Aller au contenu principal

2.2. New Section 4.5 - Extended Key Usage

2.2. New Section 4.5 - Extended Key Usage

La sous-section suivante introduit une nouvelle utilisation de clé étendue (extended key usage) pour les serveurs CMP autorisés à générer de manière centralisée des paires de clés au nom des entités finales.

Insérez cette section après la Section 4.4.3 de [RFC4210]:

4.5. Extended Key Usage

L'extension d'utilisation étendue de clé (extended key usage, EKU) indique les fins pour lesquelles la paire de clés certifiée peut être utilisée. Par conséquent, elle restreint l'utilisation d'un certificat à des applications spécifiques.

Une CA peut vouloir déléguer une partie de ses tâches à d'autres entités de gestion PKI. Cette section fournit un mécanisme pour à la fois prouver cette délégation et permettre un moyen automatisé de vérifier l'autorisation de cette délégation. Une telle délégation peut également être exprimée par d'autres moyens, par exemple, une configuration explicite.

Pour offrir une validation automatique de la délégation d'un rôle par une CA à une autre entité, les certificats utilisés pour la protection des messages CMP ou les données signées pour la génération de clés centralisée DOIVENT être émis par la CA déléguante et DOIVENT contenir les EKU respectifs. Cela prouve l'autorisation de cette entité par la CA déléguante pour agir dans le rôle donné, comme décrit ci-dessous.

Les OID à utiliser pour ces EKU sont:

id-kp-cmcCA OBJECT IDENTIFIER ::= {
   iso(1) identified-organization(3) dod(6) internet(1)
   security(5) mechanisms(5) pkix(7) kp(3) 27 }

id-kp-cmcRA OBJECT IDENTIFIER ::= {
   iso(1) identified-organization(3) dod(6) internet(1)
   security(5) mechanisms(5) pkix(7) kp(3) 28 }

id-kp-cmKGA OBJECT IDENTIFIER ::= {
   iso(1) identified-organization(3) dod(6) internet(1)
   security(5) mechanisms(5) pkix(7) kp(3) 32 }

Note: La Section 2.10 de [RFC6402] spécifie des OID pour une CA de gestion de certificats sur CMS (Certificate Management over CMS, CMC) et un RA CMC. Comme la fonctionnalité d'une CA et d'un RA n'est pas spécifique à un protocole de gestion de certificats particulier (tel que CMC ou CMP), ces EKU sont réutilisés par CMP.

La signification de l'EKU id-kp-cmKGA est la suivante:

CMP KGA: Les autorités de génération de clés (key generation authorities) CMP sont des CA ou sont identifiées par l'utilisation étendue de clé id-kp-cmKGA. Le CMP KGA connaît la clé privée qu'il a générée au nom de l'entité finale. Il s'agit d'un service très sensible qui nécessite une autorisation spécifique, qui par défaut est avec le certificat CA lui-même. La CA peut déléguer son autorisation en plaçant l'utilisation étendue de clé id-kp-cmKGA dans le certificat utilisé pour authentifier l'origine de la clé privée générée. L'autorisation peut également être déterminée par la configuration locale de l'entité finale.

Dernière mise à jour le