Корпоративная среда
Корпоративная среда характеризуется организациями, стремящимися обеспечить последовательную и прозрачную безопасность всех приложений конечных пользователей. Организация обладает наибольшим уровнем контроля в этой среде, что позволяет ей привлекать инвестиции в совместимость с PKI решений как для инфраструктуры, так и для конечных пользователей.

Генерация сертификата — X.509, PKIX Profile X.509 определяет формат цифрового сертификата открытого ключа, а также список отзыва сертификата (CRL). RFC 3280 рабочей группы IETF PKIX предоставляет профили для каждого из этих двух форматов.

Распространение сертификатов — LDAP (Lightweight Directory Access Protocol)
LDAP определяет протокол, используемый для публикации цифровых сертификатов и CRL из хранилища и доступа к ним.

Управление сертификатами – Протокол управления сертификатами PKIX (PKIX-CMP)
RFC 2510 и 2511 рабочей группы IETF PKI определяют протокол для управления ключами и сертификатами. Выходит за рамки простого запроса сертификата для поддержки функций жизненного цикла PKI, необходимых на предприятии.

Межпредпринимательская среда
Для межпредпринимательской среды характерны организации, стремящиеся обеспечить надежные и безопасные средства электронной торговли между предприятиями. Организация контролирует свои собственные ресурсы, как инфраструктуру, так и конечных пользователей, которые должны взаимодействовать с чужими компонентами PKI.

Генерация сертификатов — X.509, PKIX Profile Эти стандарты также применяются к перекрестным сертификатам и CRL, используемым при установлении индивидуального или иерархического доверия между предприятиями.

Распространение сертификатов — LDAP, S/MIME
LDAP предоставляет протокол доступа для предприятий, желающих использовать полные или частичные хранилища сертификатов. S/MIME (RFC 2632-2634) определяет протокол, который используется для прямого обмена цифровыми сертификатами между конечными пользователями.

Управление сертификатами — PKIX CMP, PKCS #7/#10
PKIX-CMP предоставляет протоколы для запроса и управления перекрестными сертификатами, а также ключами и сертификатами, как в корпоративной модели. PKCS #7/#10 (RFC 2315, 2986) предоставляет протоколы для запроса и получения сертификатов без какого-либо управления после создания и распространения.

Потребительская среда
Отличается организациями, стремящимися обеспечить электронную торговлю с потребителями через Интернет. Контролируя свою инфраструктуру, организация должна взаимодействовать с потребителями с помощью широкого спектра приложений, как правило, веб-браузеров и связанной с ними электронной почты.

Генерация сертификата — X.509 v3, PKIX Profile
Эти стандарты обеспечивают определение профиля цифрового сертификата открытого ключа. Несмотря на то, что в этой среде не принято ни одного универсального стандарта для проверки отзыва, все большее внимание уделяется таким алгоритмам, как OCSP (RFC 2560).

Распределение сертификатов — S/MIME
Распределение сертификатов в этой среде в настоящее время ограничено прямой связью пользователя с S/MIME.

Управление сертификатами — PKCS #7/#10
PKCS #7/#10 поддерживает запрос и получение сертификатов, но не предусматривает никакого управления ключами или сертификатами. Хотя универсальные стандарты для управления ключами и сертификатами в этой среде не приняли, рассматриваются такие алгоритмы, как PKIX-CMC (RFC 2797).

Entrust продемонстрировала совместимость со всеми этими утвержденными протоколами?

Элементы совместимости с PKI
Независимо от среды, в которой она работает, управляемая PKI состоит из нескольких компонентов, которые должны взаимодействовать. Как показано на рисунке ниже, они включают интерфейсы с одним решением PKI, а также с внешними средами.

Управляемая схема PKI

Ниже приводится краткое описание цели каждого компонента.

  • Центр сертификации (Certification Authority). Центр сертификации (CA) представляет собой доверенную третью сторону, которая выдает ключи и сертификаты конечным пользователям и управляет их циклом, включая генерацию, отзыв, истечение срока действия и обновление.
  • Хранилище сертификатов. Хранилище сертификатов обеспечивает масштабируемый механизм для хранения и распространения сертификатов, перекрестных сертификатов и списков отзыва сертификатов (CRL) среди конечных пользователей PKI.
  • Клиентское приложение. Клиентское приложение — это программное обеспечение конечного пользователя, которое запрашивает, получает и использует учетные данные открытого ключа для ведения защищенной электронной торговли.
  • Дополнительные услуги. Управляемая PKI требует дополнительных услуг, которые будут взаимодействовать с тремя другими перечисленными компонентами. Они предоставляют особые услуги, позволяющие использовать многие прикладные программы электронной торговли. Типичные услуги включают присвоение временных меток, управление привилегиями, автоматизированные центры регистрации и т. д.?

В силу своей центральной роли в инфраструктуре открытых ключей, независимо от окружающей среды, эти компоненты должны взаимодействовать и функционировать между собой. Эти операции можно резюмировать следующим образом.

  • Создание сертификата. Включает в себя создание цифровых сертификатов открытого ключа и списков отзыва сертификатов с определенным форматом и синтаксисом для обеспечения совместимости с другими клиентскими приложениями и другими PKI. В него также включена генерация перекрестных сертификатов, используемых для взаимодействия между центрами сертификации.
  • Распространение сертификатов. Для проведения операций с открытым ключом один пользователь должен получить доступ к сертификатам другого пользователя, а также связанным с ними CRL. Соответственно, должен существовать общий протокол, обеспечивающий доступ к сертификатам других пользователей и связанной с ними информации об отзыве.
  • Управление сертификатами Управление ключами и сертификатами представляет собой наиболее распространенные операции с компонентами PKI. Протоколы запроса, обновления, резервного копирования, восстановления и отзыва ключей и сертификатов требуют совместимости между клиентскими приложениями и центром сертификации.