Aller au contenu principal

2.6. Replace Section 5.1.3.4 - Multiple Protection

2.6. Replace Section 5.1.3.4 - Multiple Protection

La Section 5.1.3.4 de [RFC4210] décrit le message imbriqué (nested message). Ce document permet également d'utiliser des messages imbriqués pour le transport par lots de messages PKI entre entités de gestion PKI et avec des types de corps mixtes.

Remplacez le texte de la section par le texte suivant:

5.1.3.4. Multiple Protection

Lors de la réception d'un message PKI protégé, une entité de gestion PKI, telle qu'un RA, PEUT transmettre ce message en ajoutant sa propre protection (qui est un MAC ou une signature, selon les informations et les certificats partagés entre le RA et la CA). De plus, plusieurs messages PKI PEUVENT être agrégés. Il existe plusieurs cas d'utilisation pour de tels messages.

  • Le RA confirme avoir validé et autorisé un message et transfère le message original sans modification.

  • Le RA modifie le(s) message(s) d'une manière ou d'une autre (par exemple, ajoute ou modifie des valeurs de champ particulières ou ajoute de nouvelles extensions) avant de les transmettre; ensuite, il PEUT créer son propre PKIBody souhaité. Si les modifications apportées par le RA au PKIMessage rompent le POP (proof of possession) d'une demande de certificat, le RA DOIT définir le champ popo sur RAVerified. Il PEUT inclure le PKIMessage original de l'EE dans le champ generalInfo du PKIHeader d'un message imbriqué (pour accommoder, par exemple, les cas dans lesquels la CA souhaite vérifier le POP ou d'autres informations sur le message EE original). Le infoType à utiliser dans cette situation est {id-it 15} (voir Section 5.3.19 pour la valeur de id-it), et le infoValue est PKIMessages (le contenu DOIT être dans le même ordre que le message dans PKIBody).

  • Une entité de gestion PKI collecte plusieurs messages qui doivent être transmis dans la même direction et les transfère par lots. Les messages de demande peuvent être transférés par lots en amont (vers la CA); les messages de réponse ou d'annonce peuvent être transférés par lots en aval (vers un RA mais pas vers l'EE). Par exemple, cela peut être utilisé lors du pontage d'une connexion hors ligne entre deux entités de gestion PKI.

Ces cas d'utilisation sont réalisés en imbriquant les messages dans un nouveau message PKI. La structure utilisée est la suivante:

NestedMessageContent ::= PKIMessages
Dernière mise à jour le