Инфраструктура Открытого Ключа (часть 7)

Квалификаторы политики

Поле расширения CertificatePolicies предназначено для дополнительной, не зависящей от политики информации, которая содержится в поле квалификатора. Стандарт Х.509 не указывает цель, для которой данное поле используется, и не задает синтаксис для данного поля. Типы квалификаторов политики могут регистрироваться любой организацией.

В настоящий момент определены следующие типы квалификаторов политики:

1. Квалификатор CPS Pointer содержит указатель на регламент практики сертифицирования ( CPS ), опубликованный СА. Указатель является URI.
2. Квалификатор User Notice содержит текстовую строку, которая показывается пользователю сертификата перед тем, как он задействует сертификат.

Квалификаторы политики могут применяться для поддержки определения общих или параметризируемых определений политики сертификата. Являясь базовым определением политики сертификата, типы квалификаторов политики могут определять способ предоставления на основе сертификата конкретных дополнительных деталей политики.

Регламент практики сертификации

Термин регламент практики сертификации ( CPS ) может быть определен следующим образом: детальное описание практики, при которой СА выпускает сертификаты. Данное определение можно дополнить следующими комментариями.

Регламент практик сертификации может быть оформлен как декларация СА о деталях системы и регламентах функционирования и поддержки выпуска сертификатов. Это также может быть часть контракта между СА и его подписчиками. CPS включает несколько документов, содержащих законы, частные контракты и/или декларации.

Доверяющий участник знает или, по крайней мере, предупрежден о содержании сертификата, используемого им для проверки цифровой подписи, включая документы, на которые имеется ссылка в сертификате. Следовательно, желательно вставлять ссылку на регламент сертификационной практики в сертификат.

Регламент сертификационной практики должен указывать на стандарты, в соответствии с которыми СА осуществляет свою деятельность, а также на потенциальную технологическую совместимость сертификатов, выпущенных СА.

Взаимосвязь между политикой сертификата и регламентом сертификационной практики

Понятия политики сертификата и CPS пришли из различных источников и были разработаны по разным причинам. Однако их взаимосвязь важна.

CPS является детальным описанием СА своей практики, которое должно быть принято во внимание подписчиками и пользователями сертификата. Хотя уровень детализации для разных CPSs может быть различным, обычно они бывают более развернутыми, чем определения политики сертификата. Действительно, CPS может быть всеобъемлющим, ясным документом, дающим точное описание предоставляемых сервисов, описывающим процедуры управления жизненным циклом сертификата и уровень детализации, который осуществляет CPS для конкретной реализации предоставляемого сервиса.

Хотя такая детализация может быть необходима и делает регламент заслуживающим доверия при отсутствии аккредитации или каких-то других метрик качества, детальный CPS не может служить подходящим базисом для интероперабельности САs, функционирующих в различных организациях. Политики сертификата скорее являются средством выражения общей основы интероперабельности. СА с единственным CPS могут поддерживать несколько политик сертификата (используемых для различных прикладных целей и/или в различных пользовательских сообществах). Также несколько различных САs с неидентичными CPSs могут поддерживать одну и ту же политику сертификата.

Определение политики сертификата описывает общие характеристики данной политики сертификата и указывает типы приложений, в которых она может использоваться. Различные департаменты или агентства, которые функционируют в качестве САs с разными CPSs, могут поддерживать данную политику сертификата. В то же время такие САs могут поддерживать и другие политики сертификата.

Основное различие между политикой сертификата и CPS заключается в следующем:

1. Большинство организаций, которые выполняют роль публичных или межорганизационных САs, документируют свои регламенты. CPS является одним из организационных способов защиты себя и своей позиции при деловых отношениях с подписчиками и другими участниками.
2. С другой стороны, не существует особых причин, чтобы политика сертификата применялась только в одной организации. Если конкретная политика сертификата широко распространена, имеются основания для автоматического принятия сертификата во многих системах, включая системы, не требующие участия человека, и системы, которые управляются людьми, но независимо решают вопрос действительности представленных сертификатов.

Множество постановлений

Множество постановлений определяет регламент практики сертификации.

Например, CPS может выражаться в виде сочетания следующих элементов:

1. Список политик сертификата, поддерживаемых CPS.
2. Каждой политики сертификата в (1) существует набор постановлений, которые уточняют политику сертификата деталями, обусловленными данной политикой ; такие постановления предназначены для установления того, как конкретный CPS реализует требования конкретной политики сертификата.
3. Множество постановлений, которые содержат утверждения, относящиеся к регламенту сертификации СА независимо от политики сертификата.

Утверждения, приведенные в (2) и (3), могут уточнить условия применяемости определения политики сертификата, но не должны конфликтовать с другими условиями определения политики сертификата.

Регламент сертификационной практики должен состоять примерно из следующих компонентов:

• введение;
• общие постановления;
• идентификация и аутентификация;
• требования функционирования;
• управление физической, административной безопасностью и безопасностью персонала;
• управление технической безопасностью;
• профиль сертификата и CRL;
• oписание администрирования.

Далее компоненты могут быть поделены на подкомпоненты.