Zum Hauptinhalt springen

2.6. Replace Section 5.1.3.4 - Multiple Protection (Mehrfacher Schutz)

2.6. Replace Section 5.1.3.4 - Multiple Protection (Mehrfacher Schutz)

Abschnitt 5.1.3.4 von [RFC4210] beschreibt die verschachtelte Nachricht (nested message). Dieses Dokument ermöglicht auch die Verwendung verschachtelter Nachrichten für den Batch-Lieferungstransport von PKI-Nachrichten zwischen PKI-Verwaltungseinheiten und mit gemischten Body-Typen.

Ersetzen Sie den Text des Abschnitts durch den folgenden Text:

5.1.3.4. Multiple Protection

Beim Empfang einer geschützten PKI-Nachricht KANN eine PKI-Verwaltungseinheit, wie eine RA, diese Nachricht zusammen mit dem Hinzufügen ihres eigenen Schutzes weiterleiten (bei dem es sich um einen MAC oder eine Signatur handelt, abhängig von den zwischen der RA und der CA geteilten Informationen und Zertifikaten). Zusätzlich KÖNNEN mehrere PKI-Nachrichten aggregiert werden. Es gibt mehrere Anwendungsfälle für solche Nachrichten.

  • Die RA bestätigt, dass sie eine Nachricht validiert und autorisiert hat, und leitet die ursprüngliche Nachricht unverändert weiter.

  • Die RA modifiziert die Nachricht(en) in irgendeiner Weise (z.B. fügt bestimmte Feldwerte hinzu oder ändert sie oder fügt neue Erweiterungen hinzu), bevor sie weitergeleitet werden; dann KANN sie ihren eigenen gewünschten PKIBody erstellen. Wenn die von der RA an PKIMessage vorgenommenen Änderungen den POP (proof of possession) einer Zertifikatsanforderung brechen, MUSS die RA das popo-Feld auf RAVerified setzen. Sie KANN die ursprüngliche PKIMessage vom EE im generalInfo-Feld des PKIHeader einer verschachtelten Nachricht einschließen (um beispielsweise Fälle zu berücksichtigen, in denen die CA den POP oder andere Informationen zur ursprünglichen EE-Nachricht überprüfen möchte). Der in dieser Situation zu verwendende infoType ist {id-it 15} (siehe Abschnitt 5.3.19 für den Wert von id-it), und der infoValue ist PKIMessages (Inhalte MÜSSEN in derselben Reihenfolge wie die Nachricht im PKIBody sein).

  • Eine PKI-Verwaltungseinheit sammelt mehrere Nachrichten, die in derselben Richtung weitergeleitet werden sollen, und leitet sie in einem Batch weiter. Anforderungsnachrichten können als Batch upstream (in Richtung CA) übertragen werden; Antwort- oder Ankündigungsnachrichten können als Batch downstream (in Richtung RA, aber nicht zum EE) übertragen werden. Dies kann beispielsweise verwendet werden, wenn eine Offline-Verbindung zwischen zwei PKI-Verwaltungseinheiten überbrückt wird.

Diese Anwendungsfälle werden durch Verschachteln der Nachrichten innerhalb einer neuen PKI-Nachricht erreicht. Die verwendete Struktur ist wie folgt:

NestedMessageContent ::= PKIMessages
Letztes Update am