- •Глава 11. Архитектура системы эцп
- •11.1. Архитектура системы эцп
- •11.1. Иерархическая модель доверия
- •11.2. Управление сертификатами и ключами
- •11.2.1. Резервное хранение пар ключей
- •11.3. Управление инфраструктурой открытых ключей (pki)
- •11.3.1. Управление политиками
- •11.3.2. Реализация средств аудита и хранения настроек в pki
- •11.4. Проект системы, центры сертификации ключей
- •11.4.1. Аккредитация центра сертификации
- •11.4.2. Сертификация и допуск к эксплуатации
- •Вопросы к главе 11
11.2. Управление сертификатами и ключами
Управление сертификатами предполагает выпуск, публикацию, отзыв и приостановление действия сертификатов. Гибкость подходов к управлению сертификатами способствует оптимальному выбору решения, соответствующего нуждам корпорации.
В этом вопросе наиболее преуспели решения Entrust и UniCERT, обеспечивающие управление сертификатов посредством Web и e-mail.
Решения iPlanet, Microsoft и RSA предоставляют возможность получения сертификатов лишь с помощью web интерфейса, хотя следует отметить, что MCS на уровне предприятия – может выпускать сертификаты автоматически (auto-enrollment).
Удаление или приостановление действия сертификатов в решениях iPlanet и RSA осуществляется при помощи Web или администратором. MСS предлагает удалять сертификаты лишь используя административную консоль.
При сравнении методов публикации сертификатов следует отметить, что все продукты поддерживают публикацию в Сервисы каталогов и Active Diretory по протоколу LDAP, продукты UniCERT и Entrust так же поддерживают DAP.
Пользователи инфраструктуры открытых ключей, должны быть уверены, что на момент использования сертификат действующий.
В случае компрометации сертификата или криптографических ключей, сертификат должен быть немедленно отозван ЦСК и внесен в список отозванных сертификатов, доступный для всех пользователей.
Проверка статуса сертификата может осуществляться с помощью списков отозванных сертификатов (CRL) или измененных списков отозванных сертификатов (Delta CRL), а также путем определения статуса сертификата в реальном времени.
В расширениях сертификатов, находится унифицированный указатель информационного ресурса – стандартизованная строка символов, указывающая адрес документа в сети Internet с информацией о месте расположения списков. Указатель информационного ресурса может быть ассоциирован с ресурсом LDAP, HTTP, FTP или Х.500. На основании этой информации пользователь может получать актуальные состояния списков.
При сравнении по возможностям публикации CRL складывается почти равная ситуация: списки отозванных сертификатов за исключением MCS поддерживаются во всех продуктах путем опубликования вручную или периодически в файловую систему (HTTP и FTP) или Сервис директорий (Active Directory) при помощи протокола LDAP. В продукте MCS возможна только периодическая публикация.
Измененный список отзыва сертификатов содержит только сертификаты с измененным статусом.
Преимуществами Delta CRL по сравнению с CRL являются существенно меньший объем, нежели у базового списка отозванных сертификатов, более частая публикация и небольшая задержка обновления статуса отзыва у клиента, минимальная нагрузка на сеть.
Измененные списки отзыва сертификатов поддерживают Entrust и MСS.
Протокол определения статуса сертификата в реальном времени (OCSP – on-line certificate status protocol) основан на использовании службы сетевых каталогов, которая предоставляет информацию о статусе сертификата в режиме реального времени.
В этом случае сертификаты, выданные ЦСК, считаются недействительными до тех пор, пока информация об их статусе не будет выбрана из каталога, поддерживаемого центром сертификации. Расширения сертификатов содержат значение, представляющее месторасположение сервиса OCSP.
Только один продукт предоставляет собственный полноценный сервис определения статуса сертификата в реальном времени – iPlanet. Решение RSA ограничилось сервисом OCSP (в терминах RSA – OCSP Responder), поддерживающим только http запросы. Остальные продукты используют надстройку в виде программного продукта ValiCert Global VA Service, обеспечивающего сервис OCSP.
При сравнении по критерию управления сертификатами все продукты имеют равные показатели, следует лишь отметить возможности по выпуску сертификатов решений Entrust и UniCERT, а также сервер OCSP, входящий в поставку iPlanet.