativos do usuário final. A organização tem o maior controle nesse ambiente, o que permite alavancar o investimento em soluções de PKI interoperáveis para infraestrutura e usuários finais.

Geração de certificado – X.509, PKIX Perfil X.509 define o formato de um certificado digital de chave pública, bem como uma lista de revogação de certificado (CRL). O RFC 3280, do grupo de trabalho IETF PKIX, fornece perfis para cada um desses dois formatos.

Distribuição de certificados – Lightweight Directory Access Protocol (LDAP)
LDAP define o protocolo utilizado para publicar e acessar certificados digitais e CRLs a partir de um repositório.

Gerenciamento de certificados – Protocolo de gerenciamento de certificados PKIX (PKIX-CMP)
RFCs 2510 e 2511 do Grupo de trabalho IETF PKI definem o protocolo para o gerenciamento de chaves e certificados. Vai além da simples solicitação de certificado para oferecer suporte às funções do ciclo de vida da PKI exigidas na empresa.

Ambiente Inter-empresa
O ambiente Inter-empresa é caracterizado por organizações que buscam fornecer meios confiáveis e seguros para comércio eletrônico entre empresas. A organização tem controle sobre seus próprios recursos, tanto a infraestrutura quanto o usuário final, que devem interoperar com as PKIs dos outros.

Geração de certificados – perfil X.509, PKIX. Esses padrões também se aplicam a certificados cruzados e CRLs usados no estabelecimento de confiança um para um ou hierárquica entre empresas.

Distribuição de certificados – LDAP, S/MIME
LDAP fornece o protocolo de acesso para empresas que desejam compartilhar repositórios de certificados completos ou parciais. S/MIME (RFCs 2632-2634) define um protocolo que é usado para a troca direta de certificados digitais entre usuários finais.

Gerenciamento de certificados – PKIX CMP, PKCS nº 7/nº 10
PKIX-CMP fornece protocolos para a solicitação e gerenciamento de certificados cruzados, bem como chaves e certificados como no modelo Enterprise. PKCS nº 7/nº 10 (RFCs 2315, 2986) fornece protocolos para solicitar e receber certificados sem qualquer gerenciamento uma vez criado e distribuído.

Ambiente do consumidor
O ambiente do consumidor é caracterizado por organizações que buscam possibilitar o comércio eletrônico com consumidores pela internet. Enquanto controla sua infraestrutura, a organização deve interoperar com os consumidores usando uma ampla variedade de aplicativos, normalmente navegadores da web e e-mail associado.

Geração de certificados – X.509 v3, Perfil PKIX
Estas normas fornecem a definição do perfil de um certificado digital de chave pública. Embora nenhum padrão tenha sido adotado universalmente para a verificação de revogação neste ambiente, esquemas como o OCSP (RFC 2560) estão recebendo cada vez mais atenção.

Distribuição de certificados – S/MIME
A distribuição de certificados neste ambiente é atualmente limitada para direcionar a comunicação de usuário para usuário com S/MIME.

Gerenciamento de certificados – PKCS nº 7/nº 10
PKCS nº 7/nº 10 oferece suporte à solicitação e recebimento de certificados, mas não fornece gerenciamento de chave ou certificado. Embora nenhum padrão tenha sido adotado universalmente para o gerenciamento de chaves e certificados neste ambiente, esquemas como o PKIX-CMC (RFC 2797) estão sendo considerados.

A Entrust demonstrou PKI interoperability com todos esses protocolos aprovados?

Elementos de interoperabilidade de PKI
Independentemente do ambiente em que opera, uma PKI gerenciada é composta de vários componentes que devem interoperar. Conforme mostrado na figura abaixo, isso inclui interfaces dentro de uma única PKI, bem como para ambientes externos.

Diagrama de PKI gerenciada

Um breve resumo da finalidade de cada componente é o seguinte:

  • Autoridade de certificação. A Autoridade de certificação (CA) representa o terceiro confiável que emite chaves e certificados para usuários finais e gerencia seu ciclo de vida, incluindo geração, revogação, expiração e atualização.
  • Repositório de certificados. O Repositório de certificados fornece um mecanismo escalonável para armazenar e distribuir certificados, certificados cruzados e Listas de revogação de certificados (CRLs) para usuários finais da PKI.
  • Aplicativo do cliente. O Aplicativo do cliente é o software do usuário final que solicita, recebe e usa credenciais de chave pública para conduzir o comércio eletrônico seguro.
  • Serviços adicionais. Serviços adicionais são exigidos por uma PKI gerenciada que irá interoperar com os outros três componentes listados. Eles fornecem serviços específicos que permitem muitas aplicações de comércio eletrônico. Os serviços típicos incluem carimbo de data/hora, gerenciamento de privilégios, autoridades de registro automatizado, etc?

Por causa de sua função central em uma infraestrutura de chave pública, independentemente do ambiente, esses componentes devem interagir e interoperar. Essas operações podem ser resumidas da seguinte forma:

  • Geração de certificado. Isso inclui a geração de certificados digitais de chave pública e listas de revogação de certificados com um formato e sintaxe definidos para permitir a interoperabilidade com outros aplicativos cliente e outras PKIs. Também está incluída a geração de certificados cruzados usados para interoperar entre as autoridades de certificação.
  • Distribuição de certificados. Para realizar operações de chave pública, um usuário deve acessar os certificados de outro, bem como as CRLs associadas. De acordo; deve haver um protocolo comum para permitir o acesso aos certificados de outros usuários e informações de revogação associadas.
  • Gerenciamento de certificados. O gerenciamento de chaves e certificados representa as operações de PKI mais comuns. Os protocolos para solicitar, renovar, fazer backup, restaurar e revogar chaves e certificados requerem interoperabilidade entre os aplicativos cliente e a Autoridade de certificação.