Инфраструктура Открытого Ключа (часть 6)

Схема LDAPv2 для инфраструктуры открытого ключа Х.509

Рассматриваемая схема является минимальной схемой для поддержки PKI для протокола LDAPv2. Определим только компоненты, относящиеся к PKI. LDAP-серверы, функционирующие как репозитории PKI, должны поддерживать вспомогательные классы объектов и соответствующим образом интегрировать спецификацию данной схемы с общей схемой и другими схемами, специфичными для других приложений.

LDAPv2 является одним из протоколов для доступа к репозиторию PKI. Также определены другие протоколы, такие как HTTP. Если LDAP-сервер, доступный по LDAPv2, используется в качестве репозитория, минимальное требование состоит в том, что репозиторий должен поддерживать дополнительные записи каталога для сертификатов Х.509.

Определим атрибуты и классы объектов, используемые LDAP-серверами, функционирующими в качестве репозиториев PKI, которые должны понимать клиенты LDAP, взаимодействующие с этими репозиториями для запроса, добавления, модификации и удаления информации PKI.

Объекты репозитория PKI

Объектами, представленными в репозитории, являются:

• Конечные участники.
• СА.

Следующий вспомогательный класс объекта может использоваться для представления субъектов сертификата:

pkiUser OBJECT-CLASS ::= {
  SUBCLASS OF { top}
  KIND auxiliary
  MAY CONTAIN {userCertificate}
  ID joint-iso-ccitt(2) ds(5)
    objectClass(6) pkiUser(21)
}
userCertificate ATTRIBUTE ::=  {
  WITH SYNTAX Certificate
  EQUALITY MATCHING RULE
    certificateExactMatch
  ID  joint-iso-ccitt(2) ds(5)
    attributeType(4) 
    userCertificate(36) 
}

Конечный участник может получить один или более сертификатов от одного или более СAs. Атрибут userCertificate должен использоваться для представления этих сертификатов в записи каталога , относящейся к данному пользователю.

Следующий вспомогательный класс объекта может применяться для представления CAs:

pkiCA OBJECT-CLASS ::= {
  SUBCLASS OF { top}
  KIND auxiliary
  MAY CONTAIN {cACertificate |
      certificateRevocationList |
      authorityRevocationList |
      crossCertificatePair }
  ID   joint-iso-ccitt(2) ds(5)
    objectClass(6) pkiCA(22)
}
cACertificate ATTRIBUTE ::=  {
  WITH SYNTAX Certificate
  EQUALITY MATCHING RULE
    certificateExactMatch
  ID joint-iso-ccitt(2) ds(5)
     attributeType(4) 
     cACertificate(37) 
}
crossCertificatePairATTRIBUTE::={
  WITH SYNTAX   CertificatePair
  EQUALITY MATCHING RULE
    certificatePairExactMatch
  ID joint-iso-ccitt(2) ds(5)
     attributeType(4) 
     crossCertificatePair(40)
}

Атрибут cACertificate записи каталога СА должен использоваться для хранения самоподписанных сертификатов (если они есть) и сертификатов, выпущенных для данного СА САs из той же области, что и данный СА.

Forward -элементы crossCertificatePair -атрибута записи каталога СА должны использоваться для хранения всех сертификатов, выпущенных данным СА за исключением самоподписанных сертификатов. Дополнительно reverse элементы crossCertificatePair -атрибута записи каталога СА могут содержать подмножество сертификатов, выпущенных данным СА для других CAs. Когда присутствуют оба элемента, forward и reverse, в значении одного атрибута, имя выпускающего в одном сертификате должно соответствовать имени субъекта в другом и наоборот, и открытый ключ субъекта в одном сертификате должен иметь возможность проверять подпись в другом сертификате и наоборот.

Если присутствует элемент reverse, значение forward -элемента и значение reverse -элемента не обязательно должны являться значениями одного о того же атрибута; другими словами они могут являться значениями как одного атрибута, так и значениями двух атрибутов.

В случае v3 сертификатов ни один из перечисленных выше сертификатов не должен включать расширение basicConstraints со значением сА, установленным в FALSE.

Определение области относится исключительно к локальной политике.

certificateRevocationListATTRIBUTE::={
    WITH SYNTAX  CertificateList
    EQUALITY MATCHING RULE
      certificateListExactMatch
    ID joint-iso-ccitt(2) ds(5)
      attributeType(4)
      certificateRevocationList(39)
}

Атрибут certificateRevocationList, если присутствует в конкретной записи СА, содержит CRL(s).

authorityRevocationListATTRIBUTE::={
    WITH SYNTAX   CertificateList
    EQUALITY MATCHING RULE
      certificateListExactMatch
    ID joint-iso-ccitt(2) ds(5)
      attributeType(4)
    authorityRevocationList(38)
}

Атрибут authorityRevocationList, если присутствует в конкретной записи СА, содержит информацию об отмене, относящуюся к сертификатам, выпущенным для других САs.

Точки распространения CRL являются дополнительным механизмом, который может использоваться для распространения информации об отмене.

Если СА решает задействовать точки распространения CRL, для этого используется следующий класс объектов.

cRLDistributionPoint OBJECT-CLASS::= {
  SUBCLASS OF { top }
  KIND structural
  MUST CONTAIN { commonName }
  MAY CONTAIN {
     certificateRevocationList |
     authorityRevocationList |
     deltaRevocationList }
  ID joint-iso-ccitt(2) ds(5)
     objectClass(6) 
     cRLDistributionPoint(19) }

Атрибуты certificateRevocationList и authorityRevocationList определены выше.

Атрибут commonName и атрибуты deltaRevocationList, определенные в Х.509, продублированы ниже.

commonName   ATTRIBUTE::={
  SUBTYPE OF name
  WITH SYNTAX DirectoryString
  ID joint-iso-ccitt(2) ds(5)
    attributeType(4) 
    commonName(3) 
}
deltaRevocationList ATTRIBUTE ::= {
  WITH SYNTAX CertificateList
  EQUALITY MATCHING RULE
    certificateListExactMatch
  ID joint-iso-ccitt(2) ds(5)
    attributeType(4)
    deltaRevocationList(53) }

Дельта CRLs является дополнительным механизмом, который может применяться для осуществления распределения информации об отмене.

Если СА выбирает использование дельта CRLs, применяется представленный здесь класс объекта.

deltaCRL OBJECT-CLASS ::= {
  SUBCLASS OF { top }
  KIND auxiliary
  MAY CONTAIN { deltaRevocationList }
  ID joint-iso-ccitt(2) ds(5)
    objectClass(6) deltaCRL(23) 
}