1. Einleitung
Dieser Abschnitt bewahrt den RFC-Text zu EST CSR Attributes, einschliesslich CSR-Attribut-OIDs und -Werten, ASN.1-Syntax, id-ExtensionReq, CertificationRequestInfoTemplate, Base64-Beispielen, ASN.1-Dump-Ausgabe, IANA-Registrierungen und Sicherheitsueberlegungen.
Originaler RFC-Text
1. Einleitung
Dieses Dokument aktualisiert RFC 7030 und stellt klar, wie die
Certificate Signing Request (CSR) Attributes Response von einem
EST-Server verwendet werden kann, um sowohl CSR-Attribut-OIDs als auch
CSR-Attributwerte anzugeben. Insbesondere muss der Server X.509-
Erweiterungswerte angeben koennen, die der Client in die nachfolgende
CSR aufnehmen soll.
"Enrollment over Secure Transport" [RFC7030] wurde in einer Vielzahl
von Anwendungen verwendet. Insbesondere beschreiben [RFC8994] und
[RFC8995] eine Moeglichkeit, es zum Aufbau einer Autonomic Control
Plane (ACP) [RFC8368] zu nutzen.
Beim Bootstrapping der ACP besteht die Anforderung, dass jeder Knoten
einen sehr spezifischen subjectAltName erhaelt. In [RFC8994], der
ACP-Spezifikation, wird festgelegt, dass der EST-Server die CSR
Attributes ("/csrattrs") Request (spezifiziert in [RFC7030],
Section 2.6) verwendet, um dem EST-Client den tatsaechlichen
subjectAltName zu uebermitteln, der in seine CSR und damit letztlich
in sein End Entity (EE)-Zertifikat aufgenommen werden muss.
Aufgrund einiger Implementierungsprobleme stellte sich heraus, dass
diese besondere Art der Verwendung der CSR Attributes nicht allgemein
akzeptiert war, und es wurde vorgeschlagen, dass sie [RFC7030],
Section 2.6 widerspreche.
[RFC7030], Section 2.6 besagt, dass die CSR Attributes "can provide
additional descriptive information that the EST server cannot access
itself". Dies wird erweitert, um zu beschreiben, wie der EST-Server
Werte bereitstellen kann, deren Verwendung er verlangt.
Nach ausgiebiger Diskussion wurde festgestellt, dass Section 4.5 von
[RFC7030] ausreichend schwer zu lesen und mehrdeutig zu interpretieren
ist, sodass eine Klarstellung erforderlich ist.
Ausserdem wird [RFC7030], Section 4.5.2 erweitert, um die Verwendung
der bestehenden ASN.1-Syntax [X.680] [X.690] zu klaeren.
Dies deckt alle Verwendungen ab und ist vollstaendig rueckwaerts
kompatibel mit der bestehenden Nutzung, einschliesslich der
Beruecksichtigung der Anforderungen von [RFC8994] und [RFC8995].