Zum Hauptinhalt springen

2.2. New Section 4.5 - Extended Key Usage (Erweiterte Schlüsselverwendung)

2.2. New Section 4.5 - Extended Key Usage (Erweiterte Schlüsselverwendung)

Der folgende Unterabschnitt führt eine neue erweiterte Schlüsselverwendung (extended key usage) für CMP-Server ein, die berechtigt sind, Schlüsselpaare im Namen von Endeinheiten zentral zu generieren.

Fügen Sie diesen Abschnitt nach Abschnitt 4.4.3 von [RFC4210] ein:

4.5. Extended Key Usage

Die Erweiterung für erweiterte Schlüsselverwendung (extended key usage, EKU) gibt die Zwecke an, für die das zertifizierte Schlüsselpaar verwendet werden darf. Daher beschränkt sie die Verwendung eines Zertifikats auf bestimmte Anwendungen.

Eine CA möchte möglicherweise Teile ihrer Aufgaben an andere PKI-Verwaltungseinheiten delegieren. Dieser Abschnitt bietet einen Mechanismus, um diese Delegation zu beweisen und ein automatisiertes Mittel zur Überprüfung der Autorisierung dieser Delegation zu ermöglichen. Eine solche Delegation kann auch durch andere Mittel ausgedrückt werden, z.B. durch explizite Konfiguration.

Um eine automatische Validierung für die Delegation einer Rolle durch eine CA an eine andere Entität anzubieten, MÜSSEN die für den CMP-Nachrichtenschutz oder signierte Daten für die zentrale Schlüsselgenerierung verwendeten Zertifikate von der delegierenden CA ausgestellt werden und MÜSSEN die jeweiligen EKUs enthalten. Dies beweist die Autorisierung dieser Entität durch die delegierende CA, in der gegebenen Rolle zu handeln, wie unten beschrieben.

Die für diese EKUs zu verwendenden OIDs sind:

id-kp-cmcCA OBJECT IDENTIFIER ::= {
   iso(1) identified-organization(3) dod(6) internet(1)
   security(5) mechanisms(5) pkix(7) kp(3) 27 }

id-kp-cmcRA OBJECT IDENTIFIER ::= {
   iso(1) identified-organization(3) dod(6) internet(1)
   security(5) mechanisms(5) pkix(7) kp(3) 28 }

id-kp-cmKGA OBJECT IDENTIFIER ::= {
   iso(1) identified-organization(3) dod(6) internet(1)
   security(5) mechanisms(5) pkix(7) kp(3) 32 }

Hinweis: Abschnitt 2.10 von [RFC6402] spezifiziert OIDs für eine Certificate Management over CMS (CMC) CA und eine CMC RA. Da die Funktionalität einer CA und RA nicht spezifisch für ein bestimmtes Zertifikatsverwaltungsprotokoll (wie CMC oder CMP) ist, werden diese EKUs von CMP wiederverwendet.

Die Bedeutung der id-kp-cmKGA EKU ist wie folgt:

CMP KGA: CMP-Schlüsselgenerierungsstellen (key generation authorities) sind CAs oder werden durch die erweiterte Schlüsselverwendung id-kp-cmKGA identifiziert. Die CMP KGA kennt den privaten Schlüssel, den sie im Namen der Endeinheit generiert hat. Dies ist ein sehr sensibler Dienst und erfordert eine spezifische Autorisierung, die standardmäßig beim CA-Zertifikat selbst liegt. Die CA kann ihre Autorisierung delegieren, indem sie die erweiterte Schlüsselverwendung id-kp-cmKGA in das Zertifikat einfügt, das zur Authentifizierung der Herkunft des generierten privaten Schlüssels verwendet wird. Die Autorisierung kann auch durch lokale Konfiguration der Endeinheit bestimmt werden.

Letztes Update am